Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Групповые политики (Group Policy, GPO): документация, ссылки

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123

Открыть новую тему     Написать ответ в эту тему

lynx



Advanced lynx
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Групповые политики (Group Policy)


  • Групповые политики Active Directory
  • Структура объекта групповой политик
  • http://www.gpanswers.com/  
  • Windows Server Group Policy Home

    См. также Общие вопросы по Active Directory (AD)

    FAQ

  • Не работают групповые политики
  • Безопасность
  • Восстановление политик
  • Групповые политики + Internet Explorer (IE)
  • Windows Vista & Windows Server 2008
  • Другие вопросы по групповым политикам

    Документация

  • Англоязычная:
  • Русскоязычная:


    Пост подготовлен: G14

  • Всего записей: 11712 | Зарегистр. 08-05-2001 | Отправлено: 19:33 13-12-2004 | Исправлено: Paromshick, 10:25 23-09-2016
    1234566

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    Какой мелочи? Вся основа домена - это централизованное управление. И как же я буду уверен в том что настраиваю все компы одинаково и что все получают те настройки которые я задаю, если каждый локальный пользователь сможет выключать мои политики.

     
    Мне к сожалению нужны не рассуждения на тему, а конкретное решение ...

    Всего записей: 70 | Зарегистр. 28-01-2006 | Отправлено: 14:58 30-08-2006
    FreemanRU



    Silver Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    1234566

    Цитата:
    конкретное решение ...

    Его не существует, кроме как вывести комп из домена.
     

    и еще, рекомендую внимательно прочесть п. 3.2. главы IV Соглашения по использованию


    ----------
    Если не получается с первого раза - прочти инструкцию. (с)
    "Откуда нам знать, что такое война, если мы не знаем мира..."(с)
    Записки

    Всего записей: 3768 | Зарегистр. 16-07-2004 | Отправлено: 15:08 30-08-2006
    Serra

    Full Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    конкретное решение

    Нет такого. Можно нарушить связь рабочей станции с контроллером домена, хотя бы даже рассинхронизацией времени, но в этом случае рабочая станция будет в домене лишь формально, доступа к сетевым ресурсам с нее не будет.

    Цитата:
    Неужели Билл не предусмотрел такой мелочи???

    Билл предусмотрел, что бы всякие умники не могли такого сделать. Выбирай - либо в домене, и соответствуешь требованиям доменной политики, или в рабочей группе - сам себе хозяин.

    Всего записей: 437 | Зарегистр. 27-09-2004 | Отправлено: 15:10 30-08-2006
    Clavik



    Advanced Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Из разряда предположений, тестить не хочу.
    Политика записывается в реестр  
    для компа - HKEY_LOCAL_MACHINE\SOFTWARE\Policies  
    для юзера - HKEY_CURRENT_USER\Software\Policies
    и затем применяется компом и юзером.  
     
    А что если удалить все ненужные значения (или поменять на обратные) и запретить доступ кому-либо в эти ветки реестра?
    Правда не вся политика, туда пишется.

    Всего записей: 1104 | Зарегистр. 29-02-2004 | Отправлено: 15:48 30-08-2006
    alecsandrb

    Junior Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    1234566
     
    А что тебе мешает переместить учетную запись ПК в отделный орг. юнит и запретить наследование для этого орг. юнита? Тогда к этому ПК будет применена только его локальная политика.

    Всего записей: 36 | Зарегистр. 03-09-2003 | Отправлено: 16:16 30-08-2006
    Clavik



    Advanced Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    alecsandrb
    Он не админ домена.

    Всего записей: 1104 | Зарегистр. 29-02-2004 | Отправлено: 16:17 30-08-2006
    alecsandrb

    Junior Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Clavik
     
    Этого вроде нигде не указывалось, но тогда действительно никак.

    Всего записей: 36 | Зарегистр. 03-09-2003 | Отправлено: 16:20 30-08-2006
    Clavik



    Advanced Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    alecsandrb
    Если посмотришь страницу назад:
     

    Цитата:
    есть права локального администратора и нет прав администратора контроллера домена???


    Всего записей: 1104 | Зарегистр. 29-02-2004 | Отправлено: 16:25 30-08-2006
    Serra

    Full Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    Из разряда предположений, тестить не хочу.  
    Политика записывается в реестр  
    для компа - HKEY_LOCAL_MACHINE\SOFTWARE\Policies  
    для юзера - HKEY_CURRENT_USER\Software\Policies  
    и затем применяется компом и юзером.  
     
    А что если удалить все ненужные значения (или поменять на обратные) и запретить доступ кому-либо в эти ветки реестра?  
    Правда не вся политика, туда пишется.

     
    Если не ошибаюсь, политики пишутся в реестр от учетной записи System, лишение прав на доступ тут чревато полной неработоспособностью Windows

    Всего записей: 437 | Зарегистр. 27-09-2004 | Отправлено: 20:51 30-08-2006
    1234566

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    Если не ошибаюсь, политики пишутся в реестр от учетной записи System, лишение прав на доступ тут чревато полной неработоспособностью Windows

     
    Эти ветки реестра пустые. Но параметров там много, включая сертификаты.
    Насчет применения групповых политик, мне удалось локально перекрыть надоедавшую и напрягаюющую групповую политику через оснастку "редактор объекта групповой политики", можно конечно работать с каждой, но решение довольно трудоемкое отслеживать и переопределять политики того что там придумают админы. Поэтому и был вопрос о глобальном "рубилнике" который отключает локально групповые политики, которые по умолчанию включены.
     
    На счет того что имя у меня одни чифры - каюсь, плюс - быстро войти в форум и заполнить надоевшие формы авторизации. Ну а с доугой стороны никакого принципиального отличия от осмысленного ника напр (Superpupkin). Все равно здесь не напишу имя, фамилию, номер кредитной карточки и домашний адрес!!!  
     
    Добавлено:
    А то что не хочу выводить из домена, поскольку пользуюсь некоторыми общими ресурсами, где постоянно надо будет авторизовываться под пользователем домена.
     
    И еще ваопрос, если не удается запретить это настройками может закрыть порт файерволом???
     
    Добавлено:
    Спасибо огромное всем кто участвует в обсуждении!!! ))




    за несоответствие вопроса тематике форума. /emx/

    Всего записей: 70 | Зарегистр. 28-01-2006 | Отправлено: 06:18 31-08-2006 | Исправлено: emx, 14:22 07-09-2006
    Clavik



    Advanced Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

    Цитата:
    Насчет применения групповых политик, мне удалось локально перекрыть надоедавшую и напрягаюющую групповую политику через оснастку "редактор объекта групповой политики", можно конечно работать с каждой, но решение довольно трудоемкое отслеживать и переопределять политики того что там придумают админы.

     
    Локальные политика ВСЕГДА перекрываются доменными. Если админ определил для твоего компа политики на уровне домена, то твоему компу уже похер на локальные политики.
     

    Цитата:
    А то что не хочу выводить из домена, поскольку пользуюсь некоторыми общими ресурсами, где постоянно надо будет авторизовываться под пользователем домена.

     
    Шарами можно пользоваться и без включения компа в домен. Просто при подключении шары, указываешь свои учетные данные в домене.
     
    Хотел тебе еще предложение дать, но передумал
    Самое простое - это найти общий язык с админом, пивка с ним попей, например, он тебе потом сам все откроет
     

    Всего записей: 1104 | Зарегистр. 29-02-2004 | Отправлено: 08:20 31-08-2006 | Исправлено: Clavik, 08:21 31-08-2006
    1234566

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    Самое простое - это найти общий язык с админом, пивка с ним попей, например, он тебе потом сам все откроет  

     
    Их политика делалась на уровне OU, причем скриптом во время загрузки...это мне удалось перекрыть, если будет тоже самое на уровне домена - надо будет думать ... дальше, искать варианты.
     
    А закрыть файерволом, так чтобы машина аутентифицировалась в домене???
     
    Пиво с ними не получиться очень сложные отношения ... :///




    Слушай, дорогой. Это помощь сис. админам, а не хацкерам.
    Предупреждение за несоответствие вопроса тематике форума. /emx/

    Всего записей: 70 | Зарегистр. 28-01-2006 | Отправлено: 08:33 31-08-2006 | Исправлено: emx, 14:19 07-09-2006
    Clavik



    Advanced Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

    Цитата:
    Их политика делалась на уровне OU, причем скриптом во время загрузки...это мне удалось перекрыть, если будет тоже самое на уровне домена - надо будет думать ... дальше, искать варианты.

     
    Ты понимаешь разницу между политикой в OU и дефолтной в домене? Разницы нет, просто есть приоритеты принятия политики, дк вот политика на уровне OU приоритетнее чем доменная, НО если нет политики на уровне OU применяется доменная.
     
    Есть в твоем реестре ветка:
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy\History
     
    она тебе показывает историю применения политики твоим компом.

    ----------
    Как наши глаза устремлены к течению
    светил, так уши к движению стройных
    созвучий.

    Всего записей: 1104 | Зарегистр. 29-02-2004 | Отправлено: 09:09 31-08-2006
    1234566

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy\History  
    Содержит две папочки вида {35378EAC-683F-11D2-A89A-00C04FBBCFA2}, {A2E30F80-D7DE-11d2-BBDE-00C04F86AE3B} в них обоих папка 0 в которой уже куча параметров???

    Всего записей: 70 | Зарегистр. 28-01-2006 | Отправлено: 11:10 31-08-2006
    Clavik



    Advanced Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    смотри _http://support.microsoft.com/default.aspx?kbid=201453
     
    Если в обоих только нули, то применяется скорее всего только Default Domain Policy, а проверить как зовется политика можешь в DisplayName.
     
    И с чего ты решил что:

    Цитата:
    Их политика делалась на уровне OU, причем скриптом во время загрузки...

     
    Поймал какого-то системотехника и он тебе под пытками рассказал?
     
     
    Добавлено:
    1234566
    Я вот тут чего подумал, а шел бы ты в Андеграунд. Здесь рассматриваются вопросы администрирования Групповых политик, а не "Как обмануть групповые политики злого админа"
     
    Вообщем моя помощь в твоем вопросе закрыта.

    Всего записей: 1104 | Зарегистр. 29-02-2004 | Отправлено: 12:20 31-08-2006 | Исправлено: Clavik, 12:20 31-08-2006
    mecong



    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Господа !
     
    Создаю GPO: add printer
     
    User Configuration/Windows Settings/Scripts (Logon/Logoff)
    открываю logon
    в открытом Logon Propeties окне жмем Add
    показываем путь к скрипту:
    \kassirru.local\SYSVOL\kassirru.local\scripts\Add a Printer.vbs
    либо в новом контейнере созданном при создании политики  
    \SYSVOL\domain\Policies\{9A516264-0762-4625-A5CA-09CFF3EE2586}\User\Scripts\Logon\Add a Printer.vbs"  
     
    жмем "ОК"
    после в окне Logon Propeties окне жмем Aplly
     
    и получаем такую надпись. И не возможность добавить скрипт
                       
    the Scripts component is unable to save the changes due to error 32
     
     
    где копать чтобы исправить ? С чем связанно ? скрипт рабочий проверенно много кратно

    Всего записей: 66 | Зарегистр. 23-05-2006 | Отправлено: 16:26 06-09-2006
    G14



    Добрый фей
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

    Цитата:
    error 32

    это "The process cannot access the file because it is being used by another process." Проверь, не занят ли кем то.... Возьми Sysinternals FileMon например.... Посмотри в ЭвентЛог, что там есть?


    ----------
    http://OpsMgr.ru (более мне не принадлежит. Кому принадлежит - не знаю.)

    Всего записей: 3013 | Зарегистр. 19-01-2004 | Отправлено: 08:00 07-09-2006
    vkostic



    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Подскажи может кто сталкивался.
    при сохранении после редактирования Административных шаблонов вылетает окошко
     [img=http://img157.imagevenue.com/loc584/th_21438_2_12_122_584lo.jpg]
    и в итоге ничего не сохраняется..

    Всего записей: 33 | Зарегистр. 21-10-2005 | Отправлено: 17:20 08-09-2006
    BRAINTEQU



    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    ПОДСКАЖИТЕ КАК РАЗРЕШИТЬ ПОЛЬЗОВАТЕЛЮ С ОГРАНИЧЕНЫМИ ПРАВАМИ ИСПОЛЬЗОВАТЬ ПРОГИ УСТАНОВЛЕНЫЕ НА ЕГО КОМПЕ ЛОКАЛЬНЫМ АДМИНОМ




    за дублирование сообщений (дубль), написание сообщений ПРОПИСНЫМИ буквами. Кричать здесь не надо, ок? При повторении задумаюсь о запрете на пост/бане.

    /emx/

    Всего записей: 52 | Зарегистр. 11-09-2006 | Отправлено: 13:35 11-09-2006 | Исправлено: emx, 03:32 13-09-2006
    Nand



    Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    После переименования компьютера и ввода его в домен Результирующая политика при попытке открыть сгенерированный ей: Конфигурация пользователя- административные шаблоны выдает следующую ошибку: типа не удалось найти файл \\Старое имя компа\admin$\... В реестре где нашел везде заменил старое имя на новое. Не помогло. Откудова RSoP берет это имя?

    Всего записей: 208 | Зарегистр. 27-03-2004 | Отправлено: 12:33 13-09-2006 | Исправлено: Nand, 12:35 13-09-2006
    Открыть новую тему     Написать ответ в эту тему

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Групповые политики (Group Policy, GPO): документация, ссылки

    Имя:
    Пароль:
    Сообщение

    Для вставки имени, кликните на нем.

    Опции сообщенияДобавить свою подпись
    Подписаться на получение ответов по e-mail
    Добавить тему в личные закладки
    Разрешить смайлики?
    Запретить коды


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.Board
    © Ru.Board 2000-2018

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru