Групова політика — це набір правил, відповідно до яких відбувається налаштування робочого середовища Windows. Групові політики створюються в [en] та реплікуються в межах домену. Об'єкт групової політики (Group Policy Object, GPO) складається з двох фізично розділених складових: контейнера групової політики (Group Policy Container, GPC) та шаблону групової політики (Group Policy Template, GPT). Ці два компоненти містять в собі всю інформацію про параметри робочого середовища, що входять до складу об'єкта групової політики. Продумане застосування об'єктів GPO до елементів каталогу Active Directory дозволяє створювати ефективне та легко кероване комп'ютерне робоче середовище на базі ОС Windows. Політики застосовуються зверху вниз ієрархією каталогу Active Directory.
Створення групових політик
За умовчанням в ієрархії каталогу Active Directory створюються дві групові політики з надзвичайно виразними іменами:
- Default Domain Policy (політика домену за умовчанням),
- Default Domain Controller's Policy (політика контролера домену за умовчанням).
Перша з них призначається домену, а друга — контейнеру, до складу якого входить контролер . Якщо ви бажаєте створити свій власний об'єкт GPO, ви повинні володіти необхідними повноваженнями. За умовчанням правом створення нових GPO володіють групи Enterprise Administrators (Адміністратор підприємства) і Domain Administrators (Адміністратори домену). Щоб створити новий об'єкт групової політики, необхідно виконати такі дії:
- Переконайтеся в тому, що ви підключилися до системи з використанням облікового запису, що належить до однієї з груп: Domain Administrators (Адміністратори домену) або Enterprise Administrators (Адміністратори підприємства).
- Переконайтеся в тому, що в системі, до якої ви підключилися, встановлені засоби адміністрування, необхідні для роботи з груповими політиками. Зокрема, вам буде потрібна оснастка Active Directory Users and Computers (Active Directory — користувачі та комп'ютери). Цьому оснащенню відповідає файл dsa.msc.
- Відкрийте консоль Active Directory Users and Computers (Active Directory — користувачі та комп'ютери) і перейдіть до контейнера OU, щодо якого ви маєте намір застосувати політику.
- Правою кнопкою миші клацніть на контейнері OU, з'явиться меню для вибору пункт Properties (Властивості) і перейдіть на вкладку GPO.
- Щоб створити новий об'єкт GPO і призначити його поточному контейнера, клацніть на кнопці New (Новий).
- У списку посилань на об'єкти GPO з'явиться нова позиція, рядок імені якої буде знаходитися в режимі редагування. Дайте новому об'єктові GPO змістовне ім'я.
Створена вами політика є лише заготовкою. Її вміст формується на основі адміністративних шаблонів, що містяться в папці SysVol контролера домену, на якому був створений GPO. Ці шаблони можна розширити і модифікувати відповідно до потреб організації. До наявних компонентів об'єкта GPO можна додати створені вами розширення. Наприклад, за допомогою групової політики можна керувати налаштуваннями прикладних програм.
Після створення GPO слід модифікувати значення параметрів цього об'єкта таким чином, щоб налаштувати визначену груповою політикою конфігурацію робочого середовища. На вкладці Group Policy (Групова політика) клацніть на кнопці Edit (Редагувати). При цьому запуститься редактор групової політики, за допомогою якого ви зможете модифікувати конфігурацію комп'ютерів та користувачів, яка визначається політикою. Список посилань на об'єкти GPO, відображений на сторінці властивостей контейнеру OU, містить посилання на об'єкти GPO, розташовані в каталозі Active Directory. Зміни, що вносяться до будь-якого з об'єктів GPO, можуть вплинути на поведінку багатьох об'єктів каталогу Active Directory. Щоб визначити, стосовно яких саме контейнерів OU будуть застосовані зроблені вами зміни, відкрийте діалогове вікно властивостей того GPO, що Вас цікавить і перейдіть на вкладку Links (посилання). Щоб отримати список контейнерів, з якими пов'язана дана політика, користуйтесь кнопкою Find.
Засоби адміністрування
Утиліти групи Administrative Tools () входять до комплекту поставки операційних систем Server, Advanced Server і Datacenter Server. Файл, необхідний для встановлення цих утиліт, називається adminpak.msi і розташовується в каталозі i386 на установчому компакт-диску або в підкаталозі WINNT\SYSTEM32\ операційної системи. Цей 15-мегабайтний файл встановлює всі необхідні оснастки та реєструє бібліотеки DLL, необхідні для роботи засобів адміністрування. В наш час[] встановити утиліти групи Administrative Tools (Адміністрування) можна тільки на платформу Windows 2000.
Застосування групових політик
Працюючи з груповими політиками, слід враховувати, що:
- об'єкти GPO застосовуються щодо контейнерів, а не «замикаючих» об'єктів;
- один контейнер може бути пов'язаний з кількома об'єктами GPO;
- об'єкти GPO, пов'язані з одним і тим же контейнером, застосовуються до цього контейнеру в тому порядку, в якому вони були призначені;
- об'єкт GPO включає в себе дві складові: параметри, пов'язані з комп'ютерами, і параметри, пов'язані з користувачами;
- опрацювання будь-якої з цих складових можна вимкнути;
- спадкування об'єктів GPO можна блокувати;
- спадкування об'єктів GPO можна форсувати;
- застосування об'єктів GPO можна фільтрувати за допомогою списків Access control list.
Розв'язування конфлікту двох політик
Уявіть, що деякий параметр (наприклад, logon banner — графічна заставка при підключенні) визначено як у політиці Р3, так і в політиці P1. При цьому значення параметру, задане в політиці Р3, відрізняється від значення, заданого в політиці Р1. Яке значення буде присвоєно параметру у результаті застосування обох цих політик? У подібній ситуації параметру об'єкта присвоюється значення, отримане з GPO, який знаходиться до об'єкта ближче всього. Таким чином, в розглянутій ситуації параметру logon banner буде присвоєно значення, взяте з політики Р1.
Успадкування політик
Уявіть, що політика Р3 містить в собі значення параметра logon banner, у той час як політика Р1 не визначає цього параметра. У цьому разі, якщо у відношенні до об'єкта застосовуються обидві політики, параметру об'єкта, що розглядається, буде присвоєно значення з політики Р3. Однак контейнеру SA не призначено жодної політики. Все ж таки параметру logon banner цього контейнера буде присвоєно значення з політики Р3. Мало того, у відношенні цього контейнера будуть повною мірою застосовані політики Р3 і Р1, так як контейнер SA успадкує ці політики від своїх батьків — вузла New York і домену shinyapple.msft.
Застосування декількох політик відносно одного контейнера
Уявіть що політики Р4 і Р5, в яких визначаються значення найрізноманітніших параметрів, застосовані до контейнеру Acct. У розділі конфігурації комп'ютера політики Р4 членам глобальної групи Accounting (бухгалтерія) дозволяється локально підключатися до будь-якого комп'ютера в контейнері Acct, а також у всіх підконтейнерах цього контейнера. А в розділі конфігурації комп'ютера політики Р5 права групі Accounting (бухгалтерія) не призначаються. У списку політик, який відображається на сторінці Group Policy (Групова політика) у вікні властивостей контролера домену, політика Р5 розташовується в верхній частині списку — вище політики Р4. Політики, зазначені в цьому списку, застосовуються до об'єкта в порядку знизу вгору. Іншими словами, політики, розташовані в нижній частині списку, застосовуються в першу чергу, після чого застосовуються політики, розташовані вище за списком. Таким чином, при обробці розглянутого набору політик відносно контейнера Acct спочатку буде застосована політика Р4, а потім політика Р5. Отже, після обробки набору політик параметр прав на локальне підключення до системи буде містити значення з політики Р5. Таким чином, члени глобальної групи Accounting (бухгалтерія) не будуть мати право локального підключення до комп'ютерів контейнера Acct і його підконтейнерів. Щоб змінити порядок обробки політик, слід скористатися кнопками Up (Вгору) і Down (Вниз) в правому нижньому куті вкладки Group Policy (Групова політика).
Windows 2000 дозволяє блокувати застосування деяких розділів об'єкта GPO. Якщо політика застосовується щодо контейнера не повністю, а тільки частково, загальний час підключення користувача до системи зменшується. Чим менша кількість параметрів GPO слід застосувати у відношенні того чи іншого об'єкта, тим швидше виконується обробка відповідної політики. Відключення оброблення деяких розділів політики можна здійснити окремо для кожного з об'єктів GPO. Для цього слід виконати такі дії:
- Відкрийте оснастку Active Directory — Users and Computers (Active Directory — користувачі і комп'ютери). Виділіть контейнер, що Вас цікавить, відкрийте вікно властивостей цього контейнера і перейдіть на вкладку Group Policy (Групова політика).
- Виберіть об'єкт GPO, який ви маєте намір модифікувати.
- Клацніть на кнопці Properties (Властивості).
- Тут ви можете блокувати застосування щодо контейнера параметрів політики, що відносяться до конфігурації комп'ютера або до конфігурації користувача.
- Після того як ви зазначили, застосування якого із розділів GPO повинно бути блоковано, на екрані з'явиться повідомлення про те, що значення параметрів, модифікованих завдяки даній політиці, будуть відновлені в початковий стан. Наприклад, якщо блокувати застосування параметрів GPO, що відносяться до конфігурації користувача, то конфігурація всіх користувачів, щодо яких діє дана політика, буде відновлена в стан, в якому вона була до застосування даної політики. На відміну від Windows 2000 операційна система NT 4.0 виконувала очищення політик некоректно. У зв'язку з цим в NT 4.0 навіть після скасування політики параметри об'єктів зберігали значення, присвоєні їм в процесі застосування скасованої політики.
Блокування застосування одного з розділів політики налаштовується для конкретного об'єкта GPO і діє відносно всіх контейнерів, для яких призначений цей GPO.
Блокування спадкування політики
Windows 2000 дозволяє блокувати спадкування політики від батьківського об'єкта. Наприклад, якщо ви хочете, щоб відносно контейнера IT і всіх його підконтейнерів діяли тільки політики, визначені на рівні IT, на сторінці Group Policy (Групова політика) властивостей об'єкта IT встановіть прапорець Block Policy Inheritance (блокувати спадкування політики). При цьому політики Р1 і Р3 не будуть застосовуватись у відношенні до контейнерів IT Workstations і IT Servers. Блокування спадкування політик не можна відключити для якої-небудь однієї політики. Якщо для будь-якого контейнера включено блокування спадкування політик — щодо цього контейнера і всіх його підконтейнерів перестають діяти абсолютно всі політики, призначені на вищих рівнях ієрархії каталогу Active Directory. Цей параметр може бути налаштований окремо для конкретного об'єкта GPO і діє відносно всіх контейнерів, для яких призначений цей GPO. Якщо для об'єкта GPO встановлений прапорець No Override (не скасовувати), значення параметрів з відповідної політики завжди будуть мати великий пріоритет при виникненні конфліктів політик незалежно від того, на якому рівні ієрархії розташовані контейнери, до яких застосовується даний GPO. Наприклад, якщо ви відкриєте вікно властивостей домену shinyapple.msft і встановить прапорець No Override (не скасовувати) для політики Р1, об'єкти, розташовані нижче за ієрархією Active Directory, завжди будуть налаштовані згідно зі значеннями, заданими в політиці Р1. При виникненні конфлікту політик значенням з Р1 буде віддано перевагу. Гарним прикладом ситуації, в якій може знадобитися використання даної можливості, є застосування параметрів безпеки. Якщо для будь-якого контейнера включено блокування спадкування політик, політика, що володіє властивістю No Override (не скасовувати), все рівно буде застосована, так як параметр No Override (не скасовувати) має високий пріоритет.
Фільтрація політик
Фільтрація застосовуваних політик на основі членства об'єктів у групах безпеки є ще одним методом зміни звичайного порядку застосування політик щодо об'єктів Active Directory. Фільтрація здійснюється за допомогою списків ACL (Access Control List). Кожен об'єкт GPO має пов'язаний з ним список ACL. Інформація з списку ACL об'єкта GPO аналізується системою безпеки незалежно від того, до якого з контейнерів застосовуватиметься цей GPO. Політика застосовується щодо об'єкта тільки в тому випадку, якщо об'єкт володіє відносно відповідного GPO дозволами Read (Читання) і Apply Group Policy (застосування групової політики). Якщо об'єкт (користувач або група) не має доволу Apply Group Policy (застосування групової політики), політика групи в його відношенні не застосовується.
