Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Групповые политики (Group Policy, GPO): документация, ссылки

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123

Открыть новую тему     Написать ответ в эту тему

lynx



Advanced lynx
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Групповые политики (Group Policy)


  • Групповые политики Active Directory
  • Структура объекта групповой политик
  • http://www.gpanswers.com/  
  • Windows Server Group Policy Home

    См. также Общие вопросы по Active Directory (AD)

    FAQ

  • Не работают групповые политики
  • Безопасность
  • Восстановление политик
  • Групповые политики + Internet Explorer (IE)
  • Windows Vista & Windows Server 2008
  • Другие вопросы по групповым политикам

    Документация

  • Англоязычная:
  • Русскоязычная:


    Пост подготовлен: G14

  • Всего записей: 11712 | Зарегистр. 08-05-2001 | Отправлено: 19:33 13-12-2004 | Исправлено: Paromshick, 10:25 23-09-2016
    erve

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Как ни странно - помогло Пасиба
    В других случаях так и делал, тут что-то заклинило

    Всего записей: 81 | Зарегистр. 28-08-2006 | Отправлено: 10:08 17-09-2009
    WildWildUser



    Junior Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

    Цитата:
    Любым доступным способом добавлять ключ в ресстр на клиентские машины  
     
    [?\Software\Microsoft\Windows\Curr entVersion\Explorer\VisualEffects]  
    "VisualFXSetting"=dword:00000002  

     
    добавил через .adm  
    CLASS USER
    CATEGORY "Наилучшее быстродействие"
      POLICY VisualEffects
      KEYNAME Software\Microsoft\Windows\CurrentVersion\Explorer\VisualEffects
        PART VisualFXSetting NUMERIC
        DEFAULT 2
        VALUENAME "VisualFXSetting"
        END PART
      END POLICY
    END CATEGORY
     
    в реестре значение у пользователей встало
    в свойствах компьютера смотрел значение установлено но отображение рабочего стола как было "красивое" так и осталось. при ручной установке данного параметра всяческая раскраска окон исчезает и становиться как у w2k серенькая. а сдесь осталась выпуклая синяя. где косячек?

    Всего записей: 81 | Зарегистр. 22-04-2006 | Отправлено: 10:53 21-09-2009
    iknow



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Контроллер домена на Win 2008  - пытаюсь через Restricted Groups дать некоторым доменным юзерам права локального админа...  создаю группу, выбираю OU в "Эта группа является членом в..."  , делаю обзор, выбираю размещение не домен, а локальный комп (контроллер домена) - нажимаю поиск   -  и НЕ нахожу группу "Администраторы"... такая группа есть только если искать в самом домене, но при добавлении этой группы  у меня пользователи домена могут заходить свободно в \\контроллердомена\c$ ... как быть?

    Всего записей: 672 | Зарегистр. 21-09-2005 | Отправлено: 15:54 25-09-2009
    niichavo



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    iknow

    Цитата:
    "Эта группа является членом в..."  , делаю обзор...

    Не надо обзоров. Просто ручками напиши "Администраторы"

    Всего записей: 836 | Зарегистр. 14-09-2005 | Отправлено: 16:10 25-09-2009
    iknow



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    niichavo
     
    Нихрена... оно умное - говорит нет такой группы...
     
    ПыСы ... хотя нет - погодь ... написалось ... щас буду попробовать  спасибо.
     
    ПыСы ПыСЫ  ...поробовал - всё равно пользователями из этой группы имею доступ к системным дискм к любой машине ... вроде делал gpupdate /force  ...или может нужно перегрузиться полностью и котроллер тоже?

    Всего записей: 672 | Зарегистр. 21-09-2005 | Отправлено: 16:14 25-09-2009 | Исправлено: iknow, 16:28 25-09-2009
    niichavo



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    iknow
    Не совсем понятно что ты делаешь. Если тебе нужно, чтобы пользователи некоторой группы были локальными админами на своих рабочих компах (эта группа добавится в локальную группу Администраторы), нужно:
     
    - Создать GPO для OU в которой находятся юзеры из группы компы, в которых юзеры из группы должны быть админами
    - В этой GPO в Restricted Group жмакаешь добавить группу. Выбираешь группу, в которой у тебя привилегированные юзвери - локальные одмины. Например, YOURDOMAIN\LocalAdmins
    - В "This Group Is Member Of" (Эта группа является членом в...) добавляешь "Администраторы" ручками без обзоров.
     
    Всё. У меня так работает
    ЗЫ. Эта политика не должна применяться к контроллеру домена, раз ты не хочешь чтобы пользователи домена могли заходить свободно в \\контроллердомена\c$

    Всего записей: 836 | Зарегистр. 14-09-2005 | Отправлено: 16:27 25-09-2009 | Исправлено: niichavo, 18:46 25-09-2009
    iknow



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    niichavo
     
     
    У меня вроде так всё и сделано за исключением первого пункта -  конечно я не в default gpo делаю всё а в отдельной но применяется она ко всему домену ...а тут ты говоришь что эту политику нужно связать только с определённым OU в котором будут мои локал админы ... попробую - но что-то сомневаюсь что это лишит их доступа к системным шарам
     
    ПС
     
    - еще раз спрошу - перегружать контроллер нужно и другие машины или достаточно gpupdate /force ?

    Всего записей: 672 | Зарегистр. 21-09-2005 | Отправлено: 16:35 25-09-2009 | Исправлено: iknow, 16:55 25-09-2009
    niichavo



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    iknow

    Цитата:
    У меня вроде так всё и сделано за исключением первого пункта

    Ошибся в первом пункте. Исправил. В OU должны быть компы, в которых ты хочешь сделать локальными админами юзеров из группы YOURDOMAIN\LocalAdmins (название наобум, естессьна).

    Цитата:
    конечно я не в default gpo делаю всё а в отдельной но применяется она ко всему домену ...а тут ты говоришь что эту политику нужно связать только с определённым OU...

    Цитата:
    но что-то сомневаюсь что это лишит их доступа к системным шарам

    Не то, чтобы это нужно. Мне кажется удобным разделить - серверы в одной OU, а рабочие - в другой OU. Тогда и групповая политика, в которой ты будешь раздавать права локального админа будет действовать на определённую OU. Или, если очень не хочется этого делать, используй тонкую настройку применения GPO через Security Filtering и Delegation. Например, в Delegation, запрети применение политики для сервера.
     
     
     
    Добавлено:

    Цитата:
    - еще раз спрошу - перегружать контроллер нужно и другие машины или достаточно gpupdate /force ?

    Скорее всего нужно будет всё перезагрузить. Выполни gpupdate /force и тебе скажут нужно перезагружать или нет.
     
    ЗЫ. "Лишние группы" из Administrators на контроллере домена можно удалить вручную

    Всего записей: 836 | Зарегистр. 14-09-2005 | Отправлено: 19:05 25-09-2009
    konstantin001

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Как обойти gpedit? в gpedit выполнил следующее - Конфигурация пользователя > Административные шаблоны > Система > Выполнять только разрешенные приложения Windows затем ввел winword.exe и вышел, после чего запускается только ОН. Вопрос как исправить положение без переустановки XP ?

    Всего записей: 2 | Зарегистр. 27-09-2009 | Отправлено: 18:32 27-09-2009
    Raperx

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Добрый день уважаемые!
    Помогите пожалуйста разобраться со следующим вопросом.
    Как можно запретить, добавление/удаление в региональных языковых настройках какой либо язык?
    Сервер 2003 R2.
    Заранее благодарен!

    Всего записей: 1 | Зарегистр. 28-09-2009 | Отправлено: 13:35 28-09-2009
    sivka krd

    Junior Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    И всё же, перерыв с утра половину интернетов и натыкаясь на сообщения от 2003 и 2005 годов, не могу понять я -- как из exe-файла сделать инсталлятор msi для помещения его в gpo?

    Всего записей: 94 | Зарегистр. 02-04-2007 | Отправлено: 14:22 28-09-2009
    niichavo



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    sivka krd

    Цитата:
    как из exe-файла сделать инсталлятор msi для помещения его в gpo?  

    А оно точно того стоит? Имхо, проще установить имея exe-шник, чем заниматься конвертацией.
     
    1. Удостоверьтесь, что exe-файл нельзя распаковать (через 7-Zip, к примеру), получив msi.
    2. Если не удалось-таки распаковать. Нужно смотреть какой используется установщик. Узнаёте ключи "тихой" установки для установочного файла. И, узнав, используете скрипт, в котором задаёте "тихую" установку программы. Пример скрипта, файл "7zip_setup.vbs" (в GPO startup script для компьютера):

    Код:
     
    On Error Resume Next
    Set WshShell = CreateObject("WScript.Shell")
    WshShell.Run "\\server\Utils\Archivators\7z\7z457.exe /S /install=SFQR", 0, 1
     

     
    P.S. Через скрипт конечно можно устанавливать и проги, использующие msi-инсталлятор

    Всего записей: 836 | Зарегистр. 14-09-2005 | Отправлено: 16:12 28-09-2009 | Исправлено: niichavo, 16:17 28-09-2009
    maksimichks



    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    Добрый день!
    Есть домен на базе Windows 2003 Server R2 SP2.
    На контроллере домена поднята служба печати, опубликованы принтера через групповые политики (на компьютер и на пользователя).
    При входе пользователя в сеть выполняется команда pushprinterconnections.exe, после чего у пользователя в оснастке панели управления "Принтеры" появляются все принтера опубликованные в домене через групповую политику.  
     
    Проблема заключается в том, что после удаления принтера в домене и соответственно снятия его публикации в групповой политике, на пользовательском ПК этот принтер остается (но при этом возможность печати на данный принтер конечно же отсутствует). Таким образом на ПК пользователей в списке принтеров имеется очень много "мертвых/недоступных" принтеров, что не есть хорошо.
     
    Может кто знает как решить данную проблемку, буду очень признателен.  

     
    а именно нужно удалить в ветке HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Connections принтера.....и ВАМ НАСТУПИТ СЧАСТЬЕ!!!

    Всего записей: 11 | Зарегистр. 28-09-2009 | Отправлено: 17:53 28-09-2009 | Исправлено: maksimichks, 17:55 28-09-2009
    Fannat



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Проблема в следующем, в переговорках необходимо запретить пользователям выключать\перезагружать компьютер. Решил сделать через локальные политики (домен с групповыми тоже есть), пытаюсь в "локальных политиках>назначение прав пользователя>завершение работы системы" удалить пользователей и оставляю только адмнистраторов. После перезапуска консоли этот параметр остается неизменным, чтобы я ни делал, вседа добавляются пользователи и опытные пользователи. Этот параметр не перекрывается групповыми политиками и остальные параметры в локальных политиках меняются. А с этим запара. При чем на одном компе поменял нормально, а на другом и на тестовом не хочет изменяться. Если указывать через групповые, то помимо тех групп, которые указываются в групповых, добавляются и эти две. Может добавление этих групп где-то можно отключить?
    Система WindowsXP SP3.  
     
    Позже поиграл с локальными политиками и обнаружил, что в разделе "назначении прав пользователей" какому-либо параметру группу добавить могу (и соответственно все сохраняется), а вот потом уже удалить группу не получается. Она как бы удаляется (ошибок нет), но при перезапуске консоли\перезагрузке\gpupdate\ настройки остаются на прежнем уровне.

    Всего записей: 260 | Зарегистр. 25-11-2005 | Отправлено: 15:42 02-10-2009 | Исправлено: Fannat, 16:28 05-10-2009
    nebo2140

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    SSV_RA
    Как с помощью политик прописать чтобы у всех пользователей отображались часы в трее?

    я вот тоже задался этим вопросом. для группы тестовых юзеров которые ходят на серв терминально в гпо в св.панели задач и "тебю")) пуск прописанно так чтобы часы были. но не срабатывает.
    пробовал другие возможные комбинации этого параметра: Удалить часы из системной области уведомлений - тщетно
     
    выход пока только один разрешить тест.юзеру свойства панели задач, чтоб он сам смог добавить часы. но этого разрешать низя!  
     
    как быть?

    Всего записей: 1 | Зарегистр. 09-10-2009 | Отправлено: 12:33 09-10-2009 | Исправлено: nebo2140, 12:35 09-10-2009
    Lovec



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Народ!
     
