#
Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Групповые политики (Group Policy, GPO): документация, ссылки

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123

Открыть новую тему     Написать ответ в эту тему

lynx



Advanced lynx
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Групповые политики (Group Policy)


  • Групповые политики Active Directory
  • Структура объекта групповой политик
  • http://www.gpanswers.com/  
  • Windows Server Group Policy Home

    См. также Общие вопросы по Active Directory (AD)

    FAQ

  • Не работают групповые политики
  • Безопасность
  • Восстановление политик
  • Групповые политики + Internet Explorer (IE)
  • Windows Vista & Windows Server 2008
  • Другие вопросы по групповым политикам

    Документация

  • Англоязычная:
  • Русскоязычная:


    Пост подготовлен: G14

  • Всего записей: 11712 | Зарегистр. 08-05-2001 | Отправлено: 19:33 13-12-2004 | Исправлено: Paromshick, 10:25 23-09-2016
    erve

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    А как быть с приоритетом над доменной? или тут как раз галочка Enforced и пригодится?

    Всего записей: 81 | Зарегистр. 28-08-2006 | Отправлено: 14:57 14-05-2009
    anton04



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    erve
     
    Можно сделать проще, удалить нужную тебе политику из Default domain policy и назначить несколько политик с нужными тебе параметрами на определённые OU (организационные единицы/подразделения). В этих OU могут содержаться как компы, так и пользователи/группы. В идеале для компов должны быть свои OU, для изеров/групп - свои. И соответственно политики относящиеся с компам применять к OU где компы, а политики для юзеров применять к OU где есть юзера/группы.
    Вот такое вот разграничение.
     
    P.S. Что такое
    Цитата:
    ДО
    я не понял...
    P.P.S. Под группы я понимаю группы безопасности.

    Всего записей: 2737 | Зарегистр. 14-06-2006 | Отправлено: 15:03 14-05-2009 | Исправлено: anton04, 15:11 14-05-2009
    erve

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Дело в том что нужная политика применяется на кучу групп, поэтому руками ее туда прописывать будет трудоемко.
     
    Помогло перенесение на верхний уровень и прописывание групп кому это надо
    Всем спасибо!

    Всего записей: 81 | Зарегистр. 28-08-2006 | Отправлено: 15:32 14-05-2009 | Исправлено: erve, 15:40 14-05-2009
    anton04



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    erve
     

    Цитата:
    Дело в том что нужная политика применяется на кучу групп, поэтому руками ее туда прописывать будет трудоемко.

     
    Зачем же в ручную... создайшь одну и потом копируешь

    Всего записей: 2737 | Зарегистр. 14-06-2006 | Отправлено: 15:51 14-05-2009
    niichavo



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    erve

    Цитата:
    Имеется домен и общая для всех доменная политика. Возникла необходимость подредактировать один небольшой параметр скринсейвера на одной из групп домена. Но конечно же политика группы перекроется политикой домена.

    Извините, что плохо понимаю. Что значит "на одной из групп домена"? Т.е. ты хочешь, чтобы был другим некоторый параметр у группы безопасности "MineGrouppen", например?
     
    Что значит "конечно же политика группы перекроется политикой домена"? Что такое политика домена и политика группы? Попытаюсь догадаться. Пусть политика домена - это "Default Domain Policy", а политика группы - это созданная тобой групповая политика "GPO MineGrouppen", прикрученная к определённой OU "OU Company" (организационной единице) в которой у тебя лежит группа безопасности "MineGrouppen". Похоже? Тогда порядок применения политики такой. Вначале применяется "Default Domain Policy", а потом "GPO MineGrouppen".
     
    Теперь для того, чтобы "GPO MineGrouppen" применялось только к группе "MineGrouppen", нужно в Group Policy Management в политике "GPO MineGrouppen" - Security Filtering указать только группу MineGrouppen. Если нужно, чтобы политика применялась и к определённым компьютерам, тогда засунь в эту группу нужные компы помимо учёток пользователей.

    Всего записей: 836 | Зарегистр. 14-09-2005 | Отправлено: 15:53 14-05-2009
    erve

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    Извините, что плохо понимаю. Что значит "на одной из групп домена"? Т.е. ты хочешь, чтобы был другим некоторый параметр у группы безопасности "MineGrouppen", например?  

    Да, он должен отличаться от того, что установлен в Default Domain Policy

    Цитата:
    Что значит "конечно же политика группы перекроется политикой домена"? Что такое политика домена и политика группы? Попытаюсь догадаться. Пусть политика домена - это "Default Domain Policy", а политика группы - это созданная тобой групповая политика "GPO MineGrouppen", прикрученная к определённой OU "OU Company" (организационной единице) в которой у тебя лежит группа безопасности "MineGrouppen". Похоже?

    Так и есть

    Цитата:
    Тогда порядок применения политики такой. Вначале применяется "Default Domain Policy", а потом "GPO MineGrouppen".  

    Тут меня переклинило и стало казаться что наоборот... Оттого и проблемы

    Цитата:
    Теперь для того, чтобы "GPO MineGrouppen" применялось только к группе "MineGrouppen", нужно в Group Policy Management в политике "GPO MineGrouppen" - Security Filtering указать только группу MineGrouppen

    У меня эта политика и применялась, но только к компьютерам, а не к пользователям. а нужный параметр был как раз в настройках пользователей
    Цитата:
    Если нужно, чтобы политика применялась и к определённым компьютерам, тогда засунь в эту группу нужные компы помимо учёток пользователей

    Собственно я может в терминологии путаюсь, но у меня в дереве есть Подразделения (группы компьютеров со своими GP) и контейнер с пользователями и группами. Можно создать НЕЧТО включающее в себя и компы и пользователей?..
     

    Всего записей: 81 | Зарегистр. 28-08-2006 | Отправлено: 16:08 14-05-2009
    niichavo



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    erve

    • в группу "MineGrouppen" добавь учётки пользователей и компьютеров к которым должна применяться политика "GPO MineGrouppen"
    • В политике "GPO MineGrouppen" в "Security Filtering" указать только группу "MineGrouppen" для того, чтобы политика "GPO MineGrouppen" применялась только к ней
    • Прикрути политику к тем организационным единицам, где у тебя находятся члены группы "MineGrouppen". Если у тебя дерево, значит у дерева есть корень. значит есть одна общая OU, например с названием организации "OU Company". В этой общей корневой OU у тебя гарантированно находятся члены группы "MineGrouppen" (пользователи и/или компьютеры). Пусть они даже раскиданы по дочерним OU. Тогда нужно привинтить групповую политику "GPO MineGrouppen" только к организационной единице "OU Company"

     
    ЗЫ. Тут "Enforced" не нужен, если я таки правильно понял задачу.

    Всего записей: 836 | Зарегистр. 14-09-2005 | Отправлено: 16:21 14-05-2009 | Исправлено: niichavo, 16:32 14-05-2009
    EnMan



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Добрый день присутствующим. Всем пользователям домена прописан логон-скрипт. Есть острая необходимость сделать так, чтобы он не отрабатывал при входе пользователей на один из компьютеров домена. Реализуемо это?

    Всего записей: 392 | Зарегистр. 30-10-2004 | Отправлено: 23:44 21-05-2009
    niichavo



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    EnMan
    В скрипте сделать проверку "на каком компе я запустился"

    Всего записей: 836 | Зарегистр. 14-09-2005 | Отправлено: 10:33 22-05-2009
    EnMan



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    niichavo
    Угумс. Так и сделал уже. Спасибо. Дело осложнялось тем, что скрипт на js, в котором я дуб-дубом. Методом тыка сделал

    Всего записей: 392 | Зарегистр. 30-10-2004 | Отправлено: 11:56 22-05-2009
    provitek

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Доброго времени суток!

    1. Назначил перенаправление папки "мои документы" на файл. сервак с монопольным доступом. Теперь появилась задача резервного копирования документов, как мне отключить монопольный доступ, и назначить группу безопасности, с правами на чтение? Попытка отключения "монопольного доступа" в GPO, ни к чему не приводит.  Можно конечно залогинеться под каждым юзверем, и добавить необходимую группу, но на 100+ ПК, это уж слишком(((.
    2. Пытаюсь синхронизировать перенаправленную папку, но на 50% ПК, синхронизация не работает,  в политиках в конфигурации компьютера, стоит разрешить использование автономных файлов (конфигурации компьютера>админ шаблоны>сеть>автономные файлы>разрешить или запреть использование автономных файлов). Как выяснилось, проблема только на тех машинах, где предыдущий админ, ручками отключил синхронизацию локально на машине, из каких соображений, для меня загадка. Притом, что если политика включена, данная надстройка не доступна (свойства папки>автономные файлы>использование автономных файлов"), т.е. политика работает, но не включает "использование автономных файлов". Ручками галочку ставишь, и все гуд, в принципе могу и ручками побегать потыкать, но почему не работает, может я что-то упустил?