Налагодження процесу обробки політик і профілів
Щоб задокументувати у журналі послідовність, у якій застосовуються політики та профілі, слід за допомогою редактора реєстру додати ключ HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon значення UserEnvDebugLevel типу REG_DWORD, яке має бути рівне 0x10002. Після цього перезапустіть комп'ютер. Журнал застосування політик і профілів буде записаний у файл %SystemRoot%\Debug\Usermode\Userenv.log. Крім об'єктів GPO, існуючих в каталозі Active Directory, в кожній системі Windows 2000 існує також локальна політика (local policy). Локальна політика визначає параметри, відповідно до яких налаштовується робоча станція. Система застосовує політики в певному порядку:
- локальна політика (Local policy),
- політика вузла (Site policy),
- потім доменна політика (Domain policy),
- політика контейнера OU (Organizational Unit policy).
Порядок застосування політик часто позначають послідовністю символів (L, S, D, OU). Якщо локальна політика конфліктує з політикою вузла, домену або контейнера OU, вона завжди програє. Іншими словами, в процесі застосування політик локальна політика має найменший пріоритет. Всі параметри, за винятком сценаріїв вмикання/початку роботи системи і вимикання/завершення роботи системи, а також встановлення програмного забезпечення (або призначеного, або опублікованого) оновлюються кожні 90 хвилин зі змінним зсувом плюс-мінус 30 хвилин. Оновлення здійснюється за ініціативою механізму оновлення групових політик, що працює на стороні клієнта, який стежить за тим, коли клієнт останній раз виконував оновлення. На початку процесу оновлення порядкові номери версій всіх діючих політик порівнюються з локальними номерами версій. Якщо локальний і віддалений номери версій не збігаються, знову застосовується вся політика. В іншому випадку ніякого оновлення не відбувається. Оновлення політик, які діють щодо контролерів доменів, виконується кожні п'ять хвилин.
Клієнти, які можуть використовувати групову політику
У процесі переходу на використання Windows 2000 у вашій мережі напевно будуть присутні комп'ютери, оснащені більш ранніми версіями Windows. Щоб ефективно керувати такою мережею, важливо розуміти, щодо яких комп'ютерів буде діяти групова політика. Далі перераховуються операційні системи, щодо яких діє групова політика.
- Windows 2000 & 2003 Server. Комп'ютери, що мають операційну систему Windows 2000 Server можуть бути або звичайними членами домену Active Directory, або контролерами домену. Групова політика в повній мірі застосовується до обох різновидів серверів.
- Windows 2000 & XP Professional. Групова політика в повній мірі застосовується відносно комп'ютерів, оснащених .
- Windows NT 4.0 Workstation і Server. Стосовно таких комп'ютерів можна застосувати тільки системні політики у стилі NT 4.0. Для створення таких політик використовується редактор poledit.exe. За допомогою poledit.exe адміністратор може створювати файли .adm. Windows NT 4.0 не підтримує Active Directory і не використовує об'єктів локальної політики, тому відносно комп'ютерів, оснащених цією операційною системою, групова політика не застосовується.
- Windows 95 та Windows 98. Для створення системної політики в операційних системах Windows 98 і Windows 95 використовується спеціальний редактор системної політики. Одержаний в результаті редагування файлу з розширенням .pol слід скопіювати в каталог SysVol. Редактори системної політики, що входять до комплекту Windows 2000 та Windows NT, не сумісні з Windows 98 та Windows 95. Групова політика Windows 2000 щодо таких комп'ютерів не застосовується.
- Windows NT 3.51, Windows 3.1 та DOS. Групова політика не застосовується.
Сценарії підключення та відключення
Операційна система Windows NT дозволяє призначити кожному користувачеві сценарій, що містить команди, які необхідно виконати при підключенні даного користувача до системи. Зазвичай сценарії підключення використовуються для початкового налаштування робочого оточення користувача. Крім сценаріїв підключення Windows 2000 підтримує також сценарії відключення. Мало того, в новій операційній системі для кожного комп'ютера можна призначити сценарії початку і завершення роботи системи. Система виконання сценаріїв (WSH) підтримує виконання сценаріїв, написаних такими мовами, як Visual Basic або Jscript, що дозволяють безпосередньо звертатися до функцій Windows API. Розглянемо деякі можливості, пов'язані з використанням сценаріїв в середовищі Windows 2000.
Сценарії, визначені в рамках користувацького об'єкта
Такі сценарії підтримуються так само, як це було в Windows NT 4.0, та існують в основному для забезпечення сумісності з Windows ранніх версій. Клієнти Windows 2000 та Windows NT 4.0 намагаються виявити такі сценарії в спільній папці Netlogon сервера. Якщо виявити сценарій не вдалося, пошук проводиться в каталозі %SystemRoot%\system32\Repl\lmport\Scripts (розташування сценаріїв, що використовується в NT 4.0). Загальна папка Netlogon розташовується в каталозі SysVol (sysvol\%імя.домену%\scripts) і автоматично реплікується службою FRS. Реплікація каталогу сценаріїв операційної системи NT 4.0 повинна бути налаштована вручну.
Сценарії, визначені в рамках групової політики
Ці сценарії застосовуються щодо контейнерів OU. Іншими словами, щоб призначити користувачу сценарій підключення або відключення, слід зробити користувача членом контейнера OU, для якого визначена політика, в рамках якої діє сценарій підключення або відключення. Цей метод є гнучкішим. Якщо ви певодите свою мережу на використання Windows 2000, ви також повинні враховувати деякі інші особливості, пов'язані зі сценаріями. У багатьох мережах поряд з машинами Windows 2000 використовуються комп'ютери, оснащені більш ранніми версіями Windows, з цієї причини рекомендується виконувати оновлення сервера, що містить загальну папку Netlogon, в останню чергу. Це пов'язано з тим, що служба реплікації, що використовується в Windows 2000 (FRS), не сумісна зі службами реплікації NT. Таким чином, оновлюючи мережу, ви повинні бути впевнені в тому, що абсолютно всі клієнти мають можливість доступу до папки Netlogon та сценаріям підключення незалежно від того, яку операційну систему вони використовують. Слід також враховувати, що в Windows NT сценарії підключення працюють в контексті безпеки користувача. У Windows 2000 це справедливо лише частково. У Windows 2000 сценарії, що мають відношення до користувача (підключення до системи і відключення від системи), також виконуються в контексті безпеки користувача, в той час як сценарії, що мають відношення до комп'ютера (початку роботи системи і завершення роботи системи), виконуються в контексті безпеки LocalSystem.
