Использование DeviceLock Group Policy Manager

Разница между администрированием через консоль DeviceLock Management Console и DeviceLock Group Policy Manager незначительна. Для получения дополнительной информации см. раздел Управление сервисом DeviceLock для Windows.

Используя DeviceLock Group Policy Manager, невозможно управлять сервером DeviceLock Enterprise Server и просматривать журналы. Для этого следует использовать консоль Консоли и инструменты DeviceLock.

1. Параметр Подавлять локальную политику. При необходимости запретить изменение настроек в обход групповых политик (Group Policy) или серверных политик (см. раздел Политики DeviceLock Enterprise Server), установите значение Включено для параметра Подавлять локальную политику в узле Настройки сервиса. Это принудительно включит режим групповой или серверной политики для всех компьютеров, входящих в соответствующий объект политики.

Если параметр Подавлять локальную политику включен, параметр Использовать групповые/серверные политики в настройках сервиса DeviceLock не может быть выключен в консоли DeviceLock Management Console или DeviceLock Enterprise Manager.

Следующая таблица показывает, как параметры Использовать групповые/ серверные политики и Подавлять локальную политику влияют на режим применения политики.

Использовать групповые/серверные политики	Подавлять локальную политику	Режим применения политики
Отключено	Отключено	Применяется только локальная политика.
Включено	Включено	Применяется только групповая или серверная политика.
Включено	Отключено	Применяется групповая или серверная политика. Локальная политика может действовать до очередного автоматического применения групповой или серверной политики.

•Когда параметр Подавлять локальную политику выключен, а параметр Использовать групповые/серверные политики включен, настройки сервиса DeviceLock можно изменить при помощи консоли DeviceLock Management Console или DeviceLock Enterprise Manager. Однако эти изменения будут отменены при очередном автоматическом применении групповых или серверных политик.

•При выключенном параметре Подавлять локальную политику все изменения в настройках сервиса DeviceLock, внесенные при помощи консоли DeviceLock Management Console или DeviceLock Enterprise Manager, вступают в силу немедленно.

2. Состояние Не задано для параметров. Любой параметр можно перевести в состояние Не задано. Все параметры, которые находятся в этом состоянии, игнорируются в объекте групповой политики. Для получения дополнительной информации см. раздел Стандартные правила наследования политик данного руководства.

Чтобы перевести параметр в состояние Не задано, используйте команду Сбросить из контекстного меню, доступного по нажатию правой кнопки мыши на этом параметре. Также в некоторых диалогах можно использовать промежуточное (серое) состояние флажка, чтобы установить соответствующий параметр в состояние Не задано.

3. Сброс всех параметров в состояние Не задано. Можно установить все параметры в состояние Не задано одним кликом мыши. При этом происходит то же самое, что и при последовательном сбросе каждого параметра (см. выше).

Для сброса всех параметров в состояние Не задано используйте команду Сбросить всю политику в неопределенное состояние из контекстного меню узла DeviceLock. Появится сообщение с запросом подтверждения операции: “Сброс политики DeviceLock в неопределенное состояние - необратимое действие. Все настройки DeviceLock будут потеряны. Вы действительно хотите продолжить?”

4. Удаление настроек, заданных для автономного режима. Имеется возможность удалить все ранее заданные политики безопасности для автономного режима (разрешения, аудит, правила теневого копирования и тревожных оповещений, белые списки и т.д.) как для типов устройств, так и для сетевых протоколов, чтобы принудительно использовать только политики оперативного режима в этом объекте групповых политик (GPO). Для этого щелкните правой кнопкой мыши на любом параметре политики и выберите команду Удалить офлайновые настройки.

Примечание: Для того чтобы управлять настройками сервиса DeviceLock через групповые политики, сервис DeviceLock должен быть установлен и запущен на всех компьютерах, входящих в объект групповой политики. Дополнительную информацию относительно установки агентов вы можете найти в разделе Развертывание сервиса DeviceLock для Windows данного руководства.

Также не забудьте, что групповая политика обновляется периодически (по умолчанию, каждые 90 минут), следовательно, ваши изменения не вступят в силу немедленно. Для получения дополнительной информации см. раздел О применении групповых политик.