Ввод ограничений на локальной системе Windows XP при помощи консоли Групповая политика

Введение: В среде домена централизованное управлениерабочими станции можно осуществлять через групповые политики домена.Если же у вас нет сервера, всё равно можно использовать групповыеполитики на локальной системе Microsoft Windows XP. В этой статье будутописаны принципы работы в консоли Групповая политика (Group Policy).

Поройочень сложно заставлять пользователей сосредоточить внимание на работеи защищать их системы от неприятностей. Так как ни одна защита несможет спасти от изобретательного идиота, очень трудно принудитьпользователей прекратить работать с запрещёнными приложениями иперестать посещать непроверенные места в сети. Даже если администраторпроизведет полную настройку конфигурации системы, неопытныепользователи всё равно умудрятся нанести урон своим машинам. Вдобавок кэтому, иконка браузера Internet Explorer на рабочем столе так ипризывает отвлечься от работы. Порой даже обычная сеть становитсяопасным местом для некоторых сотрудников. Угомонить упрямствопользователей можно путём ограничения их прав.

Групповые политики

Всреде домена при помощи групповых политик можно ограничивать полномочияпользователя на нескольких уровнях: домена, сайта и организационнойединицы (organizational unit, OU). Например, можно провести настройкуинтерфейса таким образом, чтобы скрыть ярлыки дисков в окне Мойкомпьютер (My Computer), скрыть иконку браузера Internet Explorer,отключить апплет Установка и удаление программ (Add/Remove Programs)и ввести ряд других ограничений с целью заставить пользователейсосредоточиться на работе и одновременно уберечь их машины от проблем.Ограничения можно вводить как для отдельных пользователей, так и длягрупп. Это обеспечивает всесторонний контроль над тем, что, кто, когдаи где может делать.

Для среды рабочей группы такой метод будетслишком жёстким, поскольку там локальная групповая политика применяетсяко всем пользователям, безотносительно вида членства учётных записей.Но существует один хитрый трюк, позволяющий вводить ограничения дляотдельных пользователей.

Консоль Групповая политика

Дляввода ограничений используется консоль Групповая политика. Перед тем,как начать ущемлять пользователей вашей сети в правах, учтите, что всесозданные изменения немедленно отразятся на локальных учётных записяхадминистраторов каждого компьютера. Поэтому не вводите такиеограничения, которые не позволят в дальнейшем отменять ограничения дляпрофилей администраторов. Создайте временную запись с принадлежностью кгруппе Администраторы на тот случай, если потом придётся отменитьназначение полномочий.

Чтобы обмануть Windows XP Professional и ввести различные ограничения для отдельных пользователей:
Войдите в систему как Администратор.
Зайдитев Пуск -> Выполнить (Start -> Run) и введите Gpedit.msc в строке Открыть(Open), чтобы запустить консоль Групповая политика (Group Policy),как показано на изображении A.
Раскройте вкладку Конфигурацияпользователя/Административные шаблоны (UserConfiguration/Administrative Templates) и измените значения, чтобыввести ограничения, если необходимо. Значения для каждого ограниченияразличны.
Закройте консоль и завершите сеанс, затем снова войдите в систему в качестве Администратора, чтобы ввести изменения в силу.
Опятьвыйдите и войдите в систему как другой пользователь и убедитесь, чтоизменения вступили в силу. Выходите и входите в систему в качествекаждого пользователя, для которых вы ввели ограничения.
Войдите всистему как Администратор и скопируйте файл%systemroot%System32GroupPolicyUserregistry.pol в резервный каталог иназовите его UserReg.pol. Скопируйте файл%systemroot%System32GroupPolicyMachineregistry.pol в ту же резервнуюпапку и назовите его MachineReg.pol.
Откройте консоль Групповаяполитика и удалите ограничения, введённые в пункте 4. В некоторыхслучаях, понадобится использовать противоположны заданным в пункте 3значения. Например, если вы выбрали Включить (Enable), чтобыизменения вступили в силу, выберите Отключить (Disable), чтобыотменить введённые ограничения, вместо значения Не настроено (NotConfigured), которое не вносит изменений в реестр.
закройтеконсоль и скопируйте резервный файл UserReg.pol, созданный в пункте 6,обратно в %systemroot%System32GroupPolicyUserregistry.pol, и убедитесь,что вернули файлу прежнее имя Registry.pol. Скопируйте резервный файлфайл MachineReg.pol, созданный в пункте 6, обратно в%systemroot%System32GroupPolicyMachineregistry.pol, и убедитесь, чтовернули файлу прежнее имя Registry.pol.
Завершите сеансАдминистратора, войдите в систему под профилем одного из ограниченногов правах пользователя и удостоверьтесь в том, что ограничения вернулисьна место. Завершите сеанс пользователя, снова зайдите как Администратори удостоверьтесь в том, что ограничения не коснулись профиляадминистратора. Если вы не использовали свой неадминистративный профильв пункте 5, ограничения не должны распространиться на эту учётнуюзапись.