Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Обсуждение статьи "Групповые политики Active Directory"

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29

Открыть новую тему     Написать ответ в эту тему

articlebot



Administrator		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору


В этой статье рассмотрены ключевые моменты по работе с групповыми политиками Active Directory на примере политик Microsoft Windows Server 2003.


     
  1. Введение
  2. Объекты групповых политик
  3. Создание объекта групповой политики
  4. Порядок применения объектов групповой политики
  5. Приоритетность, наследование и разрешение конфликтов
  6. Определение настроек, действующих на компьютер пользователя
  7. Другие инструменты управления групповыми политиками

Введение


С увеличением парка компьютеров на предприятии все более остро встаёт вопрос о стоимости его управления и содержания. Ручная настройка компьютеров отнимает немало времени у персонала и заставляет, с увеличением количества компьютеров, увеличивать штат обслуживающего их персонала. К тому же при большом количестве машин следить за соблюдением принятых на предприятии стандартов настройки становится всё труднее. Групповые политики (Group Policy) являются комплексным инструментом централизованного управления компьютерами с ОС Windows 2000 и выше в домене Active Directory. К компьютерам под управлением ОС Windows NT4/9x групповые политики не применяются: они управляются системными политиками (System Policy), которые в данной статье рассматриваться не будут.



Читать
 
Вопросы по AD GP следует задавать в теме "Групповые политики (Group Policy, GPO): документация, ссылки".
В данной теме производится только обсуждение статьи.
Всего записей: 366 | Зарегистр. 25-05-2001 | Отправлено: 04:46 12-02-2006 | Исправлено: emx, 15:23 01-09-2006
ccna



Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
друзья, а как исключить одного пользователя домена из применения групповой политики? Настроена групповая политика пользователя на загрузку сценария на вход.. нужно, чтоб к одному пользователю эта политика не применялась. как исключить?
 
 
РЕШИЛ САМ
Всего записей: 182 | Зарегистр. 12-11-2005 | Отправлено: 12:38 22-01-2007 | Исправлено: ccna, 13:56 22-01-2007
gap5



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
XP:  
У подписей иконок на рабочем столе фон стал непрозрачным. Active desktop отключен, Lock web items не стоит, галка Icons drop shadow стоит, Disallow wallpaper change - disabled. В чем еще проблема может быть?
Всего записей: 1037 | Зарегистр. 30-05-2006 | Отправлено: 23:33 22-01-2007
GRIZLO

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
при запуске утилиты dcgpofix происходит следующее:  
не удается прочитать сертификаты EFS из файла Registry.pol в default domain police. Ошибка: в систему не произведен: выбранный режим входа для данного пользователя на этом компьютере не предусмотрен.  
 
Что с этим делать, кто может подсказать? И еще, в оснастке редактор групповых политик окрываю доменную политику, а там только дерево этой политики, а самих параметров нет вообще. Это из той же оперы, наверное. Как с этим бороться? Заранее благодарен. Да, еще, у меня журнал событий "приложения" весь красный от ошибок 1030 и 1058.
Всего записей: 137 | Зарегистр. 22-05-2006 | Отправлено: 18:07 26-01-2007
scorax



Junior Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Подскажите где и как настроить групповую политику (интересует именно название параметра , где находится), что бы пользователи домена не могли входить под своей учеткой на разных компах. По умолчанию в моем случае каждый пользователь на своем рабочем месте занесен в группу админы или опытный польз. , имеет возможность устанавливать софт, но при этом пользователь под своей учеткой может зайти на машину к соседу, но с правами гостя, при этом создается новый рабочий стол.  
Как запретить вход, когда пользователь НЕ занесен в гр. админы или оптн.польз.?
Всего записей: 49 | Зарегистр. 06-04-2006 | Отправлено: 13:10 06-02-2007 | Исправлено: scorax, 13:13 06-02-2007
nikikoko

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Народ! Поскажите, пожалуйста, как заставить программу gpupdate работать!
Дело в том, что после установки обновлений от Microsoft (все недостающие, которые выявил MBSA 2.0) на локальные машины, на некоторых из них выполнение команды gpupdate или gpupdate /force идет бесконечно долго (утром поставил на выполнение, и спустя 4-5 часов по-прежнему пишет "Обновление политики..."). А на других машинах, даже после обновлений, всё работает как и должно.
 
Что можно сделать?
Всего записей: 6 | Зарегистр. 23-01-2007 | Отправлено: 11:29 07-02-2007 | Исправлено: nikikoko, 11:32 07-02-2007
GRIZLO

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Уважаемые, помогите разобраться в результатах утилиты netdiag. Все ли тут в порядке, если нет, то скажите где ошибки и как их можно исправить!!!
 
