Ну и напоследок нельзя не сказать несколько слов о реализации механизма групповых политик в вышедшей сравнительно недавно Windows Vista. Начну с того, что в предыдущих версиях операционных систем за обработку групповых политик отвечал процесс Winlogon, тогда как в Vista они представляют собой целую службу, которую из соображений безопасности нельзя остановить. Консоль GPMC.MSC теперь является встроенным компонентом операционной системы.

Vista имеет несколько локальных объектов GPO, что позволяет по-разному настроить параметры локальных рабочих станций для администраторов и обычных пользователей. Однако в рамках домена групповые политики Active Directory имеют более высокий приоритет над локальными. Помимо этого, администраторы домена могут выключить локальные политики.

Сам факт того, что в Vista добавилось около 800 новых параметров политик, говорит о том, насколько повысится управляемость пользовательским окружением. Но заработает этот механизм на полную только после выхода новой серверной версии операционной системы от Microsoft, так как текущие серверные ОС не поддерживают управление новыми параметрами групповых политик в рамках домена.

В заключение хотелось бы дать несколько советов по работе с групповыми политиками:

n  не стройте слишком сложных стратегий по развертыванию ГП в домене; чем сложнее схема, тем труднее потом будет найти и устранить причину неполадки;

n  избегайте применения большого количества GPO с конфликтующими параметрами;

n  старайтесь не увлекаться использованием режимов запрета перекрытия и блокировки наследования;

n  по возможности документируйте изменения, это позволит быстрее отследить причину возникновения конфликта или неполадки;

n  не экспериментируйте на функционирующем домене, лучше используйте моделирование.

Многие тонкости работы с групповыми политиками остались за рамками статьи. Используйте статьи базы знаний Microsoft и специальную литературу в качестве теоретической базы для овладения лучшими навыками управления сетевой инфраструктурой при помощи групповых политик.

1. Александр Емельянов. Администрирование пользователей в домене Active Directory. //«Системный администратор», №4, 2007 г.