Делегування прав на адміністрування групових політик
Можливість управління об'єктами GPO можна делегувати іншим відповідальним особам. Делегування здійснюється за допомогою списків ACL. Списки ACL об'єкта GPO дозволяють призначити відносно цього об'єкта дозволи на модифікацію цього GPO, або на призначення GPO щодо деякого контейнера. Таким чином, можна заборонити створення неавторизованих об'єктів GPO. Наприклад, створення і модифікацію GPO можна довірити групі адміністраторів домену, в той час як призначення цих GPO можуть здійснювати адміністратори окремих контейнерів OU. Адміністратор контейнера OU може вибрати найслушніший об'єкт GPO і застосувати його відносно будь-якого з підконтрольних йому OU. Однак при цьому він не зможе змінити вміст GPO або створити новий GPO.
Управління користувацькими документами і кешуванням на стороні клієнта
Групова політика дозволяє перенаправляти деякі користувальницькі каталоги таким чином, щоб при зверненні до них користувач насправді звертався до мережевих каталогів або певних місць локальної файлової системи. Набір папок, які можна перенаправити таким чином, включає в себе:
- Application data,
- Desktop (Робочий стіл),
- My Documents (Мої документи),
- My Pictures (Мої малюнки),
- Start Menu (Головне меню).
Механізм перенаправлення користувача тек є частиною технології , мета якої — забезпечити доступ до робочих файлів і конфігураційної інформації незалежно від того, яку робочу станцію користувач використовує для роботи. Як наслідок, технологія Intellimirror забезпечує збереження користувальницьких файлів і конфігураційних даних у разі, якщо робоча станція користувача виходить з ладу. Перенаправлення каталогів налаштовується в розділі User Configuration (конфігурація користувача) → Windows Settings (параметри Windows) → Folder Redirection (перенаправлення папок) об'єкта групової політики. У цьому розділі відображаються всі раніше перелічені папки. Щоб перенаправити одну з цих папок в нове місце, правою кнопкою миші клацніть на її імені та в меню оберіть пункт Properties (Властивості).
На вкладці Target (Ціль) ви можете вибрати один з трьох варіантів перенаправлення користувацької папки.
- No administrative policy specified (адміністративна політика не призначена).
- Basic (базовий). Перенаправляє папку в нове місце незалежно від того, до якої групи належить користувач. Нове місце повинно бути вказано з використанням формату UNC. При вказівці нового місця можна використовувати такі змінні, як %username%. Таким чином, для різних користувачів папка може бути перенаправлена в різні каталоги, проте всі ці каталоги повинні розташовуватися в одній і тій же мережевий папці загального доступу.
- Advanced (ускладнений). Для різних груп користувачів можна вказати різні місця розташування папки. Для різних груп можна вказати різні UNC-імена. Відповідні папки можуть розташовуватися на різних серверах.
Рекомендації з використання групових політик
Для йменування об'єктів групових політик використовуйте інформативні, змістовні імена. Це допоможе вам швидко визначити, навіщо потрібна та чи інша політика. Якщо або користувальницький, або комп'ютерний розділ політики не містить параметрів, що настроюються, відключіть обробку цього розділу. Цим Ви меншите час обробки політики і знизите навантаження на сервер. Використовуйте механізми Block Inheritance (блокування успадкування) і No Override (не скасовувати) з великою обережністю. У робочих середовищах, в яких ці можливості використовуються дуже часто, стає складно вирішувати проблеми, пов'язані із застосуванням політик. Якщо грамотно спроектувати архітектуру групових політик вашої мережі, можна взагалі обійтися без використання цих можливостей.
Зовнішні посилання
- Розділ групової політики на Microsoft TechNet [ 5 вересня 2008 у Wayback Machine.]
- Group Policy Management Console [ 19 січня 2008 у Wayback Machine.] — безкоштовна програма від Microsoft для управління груповою політикою.
Вікіпедія, Українська, Україна, книга, книги, бібліотека, стаття, читати, завантажити, безкоштовно, безкоштовно завантажити, mp3, відео, mp4, 3gp, jpg, jpeg, gif, png, малюнок, музика, пісня, фільм, книга, гра, ігри, мобільний, телефон, android, ios, apple, мобільний телефон, samsung, iphone, xiomi, xiaomi, redmi, honor, oppo, nokia, sonya, mi, ПК, web, Інтернет
Grupova politika ce nabir pravil vidpovidno do yakih vidbuvayetsya nalashtuvannya robochogo seredovisha Windows Grupovi politiki stvoryuyutsya v en ta replikuyutsya v mezhah domenu Ob yekt grupovoyi politiki Group Policy Object GPO skladayetsya z dvoh fizichno rozdilenih skladovih kontejnera grupovoyi politiki Group Policy Container GPC ta shablonu grupovoyi politiki Group Policy Template GPT Ci dva komponenti mistyat v sobi vsyu informaciyu pro parametri robochogo seredovisha sho vhodyat do skladu ob yekta grupovoyi politiki Produmane zastosuvannya ob yektiv GPO do elementiv katalogu Active Directory dozvolyaye stvoryuvati efektivne ta legko kerovane komp yuterne roboche seredovishe na bazi OS Windows Politiki zastosovuyutsya zverhu vniz iyerarhiyeyu katalogu Active Directory Stvorennya grupovih politikZa umovchannyam v iyerarhiyi katalogu Active Directory stvoryuyutsya dvi grupovi politiki z nadzvichajno viraznimi imenami Default Domain Policy politika domenu za umovchannyam Default Domain Controller s Policy politika kontrolera domenu za umovchannyam Persha z nih priznachayetsya domenu a druga kontejneru do skladu yakogo vhodit kontroler Yaksho vi bazhayete stvoriti svij vlasnij ob yekt GPO vi povinni voloditi neobhidnimi povnovazhennyami Za umovchannyam