Computer Name: SERVER
    DNS Host Name: server.dpf.net
    System info : Windows 2000 Server (Build 3790)
    Processor : x86 Family 15 Model 47 Stepping 2, AuthenticAMD
    List of installed hotfixes :  
        Q147222
 
Netcard queries test . . . . . . . : Passed
    [WARNING] The net card 'RAS асинхронный адаптер' may not be working because it has not received any packets.
    GetStats failed for 'Прямой параллельный порт'. [ERROR_NOT_SUPPORTED]
    GetStats failed for 'Минипорт WAN (PPTP)'. [ERROR_NOT_SUPPORTED]
    GetStats failed for 'Минипорт WAN (PPPoE)'. [ERROR_NOT_SUPPORTED]
    [WARNING] The net card 'Минипорт WAN (IP)' may not be working because it has not received any packets.
    GetStats failed for 'Минипорт WAN (L2TP)'. [ERROR_NOT_SUPPORTED]
 
Per interface results:
 
    Adapter : Подключение по локальной сети
 
        Netcard queries test . . . : Passed
 
        Host Name. . . . . . . . . : server
        IP Address . . . . . . . . : 192.168.1.15
        Subnet Mask. . . . . . . . : 255.255.255.0
        Default Gateway. . . . . . :  
        Dns Servers. . . . . . . . : 192.168.1.15
 
        AutoConfiguration results. . . . . . : Passed
 
        Default gateway test . . . : Skipped
            [WARNING] No gateways defined for this adapter.
 
        NetBT name test. . . . . . : Passed
        [WARNING] At least one of the <00> 'WorkStation Service', <03> 'Messenger Service', <20> 'WINS' names is missing.
            No remote names have been found.
 
        WINS service test. . . . . : Skipped
            There are no WINS servers configured for this interface.
 
    Adapter : {4767F97D-9D64-4E55-89A4-F347850C3D2F}
 
        Netcard queries test . . . : Passed
 
        Host Name. . . . . . . . . : server
        IP Address . . . . . . . . : 192.168.44.16
        Subnet Mask. . . . . . . . : 255.255.255.255
        Default Gateway. . . . . . : 192.168.44.16
        NetBIOS over Tcpip . . . . : Disabled
        Dns Servers. . . . . . . . : 213.179.247.178
                                     213.179.247.178
 
 
        AutoConfiguration results. . . . . . : Passed
 
        Default gateway test . . . : Passed
 
        NetBT name test. . . . . . : Skipped
            NetBT is disabled on this interface. [Test skipped]
 
        WINS service test. . . . . : Skipped
            NetBT is disable on this interface. [Test skipped].
 
 
Global results:
 
 
Domain membership test . . . . . . : Passed
 
 
NetBT transports test. . . . . . . : Passed
    List of NetBt transports currently configured:
        NetBT_Tcpip_{504E9786-DCC8-42F5-95A1-8D1AF1A3D7E0}
    1 NetBt transport currently configured.
 
 
Autonet address test . . . . . . . : Passed
 
 
IP loopback ping test. . . . . . . : Passed
 
 
Default gateway test . . . . . . . : Passed
 
 
NetBT name test. . . . . . . . . . : Passed
    [WARNING] You don't have a single interface with the <00> 'WorkStation Service', <03> 'Messenger Service', <20> 'WINS' names defined.
 
 
Winsock test . . . . . . . . . . . : Passed
 
 
DNS test . . . . . . . . . . . . . : Passed
    PASS - All the DNS entries for DC are registered on DNS server '192.168.1.15'.
    [WARNING] The DNS entries for this DC are not registered correctly on  
DNS server '213.179.247.178'. Please wait for 30 minutes for DNS server replication.
 
 
Redir and Browser test . . . . . . : Passed
    List of NetBt transports currently bound to the Redir
        NetBT_Tcpip_{504E9786-DCC8-42F5-95A1-8D1AF1A3D7E0}
    The redir is bound to 1 NetBt transport.
 
    List of NetBt transports currently bound to the browser
        NetBT_Tcpip_{504E9786-DCC8-42F5-95A1-8D1AF1A3D7E0}
    The browser is bound to 1 NetBt transport.
 