    Всего записей: 7 | Зарегистр. 13-06-2006 | Отправлено: 09:31 26-05-2009 | Исправлено: provitek, 11:54 26-05-2009
    trolk

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Товарищи, подскажите как сделать следующие при помощи гпо.
     
    Нужно запустить скрипт по расписанию у всех клиентов.

    Всего записей: 14 | Зарегистр. 10-04-2007 | Отправлено: 11:48 27-05-2009
    zavodmebel



    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Юзерам, работающим в терминальном режиме хочу скрыть диски сервера из "Мой компьютер".
    У меня не домен, а просто рабочая группа, можно ли как-то разным группам назначить разные групповые политики?  

    Всего записей: 19 | Зарегистр. 04-06-2009 | Отправлено: 14:07 05-06-2009
    ErlahA

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Добрый вечер коллеги!  
    Такой вопрос : Поднял домен на Win2008 Standart, есть DNS,AD, без DHCP. Не могу найти  в Active Directory - пользователи и компьютеры  , в свойствах - применение групповой политики для отдельно взятого подразделения.  
     

    Всего записей: 53 | Зарегистр. 18-12-2007 | Отправлено: 15:56 05-06-2009 | Исправлено: ErlahA, 16:04 05-06-2009
    klimusu



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Есть 2 OU
    1. Сервера
    2. Пользователи
     
    для п.2 настроены политики перемещаемых профилей, принтеры, редирект папок.
     
    Аккаунты админов находятся в OU и когда подключаются к серверам, то эти политики применяются, как запретить применение политик (Пользователи) в OU Сервера?

    Всего записей: 926 | Зарегистр. 23-01-2006 | Отправлено: 13:20 07-06-2009 | Исправлено: klimusu, 13:21 07-06-2009
    violant



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Подскажите.
    Создали политику по управлению службами. В ней определили службы и права на них. Конкретно на службу RPC поставили запуск Авто + права "Все - Чтение" и больше ничего(System тоже нет). Приблизительно такое же  на BITS. Когда поняли что это в корне не правильно (никого не осталось на управление)- поменяли по умолчанию, но теперь в логе накатывания политики  пишет, что отказано в доступе к службам RPC и BITS (код 5).
    Конфиг.:домен Windows 2003, раб станции Windows XP
    Вопрос:
    Как обратно получить доступ к службам с использованием групповых политик или как-нибудь по другому (реестр?) ?

    Всего записей: 360 | Зарегистр. 08-11-2006 | Отправлено: 18:43 09-06-2009 | Исправлено: violant, 18:44 09-06-2009
    raizo



    Junior Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    klimusu
    2 варианта:
     
    1) создать в OU Пользователи еще один OU, наложить на него запрет применения вышестоящих GPO и поместить в данный каталог нужные учетки
     
    2) создать группу для админов, настроить зепрет для данной группы в безопасности существующего GPO

    Всего записей: 117 | Зарегистр. 09-03-2006 | Отправлено: 20:37 09-06-2009
    klimusu



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    raizo
    но хочется чтобы на обычных машинах у админов тоже был перемещаемый профиль.

    Всего записей: 926 | Зарегистр. 23-01-2006 | Отправлено: 21:15 09-06-2009
    loder71

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Рыть эту тему смысла не вижу, поэтому задаю свой вопрос.
    Некий отдел на сервере создает еженедельно файлик с уникальным названием (что-то типа название+дата(которую тоже могут написать как попало)). Нужно создавать ярлык на рабочих столах начальства на этот файлик. Если бы он имел одно и то же название, понятно, что без проблем. А как быть в этом случае?

    Всего записей: 11 | Зарегистр. 08-12-2005 | Отправлено: 10:57 11-06-2009
    zavodmebel



    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    loder71
    файлик создавать в отдельной папке, а ярлык ставить на папку

    Всего записей: 19 | Зарегистр. 04-06-2009 | Отправлено: 11:03 11-06-2009
    Открыть новую тему     Написать ответ в эту тему

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Групповые политики (Group Policy, GPO): документация, ссылки

    Имя:
    Пароль:
    Сообщение

    Для вставки имени, кликните на нем.

    Опции сообщенияДобавить свою подпись
    Подписаться на получение ответов по e-mail
    Добавить тему в личные закладки
    Разрешить смайлики?
    Запретить коды


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.Board
    © Ru.Board 2000-2020

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru

    Рейтинг.ru