pravom stvorennya novih GPO volodiyut grupi Enterprise Administrators Administrator pidpriyemstva i Domain Administrators Administratori domenu Shob stvoriti novij ob yekt grupovoyi politiki neobhidno vikonati taki diyi Perekonajtesya v tomu sho vi pidklyuchilisya do sistemi z vikoristannyam oblikovogo zapisu sho nalezhit do odniyeyi z grup Domain Administrators Administratori domenu abo Enterprise Administrators Administratori pidpriyemstva Perekonajtesya v tomu sho v sistemi do yakoyi vi pidklyuchilisya vstanovleni zasobi administruvannya neobhidni dlya roboti z grupovimi politikami Zokrema vam bude potribna osnastka Active Directory Users and Computers Active Directory koristuvachi ta komp yuteri Comu osnashennyu vidpovidaye fajl dsa msc Vidkrijte konsol Active Directory Users and Computers Active Directory koristuvachi ta komp yuteri i perejdit do kontejnera OU shodo yakogo vi mayete namir zastosuvati politiku Pravoyu knopkoyu mishi klacnit na kontejneri OU z yavitsya menyu dlya viboru punkt Properties Vlastivosti i perejdit na vkladku GPO Shob stvoriti novij ob yekt GPO i priznachiti jogo potochnomu kontejnera klacnit na knopci New Novij U spisku posilan na ob yekti GPO z yavitsya nova poziciya ryadok imeni yakoyi bude znahoditisya v rezhimi redaguvannya Dajte novomu ob yektovi GPO zmistovne im ya Stvorena vami politika ye lishe zagotovkoyu Yiyi vmist formuyetsya na osnovi administrativnih shabloniv sho mistyatsya v papci SysVol kontrolera domenu na yakomu buv stvorenij GPO Ci shabloni mozhna rozshiriti i modifikuvati vidpovidno do potreb organizaciyi Do nayavnih komponentiv ob yekta GPO mozhna dodati stvoreni vami rozshirennya Napriklad za dopomogoyu grupovoyi politiki mozhna keruvati nalashtuvannyami prikladnih program Pislya stvorennya GPO slid modifikuvati znachennya parametriv cogo ob yekta takim chinom shob nalashtuvati viznachenu grupovoyu politikoyu konfiguraciyu robochogo seredovisha Na vkladci Group Policy Grupova politika klacnit na knopci Edit Redaguvati Pri comu zapustitsya redaktor grupovoyi politiki za dopomogoyu yakogo vi zmozhete modifikuvati konfiguraciyu komp yuteriv ta koristuvachiv yaka viznachayetsya politikoyu Spisok posilan na ob yekti GPO vidobrazhenij na storinci vlastivostej kontejneru OU mistit posilannya na ob yekti GPO roztashovani v katalozi Active Directory Zmini sho vnosyatsya do bud yakogo z ob yektiv GPO mozhut vplinuti na povedinku bagatoh ob yektiv katalogu Active Directory Shob viznachiti stosovno yakih same kontejneriv OU budut zastosovani zrobleni vami zmini vidkrijte dialogove vikno vlastivostej togo GPO sho Vas cikavit i perejdit na vkladku Links posilannya Shob otrimati spisok kontejneriv z yakimi pov yazana dana politika koristujtes knopkoyu Find Zasobi administruvannyaUtiliti grupi Administrative Tools vhodyat do komplektu postavki operacijnih sistem Server Advanced Server i Datacenter Server Fajl neobhidnij dlya vstanovlennya cih utilit nazivayetsya adminpak msi i roztashovuyetsya v katalozi i386 na ustanovchomu kompakt disku abo v pidkatalozi WINNT SYSTEM32 operacijnoyi sistemi Cej 15 megabajtnij fajl vstanovlyuye vsi neobhidni osnastki ta reyestruye biblioteki DLL neobhidni dlya roboti zasobiv administruvannya V nash chas koli vstanoviti utiliti grupi Administrative Tools Administruvannya mozhna tilki na platformu Windows 2000 Zastosuvannya grupovih politikPracyuyuchi z grupovimi politikami slid vrahovuvati sho ob yekti GPO zastosovuyutsya shodo kontejneriv a ne zamikayuchih ob yektiv odin kontejner mozhe buti pov yazanij z kilkoma ob yektami GPO ob yekti GPO pov yazani z odnim i tim zhe kontejnerom zastosovuyutsya do cogo kontejneru v tomu poryadku v yakomu voni buli priznacheni ob yekt GPO vklyuchaye v sebe dvi skladovi parametri pov yazani z komp yuterami i parametri pov yazani z koristuvachami opracyuvannya bud yakoyi z cih skladovih mozhna vimknuti spadkuvannya ob yektiv GPO mozhna blokuvati spadkuvannya ob yektiv GPO mozhna forsuvati zastosuvannya ob yektiv GPO mozhna filtruvati za dopomogoyu spiskiv Access control list Rozv yazuvannya konfliktu dvoh politikUyavit sho deyakij parametr napriklad logon banner grafichna zastavka pri pidklyuchenni viznacheno yak u politici R3 tak i v politici P1 Pri comu znachennya parametru zadane v politici R3 vidriznyayetsya vid znachennya zadanogo v politici R1 Yake znachennya bude prisvoyeno parametru u rezultati zastosuvannya oboh cih politik U podibnij situaciyi parametru ob yekta prisvoyuyetsya znachennya otrimane z GPO yakij znahoditsya do ob yekta blizhche vsogo Takim chinom v rozglyanutij situaciyi parametru logon banner bude prisvoyeno znachennya vzyate z politiki R1 Uspadkuvannya politikUyavit sho politika R3 mistit v sobi znachennya parametra logon banner u toj chas yak politika R1 ne viznachaye cogo parametra U comu razi yaksho u vidnoshenni do ob yekta zastosovuyutsya obidvi politiki parametru ob yekta sho rozglyadayetsya bude prisvoyeno znachennya z politiki R3 Odnak kontejneru SA ne priznacheno zhodnoyi politiki Vse zh taki parametru logon banner cogo kontejnera bude prisvoyeno znachennya z politiki R3 Malo togo u vidnoshenni cogo kontejnera budut povnoyu miroyu zastosovani politiki R3 i R1 tak yak kontejner SA uspadkuye ci politiki vid svoyih batkiv vuzla New York i domenu shinyapple msft Zastosuvannya dekilkoh politik vidnosno odnogo kontejneraUyavit sho politiki R4 i R5 v yakih viznachayutsya znachennya najriznomanitnishih parametriv zastosovani do kontejneru Acct U rozdili konfiguraciyi komp yutera politiki R4 chlenam globalnoyi grupi Accounting buhgalteriya dozvolyayetsya lokalno pidklyuchatisya do bud yakogo komp yutera v kontejneri Acct a takozh u vsih pidkontejnerah cogo kontejnera A v rozdili konfiguraciyi komp yutera politiki R5 prava grupi Accounting buhgalteriya ne priznachayutsya U spisku politik yakij vidobrazhayetsya na storinci Group Policy Grupova politika u vikni vlastivostej kontrolera domenu politika R5 roztashovuyetsya v verhnij chastini spisku vishe politiki R4 Politiki zaznacheni v comu spisku zastosovuyutsya do ob yekta v poryadku znizu vgoru Inshimi slovami politiki roztashovani v nizhnij chastini spisku zastosovuyutsya v pershu chergu pislya chogo zastosovuyutsya politiki roztashovani vishe za spiskom Takim chinom pri obrobci rozglyanutogo naboru politik vidnosno kontejnera Acct spochatku bude zastosovana politika R4 a potim politika R5 Otzhe pislya obrobki naboru politik parametr prav na lokalne pidklyuchennya do sistemi bude mistiti znachennya z politiki R5 Takim chinom chleni globalnoyi grupi Accounting buhgalteriya ne budut mati pravo lokalnogo pidklyuchennya do komp yuteriv kontejnera Acct i jogo pidkontejneriv Shob zminiti poryadok obrobki politik slid skoristatisya knopkami Up Vgoru i Down Vniz v pravomu nizhnomu kuti vkladki Group Policy Grupova politika Windows 2000 dozvolyaye blokuvati zastosuvannya deyakih rozdiliv ob yekta GPO Yaksho politika zastosovuyetsya shodo kontejnera ne povnistyu a tilki chastkovo zagalnij chas pidklyuchennya koristuvacha do sistemi zmenshuyetsya Chim mensha kilkist parametriv GPO slid zastosuvati u vidnoshenni togo chi inshogo ob yekta tim shvidshe vikonuyetsya obrobka vidpovidnoyi politiki Vidklyuchennya obroblennya deyakih rozdiliv politiki mozhna zdijsniti okremo dlya kozhnogo z ob yektiv GPO Dlya cogo slid vikonati taki diyi Vidkrijte osnastku Active Directory Users and Computers Active Directory koristuvachi i komp yuteri Vidilit kontejner sho Vas cikavit vidkrijte vikno vlastivostej cogo kontejnera i perejdit na vkladku Group Policy Grupova politika Viberit ob yekt GPO yakij vi mayete namir modifikuvati Klacnit na knopci Properties Vlastivosti Tut vi mozhete blokuvati zastosuvannya shodo kontejnera parametriv politiki sho vidnosyatsya do konfiguraciyi komp yutera abo do konfiguraciyi koristuvacha Pislya togo yak vi zaznachili zastosuvannya yakogo iz rozdiliv GPO povinno buti blokovano na ekrani z yavitsya povidomlennya pro te sho znachennya parametriv modifikovanih zavdyaki danij politici budut vidnovleni v pochatkovij stan Napriklad yaksho blokuvati zastosuvannya parametriv GPO sho vidnosyatsya do konfiguraciyi koristuvacha to konfiguraciya vsih koristuvachiv shodo yakih diye dana politika bude vidnovlena v stan v yakomu vona bula do zastosuvannya danoyi politiki Na vidminu vid Windows 2000 operacijna sistema NT 4 0 vikonuvala ochishennya politik nekorektno U zv yazku z cim v NT 4 0 navit pislya skasuvannya politiki parametri ob yektiv zberigali znachennya prisvoyeni yim v procesi zastosuvannya skasovanoyi politiki Blokuvannya zastosuvannya odnogo z rozdiliv politiki nalashtovuyetsya dlya konkretnogo ob yekta GPO i diye vidnosno vsih kontejneriv dlya yakih priznachenij cej GPO Blokuvannya spadkuvannya politikiWindows 2000 dozvolyaye blokuvati spadkuvannya politiki vid batkivskogo ob yekta Napriklad yaksho vi hochete shob vidnosno kontejnera IT i vsih jogo pidkontejneriv diyali tilki politiki viznacheni na rivni IT na storinci Group Policy Grupova politika vlastivostej ob yekta IT vstanovit praporec Block Policy Inheritance blokuvati spadkuvannya politiki Pri comu politiki R1 i R3 ne budut zastosovuvatis u vidnoshenni do kontejneriv IT Workstations i IT Servers Blokuvannya spadkuvannya politik ne mozhna vidklyuchiti dlya yakoyi nebud odniyeyi politiki Yaksho dlya bud yakogo kontejnera vklyucheno blokuvannya spadkuvannya politik shodo cogo kontejnera i vsih jogo pidkontejneriv perestayut diyati absolyutno vsi politiki priznacheni na vishih rivnyah iyerarhiyi katalogu Active Directory Cej parametr mozhe buti nalashtovanij okremo dlya konkretnogo ob yekta GPO i diye vidnosno vsih kontejneriv dlya yakih priznachenij cej GPO Yaksho dlya ob yekta GPO vstanovlenij praporec No Override ne skasovuvati znachennya parametriv z vidpovidnoyi politiki zavzhdi budut mati velikij prioritet pri viniknenni konfliktiv politik nezalezhno vid togo na yakomu rivni iyerarhiyi roztashovani kontejneri do yakih zastosovuyetsya danij GPO Napriklad yaksho vi vidkriyete vikno vlastivostej domenu shinyapple msft i vstanovit praporec No Override ne skasovuvati dlya politiki R1 ob yekti roztashovani nizhche za iyerarhiyeyu Active Directory zavzhdi budut nalashtovani zgidno zi znachennyami zadanimi v politici R1 Pri viniknenni konfliktu politik znachennyam z R1 bude viddano perevagu Garnim prikladom situaciyi v yakij mozhe znadobitisya vikoristannya danoyi mozhlivosti ye zastosuvannya parametriv bezpeki Yaksho dlya bud yakogo kontejnera vklyucheno blokuvannya spadkuvannya politik politika sho volodiye vlastivistyu No Override ne skasovuvati vse rivno bude zastosovana tak yak parametr No Override ne skasovuvati maye visokij prioritet Filtraciya politikFiltraciya zastosovuvanih politik na osnovi chlenstva ob yektiv u grupah bezpeki ye she odnim metodom zmini zvichajnogo poryadku zastosuvannya politik shodo ob yektiv Active Directory Filtraciya zdijsnyuyetsya za dopomogoyu spiskiv ACL Access Control List Kozhen ob yekt GPO maye pov yazanij z nim spisok ACL Informaciya z spisku ACL ob yekta GPO analizuyetsya sistemoyu bezpeki nezalezhno vid togo do yakogo z kontejneriv zastosovuvatimetsya cej GPO Politika zastosovuyetsya shodo ob yekta tilki v tomu vipadku yaksho ob yekt volodiye vidnosno vidpovidnogo GPO dozvolami Read Chitannya i Apply Group Policy zastosuvannya grupovoyi politiki Yaksho ob yekt koristuvach abo grupa ne maye dovolu Apply Group Policy zastosuvannya grupovoyi politiki politika grupi v jogo vidnoshenni ne zastosovuyetsya Nalagodzhennya procesu obrobki politik i profilivShob zadokumentuvati u zhurnali poslidovnist u yakij zastosovuyutsya politiki ta profili slid za dopomogoyu redaktora reyestru dodati klyuch HKEY LOCAL MACHINE Software Microsoft WindowsNT CurrentVersion Winlogon znachennya UserEnvDebugLevel tipu REG DWORD yake maye buti rivne 0x10002 Pislya cogo perezapustit komp yuter Zhurnal zastosuvannya politik i profiliv bude zapisanij u fajl SystemRoot Debug Usermode Userenv log Krim ob yektiv GPO isnuyuchih v katalozi Active Directory v kozhnij sistemi Windows 2000 isnuye takozh lokalna politika local policy Lokalna politika viznachaye parametri vidpovidno do yakih nalashtovuyetsya robocha stanciya Sistema zastosovuye politiki v pevnomu poryadku lokalna politika Local policy politika vuzla Site policy potim domenna politika Domain policy politika kontejnera OU Organizational Unit policy Poryadok zastosuvannya politik chasto poznachayut poslidovnistyu simvoliv L S D OU Yaksho lokalna politika konfliktuye z politikoyu vuzla domenu abo kontejnera OU vona zavzhdi prograye Inshimi slovami v procesi zastosuvannya politik lokalna politika maye najmenshij prioritet Vsi parametri za vinyatkom scenariyiv vmikannya pochatku roboti sistemi i vimikannya zavershennya roboti sistemi a takozh vstanovlennya programnogo zabezpechennya abo priznachenogo abo opublikovanogo onovlyuyutsya kozhni 90 hvilin zi zminnim zsuvom plyus minus 30 hvilin Onovlennya zdijsnyuyetsya za iniciativoyu mehanizmu onovlennya grupovih politik sho pracyuye na storoni kliyenta yakij stezhit za tim koli kliyent ostannij raz vikonuvav onovlennya Na pochatku procesu onovlennya poryadkovi nomeri versij vsih diyuchih politik porivnyuyutsya z lokalnimi nomerami versij Yaksho lokalnij i viddalenij nomeri versij ne zbigayutsya znovu zastosovuyetsya vsya politika V inshomu vipadku niyakogo onovlennya ne vidbuvayetsya Onovlennya politik yaki diyut shodo kontroleriv domeniv vikonuyetsya kozhni p yat hvilin Kliyenti yaki mozhut vikoristovuvati grupovu politikuU procesi perehodu na vikoristannya Windows 2000 u vashij merezhi napevno budut prisutni komp yuteri osnasheni bilsh rannimi versiyami Windows Shob efektivno keruvati takoyu merezheyu vazhlivo rozumiti shodo yakih komp yuteriv bude diyati grupova politika Dali pererahovuyutsya operacijni sistemi shodo yakih diye grupova politika Windows 2000 amp 2003 Server Komp yuteri sho mayut operacijnu sistemu Windows 2000 Server mozhut buti abo zvichajnimi chlenami domenu Active Directory abo kontrolerami domenu Grupova politika v povnij miri zastosovuyetsya do oboh riznovidiv serveriv Windows 2000 amp XP Professional Grupova politika v povnij miri zastosovuyetsya vidnosno komp yuteriv osnashenih Windows NT 4 0 Workstation i Server Stosovno takih komp yuteriv mozhna zastosuvati tilki sistemni politiki u stili NT 4 0 Dlya stvorennya takih politik vikoristovuyetsya redaktor poledit exe Za dopomogoyu poledit exe administrator mozhe stvoryuvati fajli adm Windows NT 4 0 ne pidtrimuye Active Directory i ne vikoristovuye ob yektiv lokalnoyi politiki tomu vidnosno komp yuteriv osnashenih ciyeyu operacijnoyu sistemoyu grupova politika ne zastosovuyetsya Windows 95 ta Windows 98 Dlya stvorennya sistemnoyi politiki v operacijnih sistemah Windows 98 i Windows 95 vikoristovuyetsya specialnij redaktor sistemnoyi politiki Oderzhanij v rezultati redaguvannya fajlu z rozshirennyam pol slid skopiyuvati v katalog SysVol Redaktori sistemnoyi politiki sho vhodyat do komplektu Windows 2000 ta Windows NT ne sumisni z Windows 98 ta Windows 95 Grupova politika Windows 2000 shodo takih komp yuteriv ne zastosovuyetsya Windows NT 3 51 Windows 3 1 ta DOS Grupova politika ne zastosovuyetsya Scenariyi pidklyuchennya ta vidklyuchennyaOperacijna sistema Windows NT dozvolyaye priznachiti kozhnomu koristuvachevi scenarij sho mistit komandi yaki neobhidno vikonati pri pidklyuchenni danogo koristuvacha do sistemi Zazvichaj scenariyi pidklyuchennya vikoristovuyutsya dlya pochatkovogo nalashtuvannya robochogo otochennya koristuvacha Krim scenariyiv pidklyuchennya Windows 2000 pidtrimuye takozh scenariyi vidklyuchennya Malo togo v novij operacijnij sistemi dlya kozhnogo komp yutera mozhna priznachiti scenariyi pochatku i zavershennya roboti sistemi Sistema vikonannya scenariyiv WSH pidtrimuye vikonannya scenariyiv napisanih takimi movami yak Visual Basic abo Jscript sho dozvolyayut bezposeredno zvertatisya do funkcij Windows API Rozglyanemo deyaki mozhlivosti pov yazani z vikoristannyam scenariyiv v seredovishi Windows 2000 Scenariyi viznacheni v ramkah koristuvackogo ob yekta Taki scenariyi pidtrimuyutsya tak samo yak ce bulo v Windows NT 4 0 ta isnuyut v osnovnomu dlya zabezpechennya sumisnosti z Windows rannih versij Kliyenti Windows 2000 ta Windows NT 4 0 namagayutsya viyaviti taki scenariyi v spilnij papci Netlogon servera Yaksho viyaviti scenarij ne vdalosya poshuk provoditsya v katalozi SystemRoot system32 Repl lmport Scripts roztashuvannya scenariyiv sho vikoristovuyetsya v NT 4 0 Zagalna papka Netlogon roztashovuyetsya v katalozi SysVol sysvol imya domenu scripts i avtomatichno replikuyetsya sluzhboyu FRS Replikaciya katalogu scenariyiv operacijnoyi sistemi NT 4 0 povinna buti