Порядок застосування групових політик
Застосування групових політик відбувається в послідовності, відповідної ієрархії GPO: спочатку об'єкт групової політики сайту, потім домену, потім GPO, пов'язані з підрозділами відповідно до їх вкладеністю, Порядок виконання групових політик можна змінити за допомогою налаштувань, які блокують певні групові політики або змушують їх виконуватися примусово. Крім того, на порядок виконання групових політик впливає застосування груп безпеки, про які йтиметься нижче.
За замовчуванням групової політики, які застосовуються до контейнера певного рівня, успадковуються всіма контейнерами нижчих рівнів і що знаходяться всередині них користувачами і комп'ютерами. Якщо з дочірньою організаційною одиницею (контейнером) пов'язаний свій GPO, він може встановлювати для неї індивідуальні настройки групових політик, що скасовують застосування до неї успадкованих налаштувань. Якщо деякі настройки групової політики батьківського контейнера не задані (not defined), то вони не успадковуються і дочірніми контейнерами. Якщо батьківський контейнер має сконфігурованими настройками групових політик, які не задані в GPO дочірнього контейнера, то такі настройки успадковуються.
Спадкування налаштувань групових політик батьківського контейнера дочірнім контейнером, з яким пов'язаний власний об'єкт групової політики, може мати місце тільки в разі сумісності цих групових політик. Наприклад, якщо політика батьківського контейнера задає певну конфігурацію робочого столу комп'ютера користувача, а політика дочірнього контейнера доповнює її, користувач побачить на своєму робочому столі все елементи, задані обома політиками. Якщо ж групова політика батьківського контейнера суперечить груповій політиці дочірнього контейнера. виконуються тільки настройки GPO, пов'язаного з дочірнім контейнером.
Такий стан речей може бути змінено. Установка прапорця Блокувати спадкування політики (Block Policy inheritance), що знаходиться на вкладці Групова політика вікна властивостей деякого контейнера, забороняє успадкування будь-яких групових політик, встановлених для батьківського контейнера.
Існує засіб, що дозволяє налаштувати примусове застосування групової політики, налаштованої для деякого контейнера, усіма контейнерами нижчого рівня. Для цього на вкладці Групова політика вікна властивостей контейнера слід натиснути кнопку Параметри (Options). У вікні діалогу Параметри імя_подразделенія необхідно встановити прапорець Чи не перекривати (No override). В цьому випадку дочірні контейнери будуть успадковувати (т. Е. Не зможуть перевизначити) всі налаштування батьківського контейнера, навіть в тому випадку, якщо для дочірніх контейнерів встановлено прапорець Блокувати спадкування політики.
Застосування групових політик не обмежується тільки, наприклад, моментом завантаження операційної системи комп'ютера або реєстрацією користувача в системі. При роботі комп'ютера в мережі групові політики можуть змінитися, тому вони застосовуються періодично (за замовчуванням - кожні 90 хвилин). Тривалість періоду застосування політик можна змінювати. Якщо задати його рівним нулю, групові політики застосовуються через кожні 7 секунд. Слід враховувати, що при зменшенні періоду застосування групових політик значно збільшується навантаження на систему. На контролерах доменів період застосування політик дорівнює 5-ти хвилинах.
Налаштування розширень Установка програм і Перепризначення папки застосовуються тільки при завантаженні операційної системи або реєстрації користувача в системі, оскільки періодичне застосування цих групових політик може викликати небажані результати.
Для блокування і налаштування примусового виконання групової політики:- Запустіть оснащення Active Directory-користувачі і комп'ютери, вкажіть потрібний контейнер і натисніть праву кнопку миші.
- У контекстному меню виберіть команду Властивості.
- У вікні властивостей перейдіть на вкладку Групова політика (рис. 27.3). Натисніть кнопку Параметри.
- У вікні, встановіть прапорець Чи не перекривати. Тепер налаштування дочірніх об'єктів групової політики не зможуть змінювати дію (перевизначати) налаштувань даного об'єкта.
- Натисніть кнопку ОК.
- У вікні властивостей контейнера встановіть прапорець Блокувати спадкування політики, що заборонить поширення групової політики вищого рівня на поточний контейнер і контейнери нижніх рівнів.
Мал. 27.3. Вікно властивостей групових політик деякого підрозділу