Ваш надежный
хостинг партнер
(495) 797-8-500

8-800-700 40 36

У Вас нет выбранных услуг.



Новости компании, технические статьи

06.11.2014

Работа с GPO – ограничение прав пользовательского доступа

В данной статье мы рассмотрим один интересный и крайне полезный параметр, относящийся к политике групп (Group Policy). С его помощью можно существенно облегчить себе жизнь, работая с ограничением прав для различных пользователей, работающих в рамках локальной сети.

Какая стояла задача – пример из жизни

Необходимо было наделить определенный круг пользователей Супер-Минимальным набором прав при входе на конкретный терминальный сервер. Подразумевалось, что пользователи не должны иметь соответствующих прав на изменение любых объектов рабочего стола, просматривать логические и системные диски, а лишь запускать определенные приложения, скажем MS Office (Word, Excel) и 1С. Между тем другие пользователи должны были иметь полный набор прав.

Тонкости, о которых неплохо бы знать

На первый взгляд может показаться, что нет ничего проще, чем настроить групповую политику для решения подобной задачи. Но в данном случае имеется один любопытный нюанс – при настройке пользовательского окружения вполне логично, что данные параметры применяются к пользователям, а отсюда возникает и вполне логичный вопрос – где именно должна применяться политика?

Если мы применим политику на OU, содержащий списки пользователей, то они получат Супер-Минимальный набор прав повсеместно, включая и рабочие компьютеры, что в рассматриваемой ситуации, никак не допустимо.

Если же говорить о применении политики на OU, содержащий терминальный сервер, параметры пользователя попросту не применятся, поскольку они перечисляются в категории User Configuration, а вот на сервер никакого влияния оказывать не будут.

Руководство к действию

Собственно здесь нам и понадобится тот параметр груповой политики, о котором говорилось выше. Записываем следующее: Cоmputеr Cоnfiguratiоn — Аdministrаtivе Tеmplаtе — Systеm -Grоup Pоliсy — Usеr Grоuр Poliсy Lоорbaсk рrосеssing mоdе –Mеrgе, либо Rеplаcе.

Далее создадим группу Policy_RestrictTerminalUsers, внеся в нее пользователей, на которых будут распространяться ограничения. Теперь создадим политику RectrictTerminalUsers и выставим в ней все ограничения для пользователей, которые необходимо.

Выставляем Enable-Merge для указанного выше параметра.

Применим созданную политику на OU, где содержится требуемый терминальный сервер.

Далее в Security Filter для данной политике нам необходимо убрать Authenticated Users, после чего добавить Policy_RestrictTerminalUsers и, что важно, сам терминальный сервер.

Таким образом, на пользователя, который состоит в группе Policy_RestrictTerminalUsers, распространяется не только обычная пользовательская политика, но и созданная нами новая политика RectrictTerminalUsers. Пользовательские значения последней имеют приоритет над другими политиками. Для всех остальных пользователей, не входящих в данную группу , будет срабатывать Security Filter, что позволяет не применять никаких дополнительных настроек к ним. Управлять всем этим достаточно просто через группы в AD.


Возврат к списку