nalashtovana vruchnu Scenariyi viznacheni v ramkah grupovoyi politiki Ci scenariyi zastosovuyutsya shodo kontejneriv OU Inshimi slovami shob priznachiti koristuvachu scenarij pidklyuchennya abo vidklyuchennya slid zrobiti koristuvacha chlenom kontejnera OU dlya yakogo viznachena politika v ramkah yakoyi diye scenarij pidklyuchennya abo vidklyuchennya Cej metod ye gnuchkishim Yaksho vi pevodite svoyu merezhu na vikoristannya Windows 2000 vi takozh povinni vrahovuvati deyaki inshi osoblivosti pov yazani zi scenariyami U bagatoh merezhah poryad z mashinami Windows 2000 vikoristovuyutsya komp yuteri osnasheni bilsh rannimi versiyami Windows z ciyeyi prichini rekomenduyetsya vikonuvati onovlennya servera sho mistit zagalnu papku Netlogon v ostannyu chergu Ce pov yazano z tim sho sluzhba replikaciyi sho vikoristovuyetsya v Windows 2000 FRS ne sumisna zi sluzhbami replikaciyi NT Takim chinom onovlyuyuchi merezhu vi povinni buti vpevneni v tomu sho absolyutno vsi kliyenti mayut mozhlivist dostupu do papki Netlogon ta scenariyam pidklyuchennya nezalezhno vid togo yaku operacijnu sistemu voni vikoristovuyut Slid takozh vrahovuvati sho v Windows NT scenariyi pidklyuchennya pracyuyut v konteksti bezpeki koristuvacha U Windows 2000 ce spravedlivo lishe chastkovo U Windows 2000 scenariyi sho mayut vidnoshennya do koristuvacha pidklyuchennya do sistemi i vidklyuchennya vid sistemi takozh vikonuyutsya v konteksti bezpeki koristuvacha v toj chas yak scenariyi sho mayut vidnoshennya do komp yutera pochatku roboti sistemi i zavershennya roboti sistemi vikonuyutsya v konteksti bezpeki LocalSystem Deleguvannya prav na administruvannya grupovih politikMozhlivist upravlinnya ob yektami GPO mozhna deleguvati inshim vidpovidalnim osobam Deleguvannya zdijsnyuyetsya za dopomogoyu spiskiv ACL Spiski ACL ob yekta GPO dozvolyayut priznachiti vidnosno cogo ob yekta dozvoli na modifikaciyu cogo GPO abo na priznachennya GPO shodo deyakogo kontejnera Takim chinom mozhna zaboroniti stvorennya neavtorizovanih ob yektiv GPO Napriklad stvorennya i modifikaciyu GPO mozhna doviriti grupi administratoriv domenu v toj chas yak priznachennya cih GPO mozhut zdijsnyuvati administratori okremih kontejneriv OU Administrator kontejnera OU mozhe vibrati najslushnishij ob yekt GPO i zastosuvati jogo vidnosno bud yakogo z pidkontrolnih jomu OU Odnak pri comu vin ne zmozhe zminiti vmist GPO abo stvoriti novij GPO Upravlinnya koristuvackimi dokumentami i keshuvannyam na storoni kliyentaGrupova politika dozvolyaye perenapravlyati deyaki koristuvalnicki katalogi takim chinom shob pri zvernenni do nih koristuvach naspravdi zvertavsya do merezhevih katalogiv abo pevnih misc lokalnoyi fajlovoyi sistemi Nabir papok yaki mozhna perenapraviti takim chinom vklyuchaye v sebe Application data Desktop Robochij stil My Documents Moyi dokumenti My Pictures Moyi malyunki Start Menu Golovne menyu Mehanizm perenapravlennya koristuvacha tek ye chastinoyu tehnologiyi meta yakoyi zabezpechiti dostup do robochih fajliv i konfiguracijnoyi informaciyi nezalezhno vid togo yaku robochu stanciyu koristuvach vikoristovuye dlya roboti Yak naslidok tehnologiya Intellimirror zabezpechuye zberezhennya koristuvalnickih fajliv i konfiguracijnih danih u razi yaksho robocha stanciya koristuvacha vihodit z ladu Perenapravlennya katalogiv nalashtovuyetsya v rozdili User Configuration konfiguraciya koristuvacha Windows Settings parametri Windows Folder Redirection perenapravlennya papok ob yekta grupovoyi politiki U comu rozdili vidobrazhayutsya vsi ranishe perelicheni papki Shob perenapraviti odnu z cih papok v nove misce pravoyu knopkoyu mishi klacnit na yiyi imeni ta v menyu oberit punkt Properties Vlastivosti Na vkladci Target Cil vi mozhete vibrati odin z troh variantiv perenapravlennya koristuvackoyi papki No administrative policy specified administrativna politika ne priznachena Basic bazovij Perenapravlyaye papku v nove misce nezalezhno vid togo do yakoyi grupi nalezhit koristuvach Nove misce povinno buti vkazano z vikoristannyam formatu UNC Pri vkazivci novogo miscya mozhna vikoristovuvati taki zminni yak username Takim chinom dlya riznih koristuvachiv papka mozhe buti perenapravlena v rizni katalogi prote vsi ci katalogi povinni roztashovuvatisya v odnij i tij zhe merezhevij papci zagalnogo dostupu Advanced uskladnenij Dlya riznih grup koristuvachiv mozhna vkazati rizni miscya roztashuvannya papki Dlya riznih grup mozhna vkazati rizni UNC imena Vidpovidni papki mozhut roztashovuvatisya na riznih serverah Rekomendaciyi z vikoristannya grupovih politikDlya jmenuvannya ob yektiv grupovih politik vikoristovujte informativni zmistovni imena Ce dopomozhe vam shvidko viznachiti navisho potribna ta chi insha politika Yaksho abo koristuvalnickij abo komp yuternij rozdil politiki ne mistit parametriv sho nastroyuyutsya vidklyuchit obrobku cogo rozdilu Cim Vi menshite chas obrobki politiki i znizite navantazhennya na server Vikoristovujte mehanizmi Block Inheritance blokuvannya uspadkuvannya i No Override ne skasovuvati z velikoyu oberezhnistyu U robochih seredovishah v yakih ci mozhlivosti vikoristovuyutsya duzhe chasto staye skladno virishuvati problemi pov yazani iz zastosuvannyam politik Yaksho gramotno sproektuvati arhitekturu grupovih politik vashoyi merezhi mozhna vzagali obijtisya bez vikoristannya cih mozhlivostej Zovnishni posilannyaRozdil grupovoyi politiki na Microsoft TechNet 5 veresnya 2008 u Wayback Machine Group Policy Management Console 19 sichnya 2008 u Wayback Machine bezkoshtovna programa vid Microsoft dlya upravlinnya grupovoyu politikoyu