.. :validated: 3.2.0

.. _usin_gp_sum:

Наследование и суммирование параметров групповых политик
--------------------------------------------------------

Аннотация
~~~~~~~~~

Настоящий документ объясняет порядок наследования и суммирования параметров групповых политик в **ALD Pro**.

Термины и определения
~~~~~~~~~~~~~~~~~~~~~

.. list-table:: Наследование и суммирование параметров ГП. Термины и определения
   :widths: auto
   :header-rows: 1
   :class: longtable

   * - Термин
     - Альтернатива
     - Определение

   * - Групповая политика
     - ГП
     - Разделы параметров, с помощью которых можно выполнить централизованную настройку ОС и окружения пользователя. Например, "безопасность", "оборудование", "сеть", "система"

   * - Объект групповой политики
     - ГПО, group policy object, gpo, Объект ГПО
     - Именованный набор параметров с конкретными значениями, которые могут быть назначены на структурные подразделения

   * - Параметр групповой политики
     - 
     - Именованный набор атрибутов, которые позволяют сконфигурировать определенную функцию операционной системы или окружения пользователя. Например, параметр "Переменная окружения" объединяет такие атрибуты как "Имя переменной" и "Значение переменной"

   * - Атрибут параметра групповой политики
     - 
     - Именованное значение, которое позволяет управлять конкретной настройкой операционной системы или окружения пользователя. Например, атрибуту "Имя переменной" можно присвоить значение "var1"

   * - Связанный объект ГП
     - Связанный ГПО, Назначенный ГПО, gpo link
     - Объект групповой политики, назначенный на конкретное подразделение

   * - Наследуемые ГПО
     - 
     - Объекты групповых политик, назначенные на родительские подразделения, параметры которых по умолчанию наследуются дочерними подразделениями

   * - Простой параметр
     - 
     - Параметр групповой политики, имеющий один список атрибутов

   * - Составной параметр
     - Списочный параметр
     - Параметр групповой политики, атрибуты которого представлены массивом списков

   * - Подразделение
     - Organizational unit, ou
     - Структурные подразделения организации, предназначенные для группировки объектов, чтобы на них можно было назначать ГПО

   * - Приоритет
     - 
     - Целое число, определяющее порядок применения параметров ГПО, если на одно подразделение назначено несколько объектов. Если у объекта приоритет равен единице, то его параметры будут применяться в самую последнюю очередь и смогут переопределить все ранее установленные значения в соответствии с правилами суммирования

   * - Флаг «Отключить наследование»
     - block inheritance
     - Устанавливается для подразделения и позволяет отключить наследование параметров, определенных в объектах групповых политик, назначенных на родительские (вышестоящие) подразделения

   * - Флаг «Наследовать принудительно»
     - enforced
     - Устанавливается для связанного объекта ГП (gpo link) и позволяет сделать наследование параметров соответствующего объекта обязательным на все дочерние подразделения, даже если где-то наследование отключено

   * - Флаг "Связь включена"
     - Link Enabled
     - Устанавливается для связанного объекта ГП (gpo link) и позволяет отключить применение параметров соответствующего объекта, не удаляя назначение ГПО на структурное подразделение

   * - Флаг "Состояние объекта групповой политики"
     - GPO Status
     - Устанавливается для ГПО и позволяет отключить применение параметров этого объекта, не удаляя настроек. Переключатель имеет следующие состояния:
       
         - Все параметры (enabled) - применяются все параметры ГПО при его назначении на структурное подразделение,

         - Параметры пользователей,

         - Параметры компьютеров

   * - Целевой объект
     - Target, target object, объект применения политики
     - Пользователь или компьютер, к которому могут быть применены параметры групповой политики

   * - Фильтр применения ГПО
     - Group policy Application Filter, фильтр применения
     - Функционал, ограничивающий круг целевых объектов, к которым может применится конкретная ГПО при наличии связи с подразделением (OU). У каждой политики может быть задан свой набор разрешающих и запрещающих фильтров

   * - Разрешающий фильтр
     - Allow Filter, Group policy Allow Filter
     - Фильтр, определяющий, к каким целевым объектам может быть применена политика. Не гарантирует применение, только ограничивает область применения. Определяется состоянием и объектами фильтрации

   * - Запрещающий фильтр
     - Deny Filter, Group policy Deny Filter
     - Фильтр, определяющий, к каким целевым объектам не должна применяться политика. Определяется состоянием и объектами фильтрации

Предварительные настройки
~~~~~~~~~~~~~~~~~~~~~~~~~

Создание дополнительных параметров групповых политик
""""""""""""""""""""""""""""""""""""""""""""""""""""

Если для работы с функционалом групповых политик будут созданы дополнительные параметры групповых политик, необходимо воспользоваться разделом **Руководство Администратора. Часть 2 → Портал управления. Настройка и работа → Групповые политики → Групповые политики → Создание групповой политики**.

Создание объекта групповой политики
"""""""""""""""""""""""""""""""""""

Для создания объектов групповой политики необходимо перейти в раздел **Портал управления. Настройка и работа → Групповые политики → Групповые политики**.

Наследование
~~~~~~~~~~~~

В домене **ALD Pro** назначить объект групповой политики (далее - ГПО) возможно только на подразделения. ГПО, назначенный на подразделение, называется связанным объектом групповой политики. Назначение ГПО на подразделение возможно 2 способами:

* **Групповые политики** → **Групповые политики** → **{Имя ГПО}** → **Подразделения**;
* **Пользователи и компьютеры** → **Организационная структура** → **{Имя подразделения}** → **Групповые политики**.

При назначении ГПО на структурное подразделение, его параметры по умолчанию наследуются пользователями/компьютерами всех нижестоящих подразделений. На :numref:`Карт. Порядок наследования и суммирования групповых политик` показано, что на Целевой компьютер распространяется действие как объектов групповой политики ГПО-7 и ГПО-8, назначенных на OU3 напрямую, так и объектов ГПО-1-ГПО-6, назначенных на вышестоящие подразделения. Приоритет ГПО - это выставленный пользователем приоритет ГПО в рамках выбранного подразделения. Порядок применения - порядок в котором параметры ГПО будут суммироваться. 

.. _Карт. Порядок наследования и суммирования групповых политик:

.. figure:: media/image_1.png
   :name: Порядок наследования и суммирования групповых политик

   Порядок наследования и суммирования групповых политик

Флаг "Отключить наследование"
"""""""""""""""""""""""""""""

C 2.4.0 в домене **ALD Pro** для структурного подразделения можно установить флаг **Включить наследование** (аналог ``Block Inheritance`` (отключить наследование) в **MS AD**), что позволит включать и отключить наследование параметров, определенных в объектах групповых политик, назначенных на родительские (вышестоящие) подразделения, см. :numref:`Карт. Включение наследования ГПО для структурного подразделения в интерфейсе ALD Pro`.

По умолчанию наследование включено для всех подразделений. Функция удобна для отладки или если в рамках организационной структуры есть объекты, на которые нужно назначить принципиально иные настройки. Например, в рамках московского офиса может быть open space или компьютерный класс, для которых проще задать настройки заново, чем переопределять общие настройки, заданные для офиса в целом. 

.. _Карт. Включение наследования ГПО для структурного подразделения в интерфейсе ALD Pro:

.. figure:: media/image_2.png
   :name: Включение наследования ГПО для структурного подразделения в интерфейсе ALD Pro

   Включение наследования ГПО для структурного подразделения в интерфейсе ALD Pro

Если отключить наследование для OU1, то объекты групповой политики ГПО-1 и ГПО-2, назначенные на Корневое подразделение, перестанут распространять свое действие на Целевой компьютер. Применяться будут только объекты ГПО-3-ГПО-8, см. :numref:`Карт. Иллюстрация работы блокировки наследования ГПО для структурного подразделения`.

.. _Карт. Иллюстрация работы блокировки наследования ГПО для структурного подразделения:

.. figure:: media/image_3.png
   :name: Иллюстрация работы блокировки наследования ГПО для структурного подразделения

   Иллюстрация работы блокировки наследования ГПО для структурного подразделения

Флаг "Наследование принудительно"
"""""""""""""""""""""""""""""""""

С **ALD Pro** версии 2.4.0 для связанного ГПО, можно установить флаг **Наследовать принудительно** (аналог флага ``Enforced`` (Наследовать принудительно) в **MS AD**), что позволит сделать наследование параметров соответствующего объекта групповой политики обязательным для всех дочерних подразделений, даже если где-то наследование отключено, см. :numref:`Карт. Включение принудительного наследования параметров для связанного ГПО в интерфейсе ALD Pro`.

По умолчанию флаг выключен для всех ГПО. Более того, связанные ГПО, отмеченные флагом **Наследовать принудительно**, применяются после обычных ГПО, поэтому переопределяют их значения. То есть алгоритм суммирования имеет два вложенных цикла, сначала суммирует параметры обычных ГПО, потом сверху накладывает суммирование ``Enforced`` ГПО. Функция удобна, например, для настройки параметров безопасности, действие которых должно распространяться на все структурные подразделения, вне зависимости от того, используется ли отключение наследования или нет. 

.. _Карт. Включение принудительного наследования параметров для связанного ГПО в интерфейсе ALD Pro:

.. figure:: media/image_4.png
   :name: Включение принудительного наследования параметров для связанного ГПО в интерфейсе ALD Pro

   Включение принудительного наследования параметров для связанного ГПО в интерфейсе ALD Pro

Если для ГПО-1 включить флаг принудительного наследования, то параметры этого объекта будут применяться к Целевому компьютеру, несмотря на то, что для OU1 установлен флаг на запрет наследования. В итоге будут применяться объекты ГПО-1, ГПО-3 ... ГПО-8, см. :numref:`Карт. Работа флага принудительного наследования для ГПО`.

.. _Карт. Работа флага принудительного наследования для ГПО:

.. figure:: media/image_5.png
   :name: Работа флага принудительного наследования для ГПО

   Работа флага принудительного наследования для ГПО

Суммирование
~~~~~~~~~~~~

Порядок суммирования
""""""""""""""""""""

Если пользователь или компьютер попадает в область действия нескольких объектов групповых политик, их параметры суммируются следующим образом:

#. Если на одно и тоже структурное подразделение назначено несколько объектов групповых политик, то порядок применения параметров устанавливается с помощью приоритета. Приоритет представляет из себя целое число, если приоритет равен единице, то параметры этого ГПО будут применяться в самую последнюю очередь и смогут переопределить ранее установленные значения в случае конфликтов. На :numref:`Карт. Порядок суммирования ГПО` показано, что на подразделение OU3 назначено два объекта GPO-7 и GPO-8 и первым из них применяется GPO-8, т.к. у него приоритет 2, а вторым GPO-7, поэтому параметры GPO-7 будут перетирать параметры GPO-8 в случае конфликтов;

#. Если ГПО назначены на разные подразделения, то порядок их применения определяется иерархией подразделений. Чем ближе ГПО по иерархии к целевому пользователю/компьютеру, тем позже будут применяться параметры этого объекта, поэтому параметры этого ГПО смогут переопределить ранее установленные значения в случае конфликтов. На :numref:`Карт. Порядок суммирования ГПО` показано, что GPO-1 и GPO-2, назначенные на корневое подразделение, применяются в самом начале, а GPO-7 и GPO-8, которые назначены на OU3, в котором компьютер находится непосредственно, выполняются в последнюю очередь.

Конфликтом считается, если на целевого пользователя/компьютер назначено несколько одинаковых параметров групповых политик, которые наследуются от разных ГПО. 

.. _Карт. Порядок суммирования ГПО:

.. figure:: media/image_6.png
   :name: Порядок суммирования ГПО

   Порядок суммирования ГПО

Фильтры групповых политик
~~~~~~~~~~~~~~~~~~~~~~~~~

С целью повышения гибкости и управляемости применения групповых политик (ГП) в **ALD Pro** начиная с версии 3.2.0 реализована возможность ограничивать применение политики к конкретным пользователям, компьютерам и группам, в которые они входят. Это позволяет применять политику точечно, не изменяя структуру подразделений (OU) и не создавая избыточных связей.

Поведение по умолчанию
""""""""""""""""""""""

При создании новой ГП фильтры применения отключены:

* Разрешающий фильтр: в состоянии **Любой целевой объект** политика применяется ко всем объектам назначенного подразделения;
* Запрещающий фильтр: в состоянии **Никому не запрещать** политика не исключает ни один объект.

Разрешающий фильтр
""""""""""""""""""

Для включения разрешающего фильтра необходимо установить состояние разрешающего фильтра в значение **Указанные объекты**. Это ограничит применение политики только к целевым объектам, указанным в фильтре:

* Пользователи и компьютеры -- политика применяется только к ним;
* Группы -- политика применяется к пользователям и компьютерам, входящим в указанные группы напрямую или через их вложенные группы;
* Если фильтр включён, но объекты не заданы — политика не применяется ни к одному целевому объекту назначенных подразделений.

Для применения целевой объект должен быть включён в объекты разрешающего фильтра и находиться в подразделении, связанном с ГПО.

Запрещающий фильтр
""""""""""""""""""

Для включения запрещающего фильтра необходимо установить состояние запрещающего фильтра в значение **Указанные объекты**. Это ограничит применение политики к целевым объектам, указанным в фильтре:

* Пользователи и компьютеры -- политика не применится к этим целевым объектам;
* Группы -- политика не применяется к пользователям и компьютерам, входящим в указанные группы напрямую или через их вложенные группы;
* Если фильтр включён, но объекты не заданы — политика применяется без ограничений ко всем целевым объектам назначенных подразделений.

Работа разрешающего и запрещающего фильтров вместе
""""""""""""""""""""""""""""""""""""""""""""""""""

Разрешающий и запрещающий фильтры могут использоваться как по отдельности, так и совместно. При совместном использовании запрещающий фильтр (**Deny**) всегда имеет приоритет над разрешающим (**Allow**). Таким образом групповая политика применяется только к целевым объектам, указанным в разрешающем фильтре, за исключением тех, что указаны в запрещающем.

Примеры
"""""""

**Пример 1:**
Политика назначена на OU "Разработка ALD Pro", но в разрешающем фильтре указана только группа "Отдел тестирования". В результате политика будет применяться только к участникам этой группы, находящимся в OU "Разработка ALD Pro". Остальные пользователи OU не затронутся.

**Пример 2:**
Политика назначена OU "Все компьютеры", в запрещающем фильтре указаны "Серверы". Политика применится ко всем компьютерам подразделения, кроме тех, кто находится в указанной группе.

Время применения фильтров
"""""""""""""""""""""""""

Обновление информации о членстве в группах и применении фильтров зависит от настроек SSSD и периодичности применения ГП. Для немедленного эффекта может потребоваться ручное обновление кэша SSSD и принудительного применения ГП.

Условия применения групповой политики с учётом фильтров
"""""""""""""""""""""""""""""""""""""""""""""""""""""""

Несмотря на то, что в фильтре можно указать любых доменных пользователя, Posix группу пользователей, компьютер и группу компьютеров, чтобы политика применялась, она должна быть назначена на подразделение. Разрешающие фильтры лишь уточняют, на кого из объектов этого подразделения она действительно подействует. Пояснение работы с включённым разрешающим фильтром в :numref:`Табл. Применение ГП с учётом фильтров`:

.. _Табл. Применение ГП с учётом фильтров:

.. list-table:: Применение ГП с учётом фильтров
   :widths: auto
   :header-rows: 1
   :class: longtable

   * - Назначение ГП на OU
     - Объект в разрешающем фильтре
     - Объект в OU
     - Итог
   * - Да
     - Да
     - Да
     - Применяется
   * - Да
     - Да
     - Нет
     - Не применяется
   * - Да
     - Нет
     - Да
     - Не применяется
   * - Да
     - Нет
     - Нет
     - Не применяется

Механика разрешения конфликтов для простых параметров
"""""""""""""""""""""""""""""""""""""""""""""""""""""

Простой параметр имеет один список атрибутов, и если такой параметр определен в нескольких ГПО, остается один список значений атрибутов согласно правилам суммирования и наследования. В этом случае берется список атрибутов целиком, и, если какие-то из атрибутов не определены, то будет взято его "пустое" значение.

Механика разрешения конфликтов для составных (списочных) параметров
"""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""

В домене **ALD Pro** есть составные (списочные) параметры, для которых можно задавать таблицу однотипных атрибутов, например, ярлыки, принтеры и т.п. Если такой параметр определен в нескольких объектах ГПО, то после суммирования получатся результирующий массив строк в том же порядке, в котором параметры должны применяться на целевом хосте. Бизнес-логика разрешения конфликтов для составных параметров может различаться. Есть 3 типа разрешения конфликтов для составных параметров. См. :numref:`Табл. Механика разрешения конфликтов для составных (списочных) параметров`:

.. _Табл. Механика разрешения конфликтов для составных (списочных) параметров:

.. list-table:: Механика разрешения конфликтов для составных (списочных) параметров
   :widths: 50 50
   :header-rows: 1
   :class: longtable

   * - Тип разрешения конфликта
     - Описание работы
   * - С уникальными атрибутами
     - Составные параметры, у которых возможны конфликты. Для разрешения конфликтов для каждого параметра определен уникальный атрибут. В рамках одного ГПО нельзя создать массив списка атрибутов с одинаковыми значениями уникального параметра. Результат суммирования будет состоять из массива списка атрибутов с неповторяющимися значениями уникальных атрибутов в случайном порядке
   * - Без уникальных атрибутов
     - Составные параметры, массивы списка атрибутов, которых суммируются без конфликтов
   * - Комбинация уникальных атрибутов
     - Составные параметры, у которых массивы списка атрибутов считаются уникальными при комбинации атрибутов. С точки зрения работы механизма Групповых политик, эти составные атрибуты суммируются аналогично типу "Без уникальных атрибутов".Конфликты в этом случае разрешаются на стороне операционной системы

Поведение составных параметров компьютеров
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^

В таблице :numref:`Табл. Поведение составных параметров компьютеров` приведено описание работы каждого составного параметра компьютеров, в зависимости от его типа.

.. _Табл. Поведение составных параметров компьютеров:

.. list-table:: Поведение составных параметров компьютеров
   :widths: 8 23 23 23 23
   :header-rows: 1
   :class: longtable

   * - #
     - Параметр
     - Уникальный атрибут
       
       Название в БД
     - Поведение при конфликте в случае суммирования и наследования
   * - 
     - 
     - С уникальными атрибутами

       Нельзя создать в рамках одного ГПО массивы списка атрибутов  одинаковыми значениями уникальных атрибутов
     - 
   * - 1
     - Безопасность → Глобальные настройки киоска → Автозапуск приложения в киоске
     - Путь до исполняемого файла
       
       ``rbta_ldap_kiosk_global_parametrs__app__path``
     - 
   * - 2
     - Безопасность → Конфигурация параметра ядра
     - Имя конфигурационного файла
       
       ``rbta_ldap_kernel_parametrs__params__name``
     - 
   * - 3
     - Безопасность → Мандатные атрибуты → Категории
     - Наименование
       
       ``rbta_ldap_mandate_attrs__categories__name``
     - 
   * - 4
     - Безопасность → Мандатные атрибуты → Уровни конфиденциальности
     - Наименование
       
       ``rbta_ldap_mandate_attrs__levels__name``
     - 
   * - 5
     - Безопасность → Мандатный целостности (**МКЦ**) → Исключения конфигурации защиты файловой системы
     - Путь к объекту
       
       ``rbta_ldap_integrity_control__fs_protection_exceptions__exception``
     - 
   * - 6
     - Безопасность → Мандатный целостности (**МКЦ**) → Конфигурация защиты файловой системы
     - Путь к объекту
       
       ``rbta_ldap_integrity_control__fs_protection_config__path``
     - 
   * - 7
     - Безопасность → **Политика** очистки памяти → Настройка гарантированного удаления файлов на устройстве
     - Адрес устройства или точка монтирования
       
       ``rbta_ldap_memory_clearing__drives__path``
     - 
   * - 8
     - Безопасность → Управление квотами → Квота устройства
     - Адрес устройства или точка монтирования
       
       ``rbta_ldap_quotas__drives__path``
     - 
   * - 9
     - Система → Вход в систему → Изображение пользователя
     - Логин пользователя
       
       ``rbta_ldap_login__user_pics__login``
     - 
   * - 10
     - Система → Дата и время → Параметры сервера или пула сетевого времени
     - Адрес сервера или пула
       
       ``rbta_ldap_date_time_h__servers__name``
     - 
   * - 11
     - Система → Приложение для типа файлов
     - Перечень mime-типов
       
       ``rbta_ldap_mimeapps_h__local__mimes``
     - 
   * - 12
     - Система → Системная альтернатива
     - Символическая ссылка
       
       ``rbta_ldap_system_alternatives__alternatives__name``
     - 
   * - 13
     - Безопасность → Санкции PolicyKit-1 → Привилегированное действие
     - Название привилегированного действия
       
       ``rbta_ldap_policykit__actions__explicit_name``
     - 
   * - 14
     - Оборудование → Редактор маркеров → Входная переменная
     - Название переменной
       
       ``rbta_ldap_marker_editor_h__input_variables__name``
     - 
   * - 15
     - Система → Переменная окружения
     - Имя переменной
       
       ``rbta_ldap_env_vars_h__variables__name``
     - 
   * - 16
     - Политики мер защиты ФСТЭК → Аудит безопасности → Регистрация действий пользователя по изменению прав доступа к защищаемым объектам
     - Имя пользователя
       
       ``rbta_ldap_audit_mac_acl_edit__user``
     - 
   * - 17
     - Политики мер защиты ФСТЭК → Аудит безопасности → Регистрация действий с повышенными полномочиями
     - Привилегии пользователя
       
       ``rbta_ldap_audit_user_privileged_actions__user``
     - 
   * - 
     - 
     - Без уникального атрибута

       Все массивы атрибутов суммируются и появляются в интерфейсе
     - 
   * - 18
     - Безопасность → Управление квотами → Расписание проверки квот
     - Нет уникального атрибута
     -
   * - 19
     - Оборудование → Редактор маркеров → Маркер
     - Нет уникального атрибута
     - 
   * - 20
     - Система → Планировщик задач → Планировщик задач пользователя cron
     - Нет уникального атрибута
     -
   * - 
     - 
     - Третья категория
     - 
   * - 21
     - Безопасность → Управление квотами → Индивидуальная квота
     - Комбинация "Адрес устройства или точка монтирования" + "Имя группы пользователей или логин пользователя"
     - При полном совпадении атрибутов "Адрес устройства или точка монтирования" + "Имя группы пользователей или логин пользователя" квота создастся только одна, первая которая была применена
   * - 22
     - Оборудование → Установить принтер(ы)
     - Комбинация "Имя принтера"  + "Имя сервера печати"
     - При полном совпадении атрибутов "Имя принтера" + "Имя сервера печати" принтер появится только один
   * - 23
     - Сеть → Настройка межсетевого экрана → Обычное правило
     - Комбинация "**Политика**" + "Направление" + "Протокол" + "Порт"
     - При полном совпадении атрибутов "**Политика**" + "Направление" + "Протокол" + "Порт" новые правила с такими же атрибутами не создаются
   * - 24
     - Сеть → Настройка межсетевого экрана → Предустановленное правило
     - Уникальная комбинация "**Политика**" + "Направление" + "Протокол" + "Порт", **ОС** сама решает конфликт в случае дублей принтеров.
     - При полном совпадении атрибутов "Наименование предустановленного приложения" + "**Политика**" + "Направление" новые правила с такими же атрибутами не создаются
   * - 25
     - Сеть → Настройка межсетевого экрана → Расширенное правило
     - Комбинация "**Политика**" + "Направление" + "Протокол" + "Порт"
     - При полном совпадении атрибутов "**Политика**" + "Направление" + "Протокол" + "Порт" новые правила с такими же атрибутами не создаются
   * - 26
     - Система → Планировщик задач → Переменная пользователя cron
     - Нет уникального атрибута, графика дает создавать одинаковые переменные пользователя cron
     - Все массивы атрибутов суммируются и появляются в интерфейсе. Дальнейшее применение зависит от операционной системы, в основном случае будет использована последняя добавленная переменная

Поведение составных параметров пользователей
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^

В :numref:`Табл. Поведение составных параметров пользователей` приведено описание работы каждого составного параметра компьютеров, в зависимости от его типа.

.. _Табл. Поведение составных параметров пользователей:

.. list-table:: Поведение составных параметров пользователей
   :widths: 8 23 23 23 23
   :header-rows: 1
   :class: longtable

   * - #
     - Параметр
     - Уникальный атрибут, Название в БД, Поведение при конфликте в случае суммирования и наследования
   * - 
     - 1 категория
     - Нельзя создать в рамках одного ГПО массивы списка атрибутов c одинаковыми значениями уникальных атрибутов
   * - 1
     - Оборудование → Значение для предпросмотра редактора маркеров
     - Название переменной ``rbta_ldap_marker_editor_u__preview_values__name``
   * - 2
     - Оборудование → Обработка "горячего" подключения
     - Имя ``rbta_ldap_fly_reflex__actions__name``
   * - 3
     - Рабочий стол → Параметры окон → Настройки программы или класса окон
     - Название программы или класса окон ``rbta_ldap_windows_settings__presets__name``
   * - 4
     - Система → Приложения для типов файлов → Приложение для типа файлов
     - Перечень mime-типов ``rbta_ldap_mimeapps_u__local__mimes``
   * - 5
     - Оборудование → Электропитание → Настройки уведомлений о событиях
     - Наименование уведомления ``rbta_ldap_power_management__notifications__event``
   * - 
     - 2 категория
     - Нельзя создать в рамках одного ГПО массивы списка атрибутов c одинаковыми значениями уникальных атрибутов.
     
       Итоговое количество настроенных уведомлений не более 6, потому что поле «Наименование уведомления» может содержать только одно из 6 значений:
       
         - pluggedin,
         - unplugged,
         - fullbattery,
         - lowbattery,
         - criticalbattery,
         - lowperipheral battery
   * - 6
     - Рабочий стол → Горячие клавиши
     - Сочетание клавиш ``rbta_ldap_hotkeys_v2__settings__hotkey``
   * - 7
     - Рабочий стол → Меню "Пуск" → Каталог
     - Имя ``rbta_ldap_start_menu__catalogs__name``
   * - 8
     - Рабочий стол → Меню "Пуск" → Приложение
     - Имя ``rbta_ldap_start_menu__applications__name``
   * - 9
     - Рабочий стол → Меню "Пуск" → Ссылка
     - Имя ``rbta_ldap_start_menu__links__name``
   * - 10
     - Рабочий стол → Панель быстрого запуска → Каталог
     - Имя ``rbta_ldap_quick_launch__catalogs__name``
   * - 11
     - Рабочий стол → Панель быстрого запуска → Приложение
     - Имя ``rbta_ldap_quick_launch__applications__name``
   * - 12
     - Рабочий стол → Панель быстрого запуска → Ссылка
     - Имя ``rbta_ldap_quick_launch__links__name``
   * - 13
     - Система → Автозапуск → Приложение
     - Имя ``rbta_ldap_autostart__applications__name``
   * - 14
     - Система → Автозапуск → Ссылка
     - Имя ``rbta_ldap_autostart__links__name``
   * - 15
     - Система → Переменные окружения → Переменная окружения
     - Имя переменной ``rbta_ldap_env_vars_u__variables__name``

Суммирование дополнительных параметров ГП
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^

Суммирование дополнительных параметров ГП не отличается от коробочных. Для составных дополнительных параметров ГП можно настроить уникальный атрибут.

Просмотр  отчета о назначенных параметрах ГП
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Для каждого компьютера и пользователя можно посмотреть :numref:`Карт. Моделирование результата применения параметров ГП на пользователя` (см. Пользователи и Компьютеры).

Для компьютера: **Пользователи и компьютеры → Компьютеры → {Имя компьютера} → Групповые политики**. Для пользователя: **Пользователи и компьютеры → Пользователи → {Логин пользователя} → Групповые политики**. Данный список представляет собой моделирование результатов применения групповых политик. Это значит, что не все параметры из данного списка могут быть применены к конкретному пользователю и не все политики могут быть отображены в данном списке. Чтобы групповая политика применилась к пользователю, необходимо соблюдать требования к операционной системе и заполнять значения атрибутов.

.. _Карт. Моделирование результата применения параметров ГП на пользователя:

.. figure:: media/image_7.png
   :name: Моделирование результата применения параметров ГП на пользователя

   Моделирование результата применения параметров ГП на пользователя
