В данной статье мы рассмотрим один интересный и крайне полезный параметр, относящийся к политике групп (Group Policy). С его помощью можно существенно облегчить себе жизнь, работая с ограничением прав для различных пользователей, работающих в рамках локальной сети.
Какая стояла задача – пример из жизни
Необходимо было наделить определенный круг пользователей Супер-Минимальным набором прав при входе на конкретный терминальный сервер. Подразумевалось, что пользователи не должны иметь соответствующих прав на изменение любых объектов рабочего стола, просматривать логические и системные диски, а лишь запускать определенные приложения, скажем MS Office (Word, Excel) и 1С. Между тем другие пользователи должны были иметь полный набор прав.
Тонкости, о которых неплохо бы знать
На первый взгляд может показаться, что нет ничего проще, чем настроить групповую политику для решения подобной задачи. Но в данном случае имеется один любопытный нюанс – при настройке пользовательского окружения вполне логично, что данные параметры применяются к пользователям, а отсюда возникает и вполне логичный вопрос – где именно должна применяться политика?
Если мы применим политику на OU, содержащий списки пользователей, то они получат Супер-Минимальный набор прав повсеместно, включая и рабочие компьютеры, что в рассматриваемой ситуации, никак не допустимо.
Если же говорить о применении политики на OU, содержащий терминальный сервер, параметры пользователя попросту не применятся, поскольку они перечисляются в категории User Configuration, а вот на сервер никакого влияния оказывать не будут.