    Проблема с GP.
     
    На целевой машине в журнале ошибок пишет "Windows не удалось получить доступ к файлу GPT.INI для объекта групповой политики CN={C6C7213E-473E-4AE3-8428-85A712DDF91D}..." и соответственно политика не применяется. Посмотрел на контр. домена в папке ...SYSVOL\domain\Policies - там нет такой политики. Там только 2 политики: контроллера домена и самого домена. Полный поиск по диску С файла с таким именем также не дал результата Смотрю OU и ее GP - есть такой номер. И редактировать ее дает... Тогда где же она хранится??
     
    На тестовой OU через mmc создаю политику. Создается. В папке SYSVOL\domain\Policies ничего не добавляется. Опять же вопрос: где она создается??
     
    Помогите, плиз! Пятые сутки голова кругом.......  

    Всего записей: 1011 | Зарегистр. 29-10-2002 | Отправлено: 13:05 19-10-2009 | Исправлено: Lovec, 13:07 19-10-2009
    niichavo



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Lovec

    Цитата:
    На целевой машине в журнале ошибок пишет "Windows не удалось получить доступ к файлу GPT.INI для объекта групповой политики CN={C6C7213E-473E-4AE3-8428-85A712DDF91D}..." и соответственно политика не применяется


    Цитата:
    На тестовой OU через mmc создаю политику. Создается. В папке SYSVOL\domain\Policies ничего не добавляется.

    Сколько контроллеров домена? Ошибки на контроллере? Возможно, не идёт репликация. Какие права установлены на папку SYSVOL? С источниками и номерами событий - в eventid.net. Ещё ссылки: вот, вот

    Всего записей: 836 | Зарегистр. 14-09-2005 | Отправлено: 15:10 19-10-2009 | Исправлено: niichavo, 15:11 19-10-2009
    Lovec



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    niichavo
    Спасибо.
     
    Используя FRSUtil выявил проблему в DNS, судя по описанию которой, могли и политики не работать. Еще сутки читал доки - устранил все траблы. Щас ошибок нет ни на контроллерах (их два), ни на тестовой рабочей станции.
     
    Единственное что мешает радости, не применяется политика из раздела "Конфигурация компьютера". Безо всяких ошибок и намеков, просто не применяется. Запускал на целевой тачке gpupdate: один раз из трех это помогло применению политик. С "конфигурацией пользователя" проблем нет.
    Пользователь и компьютер находятся в одной OU, политика к ней привязана, безопасность настроена.
    Из-за чего так может быть?

    Всего записей: 1011 | Зарегистр. 29-10-2002 | Отправлено: 19:02 20-10-2009
    niichavo



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Lovec

    Цитата:
    не применяется политика из раздела "Конфигурация компьютера". Безо всяких ошибок и намеков, просто не применяется

    Странно, если ошибок при этом нигде никаких нет. Проверь через Group Policy Result. Что отчёт скажет, она применяется или тоже нет? А может всё наладиться само-собой через некоторое время после репликации.

    Всего записей: 836 | Зарегистр. 14-09-2005 | Отправлено: 11:09 21-10-2009
    Lovec



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    niichavo
    Делаю так. В GP отключаю службу Автоматическое обновение (раздел "Конфигурация компьютера"). Перегружаю компьютер. Служба включена. Смотрю gpresult: политики применялись достаточно давно, т.е. после перезагрузки они автоматически почему то не применились.
    Далее. Запускаю gpupdate /force - политика применяется и служба останавливается. Но разве политики (из обоих разделов) не должны применяться при каждой перезагрузке?

    Всего записей: 1011 | Зарегистр. 29-10-2002 | Отправлено: 13:11 23-10-2009
    Открыть новую тему     Написать ответ в эту тему

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Групповые политики (Group Policy, GPO): документация, ссылки

    Имя:
    Пароль:
    Сообщение

    Для вставки имени, кликните на нем.

    Опции сообщенияДобавить свою подпись
    Подписаться на получение ответов по e-mail
    Добавить тему в личные закладки
    Разрешить смайлики?
    Запретить коды


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.Board
    © Ru.Board 2000-2018

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru