Настройка множественной локальной групповой политики Windows (MLGPO)

Автор Itworkroom

Настройка множественной локальной групповой политики Windows

В Windows локальные политики применяются ко всем без исключения пользователям компьютера, в том числе и входящим в группу локальных администраторов. Однако начиная с Vista появился функционал Множественные локальные групповые политики (Multiple Local Group Policy Objects, MLGPO), позволяющий разделять настройки для различных пользователей или групп.

Воспользуемся этой возможностью и в качестве примера запретим всем пользователям, кроме администраторов, доступ к съемным устройствам.

Специальной оснастки для множественных групповых политик не существует, и чтобы воспользоваться этим функционалом надо проделать некоторые действия. Сначала нажимаем Win+R и вводим командуmmc. Затем в открывшейся консоли открываем пункт меню Файл — Добавить или удалить оснастку.
Добавить или удалить оснастку
Из списка оснасток слева выбираем «Редактор объектов групповой политики» и жмем на кнопку Добавить.Редактор объектов групповой политики
В окне мастера групповой политики надо указать объект, на который будут воздействовать политики. По умолчанию выбран объект Локальный компьютер, соответственно политики будут воздействовать на всех пользователей этого компьютера. Для изменения объекта жмем кнопку Обзор.мастер групповой политики
Переходим на вкладку Пользователи и выбираем из списка группу Не администраторы. Таким образом политики будут воздействовать только на пользователей, не входящих в группу локальных администраторов. Это самый простой способ разделить действие политик, впрочем при желании можно создать отдельную политику для каждого пользователя. вкладка Пользователи
Завершив выбор объекта групповой политики жмем кнопку Готово. выбор объекта групповой политики
Открывается оснастка редактора групповых политик. Обратите внимание, что поскольку объектом являются пользователи, то для редактирования доступен только узел Конфигурация пользователя. Открываем пункт Административные шаблоны\Система\Доступ к съемным запоминающим устройствам и включаем параметр «Съемные запоминающие устройства любых классов: Запретить любой доступ».оснастка редактора групповых политик
Теперь если зайти на компьютер с обычной учетной записью пользователя (не входящей в группу Администраторы), то при попытке доступа к любому съемному устройству хранения будет выдана ошибка. При этом администраторы компьютера спокойно могут продолжать пользоваться съемными носителями.выдана ошибка
Для удаления созданную политики надо в консоли MMC пройти до выбора объекта, кликнуть на нем правой клавишей и выбрать пункт Удалить объект групповой политики.Удалить объект групповой политики
С помощью множественных локальных групповых политик можно довольно гибко настраивать пользовательское окружение для каждого конкретного пользователя компьютера. Однако у локальных политик остался еще один важный недостаток, а именно невозможность централизованного управления. Поэтому, по возможности, все же лучше использовать доменные групповые политики, они гораздо удобнее в использовании.

источник

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *