В данной статье я хотел бы рассказать о такой замечательной опции групповых политик, как loopback processing – замыкание на себя. Иногда сталкиваюсь с тем, что администраторы просто не знают про такую возможность и усложняют организационную структуру AD. Проще всего описать поведение данной политики на живом примере.
Итак, предположим в глобальной групповой политике Default Domain Policy определен таймаут скринсейвера в 30 минут. Данная политика настроена в разделе User Configuration.
Теперь посмотрим где расположены объекты, с которым мы будем эксперементировать:
Хотя в целом подобная настройка скринсейвера подходит в большинстве случаев, может возникнуть ситуация когда для определенных компьютеров нужно изменить поведение скринсейвера. Предположим что для компьютеров, расположенных в OU HR нам необходимо изменить поведение скринсейвера, а для двух других OU оставить поведение групповой политики по умолчанию.
Для выполнения данной задачи мы используем режим замыкания политики на себя для принудительного применения настроек пользователя в групповой политике, применяемой к организационной единице, содержащей рабочие станции. Так как все остальные пользовательские политики должны применяться в полном объеме, мы будем использовать замыкание на себя с объединением.
Создадим новую групповую политику, прикрепленную к Workstations OU.
Так как в данном случае эта политика примениться ко всем дочерним разделам, нам необходимо контролировать к каким рабочим станциям будет применяться наша политика. Для этого создадим новую группу безопасности Loopback и разделе Security Filtering удалим права Read и Apply у группы Authenticated Users. После чего дадим эти права на свежесозданную группу Loopback.
Мы знаем что опция для настройки скринсейвера настраивается в разделе User Configuration групповой политики и обычно применяется на пользователей. Однако, так как мы используем замыкание на себя, мы настроим нужное нам значение скринсейвера в разделе User Configuration новой политики ScreenSaver15 и прилинкуем данную политику на OU, где расположены рабочие станции.
Так как политика замыкания на себя фильтруется на более верхнем уровне, в политике ScreenSaver15 мы оставляем права Read и Apply по умолчанию.
Итак, настройка закончена и теперь нам необходимо приступить к проверке того факта, что для любого пользователя, залогинившегося на компьютер, находящийся в OU HR, эффективный таймаут скринсейвера будет 15 минут вместо 30-ти.
Аккаунт пользователя, под которым мы будем выполнять проверку находиться в Users OU. Он называется John.Galt.
Аккаунт компьютера находиться в HR OU и называется XP01.
И данная рабочая станция добавлена в группу Loopback.
Теперь залогинимся под указанным пользователем на данный компьютер и посмотрим на параметры скринсейвера.
Запустив результирующую политику на этой машине мы увидим что применяется именно политика ScreenSaver15 хотя OU HR содержит только объекты-компьютеры, а политика настроена в конфигурации пользователя..
Надеюсь в результате прочтения данной статьи вам удалось понять действие режима замыкания на себя. Хотелось бы отметить, что в некоторых сценариях возможно применение данной политики в режиме замены, при котором не происходит слияния. Конкретно для нашего примера это означало бы, что к любому пользователю после логона на компьютер XP01 применилась бы только политика ScreenSaver15, все остальные политики были бы отброшены.
Интересное в сети:
Качественный и недорогой монтаж камер наблюдения для вашего офиса, подъезда, дома. Широкий спект оборудования для различных режимов.
Типография “Формула цвета” предлагает качественные полиграфические услуги на современном оборудовании: оперативная печать брошюр с доставкой заказчику.