Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Групповые политики (Group Policy, GPO): документация, ссылки

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126

Открыть новую тему     Написать ответ в эту тему

lynx



Advanced lynx
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Групповые политики (Group Policy)


  • Групповые политики Active Directory
  • Структура объекта групповой политик
  • Group Policy Administrative Templates Catalog
  • http://www.gpanswers.com/  
  • Windows Server Group Policy Home

    См. также Общие вопросы по Active Directory (AD)

    FAQ

  • Не работают групповые политики
  • Безопасность
  • Восстановление политик
  • Групповые политики + Internet Explorer (IE)
  • Windows Vista & Windows Server 2008
  • Другие вопросы по групповым политикам

    Документация

  • Англоязычная:
  • Русскоязычная:


    Пост подготовлен: G14

  • Всего записей: 11712 | Зарегистр. 08-05-2001 | Отправлено: 19:33 13-12-2004 | Исправлено: Paromshick, 20:16 03-06-2020
    erve

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Как ни странно - помогло Пасиба
    В других случаях так и делал, тут что-то заклинило

    Всего записей: 91 | Зарегистр. 28-08-2006 | Отправлено: 10:08 17-09-2009
    WildWildUser



    Junior Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

    Цитата:
    Любым доступным способом добавлять ключ в ресстр на клиентские машины  
     
    [?\Software\Microsoft\Windows\Curr entVersion\Explorer\VisualEffects]  
    "VisualFXSetting"=dword:00000002  

     
    добавил через .adm  
    CLASS USER
    CATEGORY "Наилучшее быстродействие"
      POLICY VisualEffects
      KEYNAME Software\Microsoft\Windows\CurrentVersion\Explorer\VisualEffects
        PART VisualFXSetting NUMERIC
        DEFAULT 2
        VALUENAME "VisualFXSetting"
        END PART
      END POLICY
    END CATEGORY
     
    в реестре значение у пользователей встало
    в свойствах компьютера смотрел значение установлено но отображение рабочего стола как было "красивое" так и осталось. при ручной установке данного параметра всяческая раскраска окон исчезает и становиться как у w2k серенькая. а сдесь осталась выпуклая синяя. где косячек?

    Всего записей: 90 | Зарегистр. 22-04-2006 | Отправлено: 10:53 21-09-2009
    iknow



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Контроллер домена на Win 2008  - пытаюсь через Restricted Groups дать некоторым доменным юзерам права локального админа...  создаю группу, выбираю OU в "Эта группа является членом в..."  , делаю обзор, выбираю размещение не домен, а локальный комп (контроллер домена) - нажимаю поиск   -  и НЕ нахожу группу "Администраторы"... такая группа есть только если искать в самом домене, но при добавлении этой группы  у меня пользователи домена могут заходить свободно в \\контроллердомена\c$ ... как быть?

    Всего записей: 673 | Зарегистр. 21-09-2005 | Отправлено: 15:54 25-09-2009
    niichavo



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    iknow

    Цитата:
    "Эта группа является членом в..."  , делаю обзор...

    Не надо обзоров. Просто ручками напиши "Администраторы"

    Всего записей: 836 | Зарегистр. 14-09-2005 | Отправлено: 16:10 25-09-2009
    iknow



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    niichavo
     
    Нихрена... оно умное - говорит нет такой группы...
     
    ПыСы ... хотя нет - погодь ... написалось ... щас буду попробовать  спасибо.
     
    ПыСы ПыСЫ  ...поробовал - всё равно пользователями из этой группы имею доступ к системным дискм к любой машине ... вроде делал gpupdate /force  ...или может нужно перегрузиться полностью и котроллер тоже?

    Всего записей: 673 | Зарегистр. 21-09-2005 | Отправлено: 16:14 25-09-2009 | Исправлено: iknow, 16:28 25-09-2009
    niichavo



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    iknow
    Не совсем понятно что ты делаешь. Если тебе нужно, чтобы пользователи некоторой группы были локальными админами на своих рабочих компах (эта группа добавится в локальную группу Администраторы), нужно:
     
    - Создать GPO для OU в которой находятся юзеры из группы компы, в которых юзеры из группы должны быть админами
    - В этой GPO в Restricted Group жмакаешь добавить группу. Выбираешь группу, в которой у тебя привилегированные юзвери - локальные одмины. Например, YOURDOMAIN\LocalAdmins
    - В "This Group Is Member Of" (Эта группа является членом в...) добавляешь "Администраторы" ручками без обзоров.
     
