Наследование гарантирует, что групповая политика подействует на все объекты компьютеров и пользователей в домене, сайте или подразделении. Большинство политик может находиться в трех состояниях: не задана, включена и отключена. По умолчанию большинство параметров политик не заданы. Включенная политика применяется ко всем связанным пользователям и компьютерам либо непосредственно, либо через наследование. Если политика выключена, она не применяется к связанным пользователям и компьютерам ни непосредственно, ни через наследование.
Есть четыре основных способа изменить работу наследования:
• изменить порядок и приоритет связей;
• перекрыть наследование (если не задано принудительное выполнение);
• заблокировать наследование (полностью отказаться от него);
• задать принудительное наследование (отменяющее перекрытие и блокировку).
Групповые политики наследуются от сайта к домену и от домена к подразделению. Учитывайте следующее:
• Если к определенному уровню привязано несколько объектов политики, порядок применения параметров политик определяется порядком связей. Сначала применяется политика с наименьшим номером связи, затем — политики с нарастающими номерами. Наивысший приоритет имеет последний примененный объект Именно его параметры являются финальными и перекрывают аналогичные параметры всех остальных объектов политики (если не заданы блокировка или принудительное наследование.
• Если несколько объектов политики наследуются с более высокого уровня, они также применяются в порядке следования связей. Как и в предыдущем случае, сначала применяется политика с наименьшим номером связи, затем — политики с нарастающими номерами. Наивысший приоритет имеет’ последний примененный объект. Именно его параметры являются финальными и перекрывают аналогичные параметры всех остальных объектов политики (если не заданы блокировка или принудительное наследование).
Чтобы изменить порядок следования связей и, следовательно, порядок применения политик, выполните следующие действия:
1. В GPMC выделите контейнер нужного сайта, домена или подразделения.
2. В правой панели по умолчанию выбрана вкладка Связанные объекты групповой политики (Linked Объекты групповой политики (Group Policy Objects)). Щелкните нужный объект.
3. При помощи кнопок Переместить связь вверх (Move Link Up) и Переместить связь вниз (Move Link Down) переместите объект на нужное место.
4. Перейдите па вкладку Наследование групповой политики (Group Policy Inheritance) и убедитесь, что объекты политики обрабатываются в нужном порядке.
Общий способ управления наследованием состоит в перекрытии наследуемых параметров. Если в объекте высокого уровня политика включена, вы можете перекрыть наследование, отключив политику на низком уровне. Если в объекте высокого уровня политика отключена, вы можете перекрыть наследование, включив политику на низком уровне. Этот метод приведет к желаемому результату, при условии что для политики не заданы блокировка или принудительное выполнение.
Иногда наследование нужно заблокировать, чтобы к пользователям и компьютерам определенного контейнера не применялись политики, унаследованные с более высокого уровня. При блокировке наследования применяются только настроенные параметры политик, связанных сданным уровнем, в параметры политик из контейнеров более высокого уровня блокируются (если не задано принудительное выполнение политики).
Администратор домена может применить блокировку, чтобы запретить наследование политик с уровня сайта. Соответственно, администраторы подразделений при помощи блокировки отменяют применение политик наследуемых с уровней домена и сайта. Блокировка гарантирует «автономию» домена или подразделения, при которой все полномочия по управлению политиками оказываются в руках соответствующей администрации.
Чтобы заблокировать наследование при помощи GPMC, щелкните правой кнопкой нужный домен пли подразделение и выберите команду Блокировать наследование (Block Inheritance). Если она уже отмечена, ее повторный выбор отменит блокировку. Если в дереве консоли GPMC к значку контейнера добавлен синий кружок с восклицательным знаком, наследование для этого контейнера заблокировано.
Можно запретить администратору контейнера перекрывать или блокировать наследуемые параметры групповой политики, задав принудительное наследование. При этом все настроенные параметры политик с более высокого уровня наследуются и применяются независимо от того, какие параметры политик настроены на более низком уровне. Таким образом, принудительное наследование отменяет и перекрытие, и блокировку параметров политик.
При помощи принудительного наследования администраторы отменяют блокировку или перекрытие введенные администраторами доменов и подразделений. Администраторы домена этим же способом отменяют блокировки и перекрытия, введенные администраторами подразделений.
Чтобы ввести принудительное наследование при помощи GPMC, разверните контейнер высокого уровня, с которого нужно начать принудительное наследование, щелкните правой кнопкой ссылку на GPO и выберите команду Принудительный (Enforced). Допустим, чтобы гарантировать наследование всеми подразделениями GPO уровня домена, разверните контейнер домена, щелкните правой кнопкой GPO доменного уровня и выберите команду Принудительный (Enforced). Если она уже отмечена, ее повторный выбор отменит принудительное наследование. В GPMC очень просто определить, какие политики наследуются принудительно. Выделите объект политики и перейдите на вкладку Область (Scope) правой панели. У принудительно наследуемой политики в столбце Принудительный (Enforced) стоит значение Да (Yes).
Выделив объект политики, щелкните правой кнопкой соответствующий элемент в столбце Размещение (Location) на вкладке Область (Scope), чтобы отобразить контекстное меню, позволяющее управлять связями и принудительным применением политики. Команда Связь включена (Link Enabled) служит для включения и выключения связей. При помощи команды Принудительный (Enforced) вы управляете принудительным наследованием.
Всегда мечтали жить у моря? И думаете, что в России такой возможности нет? — Зря, присмотритесь к Ростовской области, например к Азовскому району. Центром явлется не большой город Азов, вакансии в Азове есть, так что без работы не останитесь. И море есть — Азовское.