 
DC discovery test. . . . . . . . . : Passed
 
 
DC list test . . . . . . . . . . . : Passed
 
 
Trust relationship test. . . . . . : Skipped
 
 
Kerberos test. . . . . . . . . . . : Passed
 
 
LDAP test. . . . . . . . . . . . . : Passed
 
 
Bindings test. . . . . . . . . . . : Passed
 
 
WAN configuration test . . . . . . : Passed
Entry Name: 192.168.17.11
Device Type: Framing protocol :  PPP
LCP Extensions :  Enabled
Software Compression :  Enabled
Network protocols :
     TCP/IP
IP Address :  Server Assigned
Name Server: Server Assigned
IP Header compression :  Enabled
Use default gateway on remote network : Enabled
 
    Connection Statistics:
    Bytes Transmitted     : 92492417
    Bytes Received        : 700803426
    Frames Transmitted    : 634481
    Frames Received       : 677682
    CRC    Errors         : 677682
    Timeout Errors        : 0
    Alignment Errors      : 0
    H/W Overrun Errors    : 170
    Framing Errors        : 0
    Buffer Overrun Errors : 0
    Compression Ratio In  : 2
    Compression Ratio Out : 11
    Baud Rate ( Bps )     : 115200
    Connection Duration   : 94820641
 
 
Modem diagnostics test . . . . . . : Passed
 
IP Security test . . . . . . . . . : Skipped
 
    Note: run "netsh ipsec dynamic show /?" for more detailed information
 
 
The command completed successfully
Всего записей: 137 | Зарегистр. 22-05-2006 | Отправлено: 13:05 07-02-2007
m2a



Full Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
nikikoko
 

Цитата:
Народ! Поскажите, пожалуйста, как заставить программу gpupdate работать!  
Дело в том, что после установки обновлений от Microsoft (все недостающие, которые выявил MBSA 2.0) на локальные машины, на некоторых из них выполнение команды gpupdate или gpupdate /force идет бесконечно долго (утром поставил на выполнение, и спустя 4-5 часов по-прежнему пишет "Обновление политики..."). А на других машинах, даже после обновлений, всё работает как и должно.  
 
Что можно сделать?

 
Она у тебя уже заработала, токо боюсь ты мог завалить сервак. Смотря скоко у тебя обновлдений насчиталось и смотря скоко компов в сети. Ты использовал ключ /force вот и получай. все твои компы ринулись на сервер и все дерут себе обновления. Вот и подумай, что будет. Обновления лучше делать частями, не всем компам сразу. Например сделать OU (надеюсь объяснять не надо, что это). Туда поместить часть компов и на них накатить....
Всего записей: 600 | Зарегистр. 21-08-2003 | Отправлено: 18:27 07-02-2007
G14



Добрый фей		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
nikikoko

Цитата:
утром поставил на выполнение, и спустя 4-5 часов по-прежнему пишет "Обновление политики..."

Что в эвентлоге этих машин?
m2a

Цитата:
боюсь ты мог завалить сервак.


Цитата:
Ты использовал ключ /force вот и получай.

оооооо  
иногда лучше жевать, чем говорить (с)


Цитата:
надеюсь объяснять не надо, что это

прежде чем кому-то что-то объяснять, нужно самому обладать хотя бы минимальными знаниями о предмете.


----------
http://OpsMgr.ru (более мне не принадлежит. Кому принадлежит - не знаю.)
Всего записей: 3013 | Зарегистр. 19-01-2004 | Отправлено: 18:55 07-02-2007
m2a



Full Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
G14
гы... видно ты жевал, когда я говорил.... раз уж челу ничо не сказал сразу. Книжки листал лихорадочно?..... ))))))))))))))))))))))) или скал подходящую "цитату" в разделе?? ))))))))))))))))))))))).  
Какую инфу чел предоставил - на то и получил ответ.
Всего записей: 600 | Зарегистр. 21-08-2003 | Отправлено: 19:33 07-02-2007
urel

Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
nikikoko
скорее всего проверить настройки днс...
Всего записей: 292 | Зарегистр. 16-09-2004 | Отправлено: 23:11 07-02-2007
gap5



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Никто не сталкивался:
после ввода в домен (2003AD) на клиентских компах (XP SP2) переодически (раз в 2-5 минут) пропадает фокус окна... допустим окно MS Word активно, юзер печатает текст, затем на 2-3 секунды оно перестает быть активным, и потом опять активируется... В итоге у юзера лажа с текстом. Причем такая ерунда не только с word...
 
В event log'e все гладко. Политики обновляются раз в 30 минут.  
Из-за чего такое может быть?
Всего записей: 1037 | Зарегистр. 30-05-2006 | Отправлено: 10:00 08-02-2007
nikikoko

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ДНС функционирует нормально, обновление записей работают. DHCP - тоже работает, параметры 003, 006, 015, 044, 046 настроены.
 
Команда gpupdate "зависает" только на локальных машинах. Из 22 компов, на 2-их работает как должна. На серваке тоже всё работает. Обновления устанавливались для локальных операционных систем, а не для групповой политики, поэтому по сетке с сервака компы ничего не получают и не виснут.
 
В логах локальных машин выполнение команды gpupdate не отражается. Сгенерировал result policy через MS GPMC, на тех компах, где "зависает" gpupdate, пишет статус применения Security Settings как "In progress" с желтым восклицательным знаком.
 
Сервер и AD работают нормально.
 
У кого-нибудь была похожая ситуация с gpupdate?
Всего записей: 6 | Зарегистр. 23-01-2007 | Отправлено: 10:02 08-02-2007
G14



Добрый фей		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

Цитата:
В логах локальных машин выполнение команды gpupdate не отражается.

А ошибки, связанные с работой компьютера в домене отражаются?
Что дает запущеная из под администратора домена (через runas) команда dcdiag /s:имя_контроллера_домена ?

----------
http://OpsMgr.ru (более мне не принадлежит. Кому принадлежит - не знаю.)
Всего записей: 3013 | Зарегистр. 19-01-2004 | Отправлено: 12:38 08-02-2007
nikikoko

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Команда dcdiag /s:master, где "master" - имя контроллера домена, запускает серию тестов. Все они, как на локальной машине с "подвисающей" командой gpupdate, так и на контроллере, успешно пройдены (везде написано "passed").
 
Народ, подскажите, что происходит с gpupdate?
Всего записей: 6 | Зарегистр. 23-01-2007 | Отправлено: 13:07 09-02-2007
vskr

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
А все-таки есть ли возможность локально настроить рабочую станцию xp, являющуюся членом домена с AD (win2003) так, чтобы групповые политки на ней игнорировались? Насколько могу судить об этом, сделать этого нельзя, но вдруг я ошибаюсь?
Всего записей: 125 | Зарегистр. 24-12-2003 | Отправлено: 13:59 15-02-2007 | Исправлено: vskr, 15:11 15-02-2007
OKN



Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
vskr
ИМХО это возможно только отключением от сервера (физически, или фаерволом).  
 
Добавлено:
з\ы - ..надеюсь, вопрос о взломе ActiveDirectory рассматриваться не будет
Всего записей: 49 | Зарегистр. 27-07-2003 | Отправлено: 13:41 19-02-2007
vskr

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Отключение станции от сервера не рассматривается (какая же это станция без сетки?). Файервол, боюсь, столь избирательно тоже не настроить. AD "ломать" мы тоже не будем - проще уж пароль одного из админов добыть.
В общем, "беспредельничать" не хочется, и вполне бы устроила тонкая настройка станции.
Всего записей: 125 | Зарегистр. 24-12-2003 | Отправлено: 14:19 19-02-2007
AgelNick



Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Объекты GPO обладают свойствами наследования в Active Directory и накопления. Они также влияют на все компьютеры и на всех пользователей в соответствующем контейнере Active Directory. На клиентских компьютерах Windows 2000 Windows ХР Professional или Windows Server 2003 объекты GPO обрабатываются в следующ порядке.
1.    Локальный объект Group Policy (LGPO), конфигурируемый на уровне отдельной машины.
2.    GPO, присоединенные к сайтам.
3.   GPO, присоединенные к доменам.
4.    GPO, присоединенные к организационным единицам (OU).
a)   GPO, присоединенные к родительским OU.
b)   GPO, присоединенные к дочерним OU.
c)   GPO, присоединенные к дочерним OU внутри этих дочерних OU, и т.д. до максимального уровня вложенности (в Active Directory допускается до 64 уровней).
Таким образом, первые настройки, применяемые при загрузке или входе, берутся из локального объекта (LGPO), который вы конфигурируете на уровне отдельной машины.  
 
Глава 22. Использование Group Policy, с. 702-703
 
Microsoft Windows Server 2003. Полное руководство. /Пер. с англ., - М.:Издательство "СП ЭКОМ", 2004. - 896с.: ил.
Всего записей: 36 | Зарегистр. 24-11-2005 | Отправлено: 15:07 19-02-2007
OKN



Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Таким образом, первые настройки, применяемые при загрузке или входе, берутся из локального объекта (LGPO), который вы конфигурируете на уровне отдельной машины.

ну да, а затем она "перебивается" более приоритетной

Цитата:
GPO, присоединенные к организационным единицам (OU).  

 
Добавлено:

Цитата:
Файервол, боюсь, столь избирательно тоже не настроить.

 
Отчего же - заблокировать весь трафик от IP с DC, ..но это чревато тем что вы просто не сможете залогиниться, т.к. "негде" (домен то фаерволом заблокирован)
Всего записей: 49 | Зарегистр. 27-07-2003 | Отправлено: 18:13 19-02-2007 | Исправлено: OKN, 18:14 19-02-2007
ccna



Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
друзья, а как через GPO удалить на рабочих станциях ветку реестра?
Всего записей: 182 | Зарегистр. 12-11-2005 | Отправлено: 17:53 22-02-2007
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Обсуждение статьи "Групповые политики Active Directory"


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru