none
Применение локальных политик ко всем пользователям, за исключением администратора RRS feed

  • Вопрос

  • Добрый день!

    Имеется статья -  http://support.microsoft.com/kb/325351/ru ,все делаю согласно инструкции, но, через некоторое время, политики применяются и к локальному администратору. Может, запретить обновление политик после их применения или как это победить? Система - WinXP, в рабочей группе.

    Спасибо!

    21 февраля 2012 г. 8:19

Ответы

  • В статье, которой вы руководствуетесь, "игра" идет на свойстве групповых политик не применяться, если они не изменялись. К сожалению, это не всегда так.

    Есть способ лучше, а именно использовать разрешения NTFS (Deny) и запретить локальному администратору читать скрытую папку %Windir%\System32\GroupPolicy. В этом случае локальные групповые политики не будут к нему применяться. Посмотрите статью

    http://support.microsoft.com/kb/274478

    и особенно эту статью

    http://www.theeldergeek.com/group_policy_for_windows_xp_prof.htm

    По собственному опыту, скажу, что запрещать доступ к папке Group Policy следует не группе Administrators, а каждому пользователю с правами локального администратора по отдельности. При этом следует создать отдельную административную учетную запись без такого запрета. Под ней вы собственно и будете запускать редактор групповых политик и настраивать локальный объект групповых политик, находящийся в папке GroupPolicy.

    • Помечено в качестве ответа WindowsNT.LVEditor 13 марта 2012 г. 9:50
    22 февраля 2012 г. 5:06
    Модератор

Все ответы

  • В статье, которой вы руководствуетесь, "игра" идет на свойстве групповых политик не применяться, если они не изменялись. К сожалению, это не всегда так.

    Есть способ лучше, а именно использовать разрешения NTFS (Deny) и запретить локальному администратору читать скрытую папку %Windir%\System32\GroupPolicy. В этом случае локальные групповые политики не будут к нему применяться. Посмотрите статью

    http://support.microsoft.com/kb/274478

    и особенно эту статью

    http://www.theeldergeek.com/group_policy_for_windows_xp_prof.htm

    По собственному опыту, скажу, что запрещать доступ к папке Group Policy следует не группе Administrators, а каждому пользователю с правами локального администратора по отдельности. При этом следует создать отдельную административную учетную запись без такого запрета. Под ней вы собственно и будете запускать редактор групповых политик и настраивать локальный объект групповых политик, находящийся в папке GroupPolicy.

    • Помечено в качестве ответа WindowsNT.LVEditor 13 марта 2012 г. 9:50
    22 февраля 2012 г. 5:06
    Модератор
  • Спасибо!
    13 марта 2012 г. 8:34