Работа с GPO – ограничение прав пользовательского доступа

В данной статье мы рассмотрим один интересный и крайне полезный параметр, относящийся к политике групп (Group Policy). С его помощью можно существенно облегчить себе жизнь, работая с ограничением прав для различных пользователей, работающих в рамках локальной сети.

Какая стояла задача – пример из жизни

Необходимо было наделить определенный круг пользователей Супер-Минимальным набором прав при входе на конкретный терминальный сервер. Подразумевалось, что пользователи не должны иметь соответствующих прав на изменение любых объектов рабочего стола, просматривать логические и системные диски, а лишь запускать определенные приложения, скажем MS Office (Word, Excel) и 1С. Между тем другие пользователи должны были иметь полный набор прав.

Тонкости, о которых неплохо бы знать

На первый взгляд может показаться, что нет ничего проще, чем настроить групповую политику для решения подобной задачи. Но в данном случае имеется один любопытный нюанс – при настройке пользовательского окружения вполне логично, что данные параметры применяются к пользователям, а отсюда возникает и вполне логичный вопрос – где именно должна применяться политика?

Если мы применим политику на OU, содержащий списки пользователей, то они получат Супер-Минимальный набор прав повсеместно, включая и рабочие компьютеры, что в рассматриваемой ситуации, никак не допустимо.

Если же говорить о применении политики на OU, содержащий терминальный сервер, параметры пользователя попросту не применятся, поскольку они перечисляются в категории User Configuration, а вот на сервер никакого влияния оказывать не будут.

Аренда выделенного сервера

Используйте готовые решения, чтобы быстро подобрать оптимальный для себя вариант аренды сервера

Скидка Аренда выделенного сервера 8 740 ₽/мес.

Intel® Xeon® E3-1230 v2, 3,3 GHz/4core
3.3 , 4 ядра
32Gb DDR3
2 x SSD: 480Gb, Ent
2 x SATA3: 1 TB

Заказать Подробнее

Топ продаж Аренда выделенного сервера 9 740 ₽/мес.

Intel® Xeon® E3-1270 v2, 3,5 GHz/4core
3.5 , 4 ядра
32Gb DDR3
2 x SSD: 480Gb, Ent
2 x SATA3: 1 TB

Заказать Подробнее

Сервер для 1С Аренда выделенного сервера 32 500 ₽/мес.

2 x Intel® Xeon® E5-2667, 3,3 GHz/HT32core
3.3 , 16 ядер
128Gb DDR4
4 x SSD: 480Gb, Ent
2 x SATA3: 2 TB

Заказать Подробнее

Руководство к действию

Собственно здесь нам и понадобится тот параметр груповой политики, о котором говорилось выше. Записываем следующее: Cоmputеr Cоnfiguratiоn — Аdministrаtivе Tеmplаtе — Systеm -Grоup Pоliсy — Usеr Grоuр Poliсy Lоорbaсk рrосеssing mоdе –Mеrgе, либо Rеplаcе.

Далее создадим группу Policy_RestrictTerminalUsers, внеся в нее пользователей, на которых будут распространяться ограничения. Теперь создадим политику RectrictTerminalUsers и выставим в ней все ограничения для пользователей, которые необходимо.

Выставляем Enable-Merge для указанного выше параметра.

Применим созданную политику на OU, где содержится требуемый терминальный сервер.

Далее в Security Filter для данной политике нам необходимо убрать Authenticated Users, после чего добавить Policy_RestrictTerminalUsers и, что важно, сам терминальный сервер.

Таким образом, на пользователя, который состоит в группе Policy_RestrictTerminalUsers, распространяется не только обычная пользовательская политика, но и созданная нами новая политика RectrictTerminalUsers. Пользовательские значения последней имеют приоритет над другими политиками. Для всех остальных пользователей, не входящих в данную группу , будет срабатывать Security Filter, что позволяет не применять никаких дополнительных настроек к ним. Управлять всем этим достаточно просто через группы в AD.