записки ремесленника

АЛЕКСАНДР ПРИХОДЬКО

Спецвыпуск: Хакер, номер #067, стр. 067-082-3

Если даже я что-то пропустил, ты и сам найдешь, где бы докрутить гайки.

Теперь стандартный "gpupdate /force" — смотрим, что получилось. Чуть не забыл! Мы же создали групповую политику «Враги». Теперь сделаем то, что задумано: пользователь должен иметь доступ к сетевым ресурсам, необходимым для работы, и только. Пользователи-враги могут находиться в разных подразделениях (OU). Чтобы мы могли легко организовывать перекрытие кислорода, в каждом OU создадим еще одно OU и назовем его «Враги».

Далее в Group Policy Management привязываем нашу политику «Враги» к OU «Враги», вложенному в OU «Экономика». По правой кнопке мыши на GPO «Враги» делаем политику обязательной к применению.

Теперь, для того чтобы господин Тяпкин ощутил на себе всю мощь твоего гнева, перетаскиваем Тяпкина из OU «Экономика» на этаж ниже в OU «Враги».

Последний штрих перед тем, как мы посмотрим на действие политики. В каждом OU подразделений делаешь дополнительное OU «Враги». Теперь при необходимости каждый потенциальный враг в любом подразделении опускается на этаж ниже в OU и на него просто накручивается политика запретов, притом вся политика, присущая подразделению пользователя, по-прежнему действует на него. Дас ист фантастиш!

Теперь внимательно посмотрим на действие политики запретов. Сравни два рабочих стола: Тяпкин находится под гнетом политики «Враги», а Балаганов благонадежен.

Иконка «Сетевого окружения» исчезла. Смотрим, как там чувствует себя проводник.

Как видишь, сетевые диски Тяпкина остались подключенными, но само понятие сетевого окружения исчезло из «Проводника». Смотрим на «Панель управления».

Как видишь, Тяпкин просто не может найти «Панель управления». Но он не дурак. Как продвинутый пользователь, он лезет на диск С:\ в каталог Windows\System32 и находит там программу запуска «Панели управления», которая называется control.exe. Радостно потирая руки, он дважды щелкает на ней мышью и получает следующее:

Посмотрим, что творится с меню «Пуск»> «Выполнить».

Как видишь, Тяпкин лишен доступа сразу к двум пунктам меню: «Выполнить» и «Найти». Соответственно, попытка Тяпкина запустить командный интерпретатор «cmd» из С:\ в каталоге Windows\System32 также не увенчается успехом:

Точно так же Тяпкин лишается возможности изменять какие-либо настройки «Рабочего стола» и всего того, что мы наворотили в политике. Так как ты настраиваешь домен один раз и надолго, потрать некоторую часть своего драгоценного времени и создай для каждого OU вложенное OU с привязанным к нему GPO ограничений. В любой момент, если заподозришь какие-либо деструктивные действия пользователей, просто перетащишь подозреваемого, перечитаешь политику домена — и все. Спокойно идешь спать.

На самом деле возможности групповых политик очень широкие — нужно только разобраться в них, а в результате сможешь настроить домен так, что ни один враг, друг или просто несмышленый пользователь не сломает твою спокойную жизнь. Я показал лишь способ воздействия — дальше развивайся сам.

Некоторые советы. Если в твоей конторе используются ноутбуки и начальство или простые пользователи часто пользуются ими при перемещениях, выдели буки в отдельный класс и отдельное OU. Тогда можно преспокойно настроить синхронизацию папок ноута и стационарного компьютера пользователя. Еще раз позволю себе дать совет — не лепить все свои хотелки в одной групповой политике. Если возникают проблемы с чем-либо, очень сложно отыскать место возникновения проблемы. Лучше создать отдельную групповую политику для каждой настройки, дать ей понятное имя и жить спокойно. Для поиска проблем и просмотра результатов не стесняйся пользоваться закладками Group Policy Modeling и Group Policy Results в Group Policy Management.