articlebot Administrator Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору В этой статье рассмотрены ключевые моменты по работе с групповыми политиками Active Directory на примере политик Microsoft Windows Server 2003.   Введение Объекты групповых политик Создание объекта групповой политики Порядок применения объектов групповой политики Приоритетность, наследование и разрешение конфликтов Определение настроек, действующих на компьютер пользователя Другие инструменты управления групповыми политиками Введение С увеличением парка компьютеров на предприятии все более остро встаёт вопрос о стоимости его управления и содержания. Ручная настройка компьютеров отнимает немало времени у персонала и заставляет, с увеличением количества компьютеров, увеличивать штат обслуживающего их персонала. К тому же при большом количестве машин следить за соблюдением принятых на предприятии стандартов настройки становится всё труднее. Групповые политики (Group Policy) являются комплексным инструментом централизованного управления компьютерами с ОС Windows 2000 и выше в домене Active Directory. К компьютерам под управлением ОС Windows NT4/9x групповые политики не применяются: они управляются системными политиками (System Policy), которые в данной статье рассматриваться не будут. Читать   Вопросы по AD GP следует задавать в теме "Групповые политики (Group Policy, GPO): документация, ссылки". В данной теме производится только обсуждение статьи. Всего записей: 366 | Зарегистр. 25-05-2001 | Отправлено: 04:46 12-02-2006 | Исправлено: emx, 15:23 01-09-2006

G14 Добрый фей Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору ccna Цитата: Если у меня есть 6 ключей реестра, то при создании .adm шаблона все значения могут быть перечислены в одном шаблоне или же для каждого значения ключа нужно создавать отдельный шаблон? Могут быть в одном шаблоне. В одном шаблоне может быть огромное кол-во ключей. ---------- http://OpsMgr.ru (более мне не принадлежит. Кому принадлежит - не знаю.) Всего записей: 3013 | Зарегистр. 19-01-2004 | Отправлено: 11:12 25-10-2006

Oceanforce Junior Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору какие права должны быть прописаны у пользователя в АД,чтобы у него была возможность самому инсталлировать\деинстал программы,а не каждый раз просить об этом администратора? Всего записей: 80 | Зарегистр. 18-07-2006 | Отправлено: 09:43 02-11-2006

web1984 Junior Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Надо, чтобы групповая политика разрешала запуск установщика и права дать куда будут устанавливаться.   Добавлено: Как переименовать компьютер, который находиться в домене? в AD Всего записей: 114 | Зарегистр. 20-02-2005 | Отправлено: 13:59 02-11-2006

nskadmin Newbie Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору web1984 Насколько знаю, никак. Приходится сначала вывести комп из домена, а потом заново ввести его назад уже под новым именем. Всего записей: 19 | Зарегистр. 02-08-2006 | Отправлено: 11:47 10-11-2006

nskadmin Newbie Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору OneAdmin Опа, не знал что есть такая команда. Respect. Всего записей: 19 | Зарегистр. 02-08-2006 | Отправлено: 05:52 14-11-2006

web1984 Junior Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Цитата: netdom renamecomputer \\old_comp_name /newname:new_comp_name /ud:domain\admin_name /pd:* Это утилита и support для XP. я про неё знал, можно как-нибудь это сделать с AD? Всего записей: 114 | Зарегистр. 20-02-2005 | Отправлено: 09:38 14-11-2006

sLap Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору netdom renamecomputer old_comp_name /newname:new_comp_name /userd:domain\admin_name /passwordd:* /uo:domain\admin_name /passwordo:* /reboot 10   Добавлено: Цитата: Приветствую! Ситуация следующая: у меня есть 5 ключей реестра, которые необходимо установить на все раб. станции в домене. Как это сделать через GPO? Заранее спасобо. в файлик logon.bat на контроллере домена пихается строка:   regedit.exe /s \\путь\к\файлу\реестра.reg   соответственно в файле реестра эти 5 ключей. Работает на 100%. А в стандартных политиках бывало что не срабатывало. Всего записей: 214 | Зарегистр. 31-05-2002 | Отправлено: 03:32 17-11-2006 | Исправлено: sLap, 04:21 17-11-2006

web1984 Junior Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Почему если сделать роуминогвый профиль и включить политику перенаправление профильских папок, при выключенных автономных файлах. не работает политика ограничение размера профиля пользователя? Всего записей: 114 | Зарегистр. 20-02-2005 | Отправлено: 11:21 17-11-2006

gap5 Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Имею вопросы по сабжу (сервер 2003 r2, клиенты XP):   1) Нужно на всех клиентах активировать remotedesktop, мелкософт на эту тему говорит: "Group Policy > Terminal Services >Enable Remote Desktop". Однако у меня в GPO Editor'e в Terminal Services нет ни слова о RemoteDesktop. Что делать?   1а) При подключении домена к remote desktop юзера мне предлагается залогиниться под админом, соответственно сессия юзера закрывается и я удаленно работают под сессией админа. А можно ли получить доступ к сессии юзера? Т.е. работать по принципу Remote Administrator'a или это возможно только в Remote Assistance (и желательно даже не зная пароль юзера)?     2) В какой области GPO контролируется возможность установки нового софта?   3) Как грамотно раздать всем пользователям в домене нужные ярлыки на рабочий стол (+ отключить возможность их удаления, кстати возможно ли это если клиент под FATом)? Только через logon script или как-то красивее?   4) Есть компьютерный класс, имеет ли смысл на каждый комп заводить отдельного пользователя? Если, например, все 10 компов будут одновременно залогинены под одним и тем же пользователем, какие могут быть грабли? Всего записей: 1038 | Зарегистр. 30-05-2006 | Отправлено: 13:28 23-11-2006

FreemanRU Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору gap5 1. Компоненты Windows/Службы терминалов/Разрешать удаленное подключение с использованием служб терминалов 1а. ТОлько с помошью Remote Assistance   2. Computer Configuration - Конфигурация программ - Уставнока программ, User Configuration - Конфигурация программ - Уставнока программ 3. Через логон скрипт - самое то. Еще есть вариант - поправить Default User-а доменного. 4. Хоть 100 одновременнно - проблем не будет. Что касается отдельные учетки или нет - всё зависит от того, каковы требования безопасности. Если необходимо, чтобы каждый пользователь вел какие-то свои записи/имел досуп к опредлённым ресурсам, то лучше вообще сделать учетку для каждого пользователя, а не по числу компьютеров. ---------- Если не получается с первого раза - прочти инструкцию. (с) "Откуда нам знать, что такое война, если мы не знаем мира..."(с) Записки Всего записей: 3796 | Зарегистр. 16-07-2004 | Отправлено: 16:55 23-11-2006

gap5 Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору FreemanRU 2. В computer configuration есть только такое:   Administrative Templates Windows Components/Windows Installer Disable Windows Installer Enabled   Disable Windows Installer Always     Но ведь это применяется целиком к компьютеру. Если отключаем installer то как ставить новый софт? Ведь эти установки влияют целиком на компьютер, независимо от юзера...   3. Как именно через default user'a?   P.S. Kак я понял любой юзер домена может ввести в домен до 10 компов. А как это отключить? Чтобы в домен мог вводить новые компы только администратор домена? Всего записей: 1038 | Зарегистр. 30-05-2006 | Отправлено: 20:01 23-11-2006

FreemanRU Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору gap5 2. А зачем отключать WinInstaller? 3. Создаем пользователя, настравиваем его как нужно, затем копируем под именем Default User в SYSVOL.   PS Имеет только при условии, что учетная запись в домене уже создана, и он имеет права на ввод в данном OU, где лежит учетка компьютера. ---------- Если не получается с первого раза - прочти инструкцию. (с) "Откуда нам знать, что такое война, если мы не знаем мира..."(с) Записки Всего записей: 3796 | Зарегистр. 16-07-2004 | Отправлено: 18:24 24-11-2006

gap5 Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору FreemanRU A как еще запретить установку нового софта? хотя бы такого, который появляется в списке Add\Remove ?   Кстати, раз уж зашла речь об установке софта удаленно, выставляю в User Configuration > Software Settings > Software installation ссылку на msi файл на шаре, для его установки во время логона. Все как бы работает, но т.к. установка запускается от имени юзера - мы имеем Access denied. Нельзя никак принудительно разрешить юзеру установку софта или запустить установку от другого имени?   Или единственный выход это назначать установку в Computer Configuration? Всего записей: 1038 | Зарегистр. 30-05-2006 | Отправлено: 01:19 25-11-2006

FreemanRU Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору gap5 Цитата: Нельзя никак принудительно разрешить юзеру установку софта   Можно: Конфигурация компьютера-Административные шаблоны-Компоненты Windows-Уcтановщик Windows-Всегда производить установку с повышенными привелегиями   Цитата:  как еще запретить установку нового софта? Забрать админские права. И не надо говорить что всем надо. У нас 700 человек, уже почти ни у кого нет, а у тех у кого еще есть - это скорее политика (начальники всякие). ---------- Если не получается с первого раза - прочти инструкцию. (с) "Откуда нам знать, что такое война, если мы не знаем мира..."(с) Записки Всего записей: 3796 | Зарегистр. 16-07-2004 | Отправлено: 11:34 25-11-2006

gap5 Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: Конфигурация компьютера-Административные шаблоны-Компоненты Windows-Уcтановщик Windows-Всегда производить установку с повышенными привелегиями     Странно, в описании указано: This setting extends elevated privileges to all programs. These privileges are usually reserved for programs that have been assigned to the user (offered on the desktop), assigned to the computer (installed automatically), or made available in Add or Remove Programs in Control Panel.   Как задействовать этот "reserved"? Ведь у меня как раз "assigned to user" и не ставится, access denied говорит!     Цитата: Забрать админские права   Так админских прав и нет, юзер из группы "Users", но некоторый софт, видимо со своими инсталлерами без проблем устанавливается, причем в папку Program Files! Всего записей: 1038 | Зарегистр. 30-05-2006 | Отправлено: 12:33 25-11-2006 | Исправлено: gap5, 12:41 25-11-2006

FreemanRU Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору DimaSys Почитай о "User Group policy loopback processing" ---------- Если не получается с первого раза - прочти инструкцию. (с) "Откуда нам знать, что такое война, если мы не знаем мира..."(с) Записки Всего записей: 3796 | Зарегистр. 16-07-2004 | Отправлено: 14:40 25-11-2006

gap5 Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору И все же странно, что нет механизма разрешить юзеру установку assigned софта, не смотря на все его запреты... или я чего-то недогоняю?   Кстати, а возможно указать запуск Logon script'a однократно? Например в плане установки софта, получается при каждом логоне будет нагружать комп. Хотя он по идее нигде не пишет о результатах работы...   Logonscript должен лежать в расшаренной папке или пофиг?   P.S. Ну и еще до кучи В случае, если установка производится от имени компа (т.е. указана в computer configuration) доступ на сетевую шару идет от имени компа? Всего записей: 1038 | Зарегистр. 30-05-2006 | Отправлено: 16:59 25-11-2006

FreemanRU Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору gap5 Цитата: Кстати, а возможно указать запуск Logon script'a однократно? Нет, но при выполнении скрипта мозно оставлять какие-либо флаги (н-р файлик создать, или в реестр что-нить записать)   Цитата: Logonscript   должен лежать в расшаренной папке. Лучше если его размещать по умолчанию (т.е. в SYSVOL) Цитата: В случае, если установка производится от имени компа (т.е. указана в computer configuration) доступ на сетевую шару идет от имени компа? Именно, от имени учетной записи COMP_NAME$   Цитата: И все же странно, что нет механизма разрешить юзеру установку assigned софта, не смотря на все его запреты... или я чего-то недогоняю?   Ты поставил Всегда производить установку с повышенными привелегиями? ---------- Если не получается с первого раза - прочти инструкцию. (с) "Откуда нам знать, что такое война, если мы не знаем мира..."(с) Записки Всего записей: 3796 | Зарегистр. 16-07-2004 | Отправлено: 07:49 28-11-2006

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Обсуждение статьи "Групповые политики Active Directory"

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование