Групповую политику можно считать набором правил управления пользователями и компьютерами.
Групповые политики применяются к группам доменов, к отдельным доменам, к подмножествам компьютеров домена и к отдельным компьютерам. Политика, применяемая к конкретному компьютеру, называется локальной групповой политикой (local group policy) и хранится только на соответствующем компьютере. Другие групповые политики хранятся как объекты хранилища данных Active Directory.
Структура Active Directory
Чтобы разобраться в групповых политиках, необходимо в общих чертах представлять структуру Active Directory. В Active Directory логические объединения доменов называются сайтами (sites), а подгруппы компьютеров в пределах домена — подразделениями (organizational units). Ваша сеть может быть разделена на сайты NewYorkMain, CaliforniaMain и WashingtonMain. Внутри сайта WashingtonMain могут иметься домены SeattleEast, Seattle West, SeattleNorth и SeattleSouth. Наконец, в домене SeattleEast могут быть подразделения Information Services, Engineering и Sales.
Применение групповых политик
Групповые политики применяются только к системам, работающим под управлением Windows 2000, Windows ХР Professional, Windows Vista, Windows Server 2003 и Windows Server 2008. Политики для систем Windows NT 4.0 задаются при помощи редактора системной политики (System Policy Editor, Poledit.exe). Для Windows 95 и Windows 98 вам придется воспользоваться редактором системной политики из комплекта этих ОС, а затем скопировать файл системной политики в общий ресурс Sysvol на контроллере домена.
Что такое GPO?
Параметры групповой политики хранятся в объекте групповой политики (Group Policy Object, GPO) — контейнере для применяемых вами политик и их параметров. К одному и тому же сайту, домену или подразделению можно применить несколько GPO.
Полезно! Поскольку групповая политика описывается при помощи объектов, к ней применимы многие объектно-ориентированные понятия. Если вы знакомы с объектно-ориентированным программированием и подозреваете, что к GPO применимы понятия родительских и дочерних объектов и наследования, знайте: вы не ошиблись.
Контейнером (container) называется объект верхнего уровня, содержащий другие объекты. Благодаря наследованию политика, примененная к родительскому контейнеру, наследуется дочерним контейнером. По сути, это означает, что параметр политики, примененный к родительскому объекту, передается в дочерний объект. Скажем, если вы применили параметр политики к домену, он наследуется подразделениями этого домена. В данном случае GPO домена является родительским объектом, a GPO подразделения — дочерним объектом.
Порядок наследования таков: сайт — домен — подразделение. То есть, параметры групповой политики сайта передаются доменам этого сайта и далее подразделениям этих доменов.
Легко догадаться, что наследование можно отменить. Для этого достаточно применить непосредственно к дочернему контейнеру параметр политики, противоречащий параметру политики родительского контейнера. Сработает именно этот явно примененный параметр, если, конечно, перекрытие политик не заблокировано.
Видео о групповых политиках Windows
Более подробно раскрывает тему статьи видеолекция «Основы работы с групповыми политиками».
Часть 1
Часть 2