Редактирование локальных политик
Политики отличаются от свойств, и их сравнение поможет вам лучше понять, как Windows XP использует политики. Пользователи устанавливают свойства, такие как обои рабочего стола. Они могут изменить свойства в любое время. Администраторы устанавливают политики, такие как расположение папки My Documents (Мои документы), и они имеют приоритет перед аналогичными свойствами пользователей. Windows XP хранит политики в реестре отдельно от свойств пользователей. Если политика существует, операционная система использует настройку, которая определяется политикой. Если политики нет, операционная система использует пользовательское свойство. При отсутствии пользовательского свойства операционная система использует настройку по умолчанию. Важно то, что политика не изменяет эквивалентное свойство пользователя и, если одновременно существуют обе эти настройки, политика имеет приоритет. Также, если администратор удаляет политику, снова используется свойство пользователя. Другими словами, Group Policy не «делает татуировку на реестре» (см. врезку «Татуировки на реестре» далее в этой главе.)
Windows XP объединяет политики вместе в объект Group Policy (GPO -Group Policy object). В Active Directory у вас есть несколько GPO, которые применяются к пользователям и компьютерам, в зависимости от того, где они находятся в каталоге. В Windows XP у вас есть только один GPO, и зто локальный GPO. Настройки в этом GPO применяются к локальному компьютеру и каждому пользователю, входящему в систему на этом компьютере. Из-за того, что локальный GPO является первым GPO, который используется Windows XP при ее запуске и входе пользователя в систему, сетевые GPO могут переопределить его настройки. Например, если вы определяете локальную политику, которая позволяет вам устанавливать программы, основанные на Windows Installer, с повышенными привилегиями, но сетевой администратор установил сетевую политику, которая запрещает это, то сетевая политика выигрывает, и вы не сможете установить эти программы, если вы не являетесь локальным администратором этого компьютера; в противном случае вы сможете установить программы, основанные на Windows Installer, независимо от того, к какой группе принадлежит ваша учетная запись.
GPO включают установки как для конфигураций компьютеров, так и для конфигураций пользователей. Из-за того, что установки Group Policy применяются или к компьютерам, или к пользователям, GPO содержат ветви для каждой.