Локальные политики — те что располагаются на конечном рабочем месте или сервере. Применяются тут же.
GPO — Group Policy Object — собственно и есть групповая политика, точнее объект групповой политики, что включает в себя кучу параметров. Данный объект можно применить на уровне Сайта (Site), Домена (Domain) или Организационной Иденицы (OU).
GPC — Group Policy Container — контейнер для набора групповых политик. К объектам в сети применяется политика если он находится в данном контейнере.
Как себя ведут групповые политики
Порядок их применения следующий :
Local Policy > Site GPO > Domain GPO > OU GPO > Child OU GPO >…
То есть сперва применяется локальная политика. После политики Сайта, тем самым перезаписывая политики локальные. Далее Доменные, перезаписывая Локальные и Сайта. Политики Контейнера переписывают все предыдущие. И так далее с дочерними контейнерами. Таким образом чем ближе к объекту, тем политика сильнее. То есть если на уровне Сайта что-то разрешалось, на уровне Домена запрещалось, а в Контейнере разрешалось, то результатом будет Разрешено.
Каждый объект групповой политики состоит из 2-х секций:
— Настройки Компьютера — применяются при загрузке компьютера, до входа пользователя в систему;
— Настройки Пользователя — применяются при входе пользователя в систему, настройки применяются ко всем пользователям;
В каждой секции подгруппы:
— Software settings and Windows settings — настройки DLL на машине;
— Administrative templates — настройки реестра на машине. Сюда можно загрузить новые шаблоны. Например с официального сайта Microsoft.
После создания GPO, она сохраняется в контейнере что вы выбрали. Также она будет находится в Group Policy Objects (отсюда её можно прикрепить к различным объектам):
Переходите на вкладку Settings. Тут в виде древа будут лишь те настройки, что были выставлены:
Если вы не хотите, чтобы политики «свыше» переписывали настройки в GPO конкретного контейнера, тогда нужно выделить контейнер и выбрать Block Inheritence.
Тут видно, что 3 различные GPO наследованы:
Есть два режима:
Logging Mode — какие в действительности политики применили на этой машине:
Planning Mode — какой будет результат в случае применения тех или иных настроек:http://www.petri.co.il/working_with_group_policy.htm
(как добавить оснастку)
Не является удобным средством, так как нужно будет спускаться в нужные рубрики.
Более удобное средства для выявления применяемых политик на удалённых машинах используя централизованную консоль.