    Всё. У меня так работает
    ЗЫ. Эта политика не должна применяться к контроллеру домена, раз ты не хочешь чтобы пользователи домена могли заходить свободно в \\контроллердомена\c$

    Всего записей: 836 | Зарегистр. 14-09-2005 | Отправлено: 16:27 25-09-2009 | Исправлено: niichavo, 18:46 25-09-2009
    iknow



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    niichavo
     
     
    У меня вроде так всё и сделано за исключением первого пункта -  конечно я не в default gpo делаю всё а в отдельной но применяется она ко всему домену ...а тут ты говоришь что эту политику нужно связать только с определённым OU в котором будут мои локал админы ... попробую - но что-то сомневаюсь что это лишит их доступа к системным шарам
     
    ПС
     
    - еще раз спрошу - перегружать контроллер нужно и другие машины или достаточно gpupdate /force ?

    Всего записей: 673 | Зарегистр. 21-09-2005 | Отправлено: 16:35 25-09-2009 | Исправлено: iknow, 16:55 25-09-2009
    niichavo



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    iknow

    Цитата:
    У меня вроде так всё и сделано за исключением первого пункта

    Ошибся в первом пункте. Исправил. В OU должны быть компы, в которых ты хочешь сделать локальными админами юзеров из группы YOURDOMAIN\LocalAdmins (название наобум, естессьна).

    Цитата:
    конечно я не в default gpo делаю всё а в отдельной но применяется она ко всему домену ...а тут ты говоришь что эту политику нужно связать только с определённым OU...

    Цитата:
    но что-то сомневаюсь что это лишит их доступа к системным шарам

    Не то, чтобы это нужно. Мне кажется удобным разделить - серверы в одной OU, а рабочие - в другой OU. Тогда и групповая политика, в которой ты будешь раздавать права локального админа будет действовать на определённую OU. Или, если очень не хочется этого делать, используй тонкую настройку применения GPO через Security Filtering и Delegation. Например, в Delegation, запрети применение политики для сервера.
     
     
     
    Добавлено:

    Цитата:
    - еще раз спрошу - перегружать контроллер нужно и другие машины или достаточно gpupdate /force ?

    Скорее всего нужно будет всё перезагрузить. Выполни gpupdate /force и тебе скажут нужно перезагружать или нет.
     
    ЗЫ. "Лишние группы" из Administrators на контроллере домена можно удалить вручную

    Всего записей: 836 | Зарегистр. 14-09-2005 | Отправлено: 19:05 25-09-2009
    konstantin001

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Как обойти gpedit? в gpedit выполнил следующее - Конфигурация пользователя > Административные шаблоны > Система > Выполнять только разрешенные приложения Windows затем ввел winword.exe и вышел, после чего запускается только ОН. Вопрос как исправить положение без переустановки XP ?

    Всего записей: 2 | Зарегистр. 27-09-2009 | Отправлено: 18:32 27-09-2009
    Raperx

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Добрый день уважаемые!
    Помогите пожалуйста разобраться со следующим вопросом.
    Как можно запретить, добавление/удаление в региональных языковых настройках какой либо язык?
    Сервер 2003 R2.
    Заранее благодарен!

    Всего записей: 1 | Зарегистр. 28-09-2009 | Отправлено: 13:35 28-09-2009
    sivka krd

    Junior Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    И всё же, перерыв с утра половину интернетов и натыкаясь на сообщения от 2003 и 2005 годов, не могу понять я -- как из exe-файла сделать инсталлятор msi для помещения его в gpo?

    Всего записей: 94 | Зарегистр. 02-04-2007 | Отправлено: 14:22 28-09-2009
    niichavo



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    sivka krd

    Цитата:
    как из exe-файла сделать инсталлятор msi для помещения его в gpo?  

    А оно точно того стоит? Имхо, проще установить имея exe-шник, чем заниматься конвертацией.
     
    1. Удостоверьтесь, что exe-файл нельзя распаковать (через 7-Zip, к примеру), получив msi.
    2. Если не удалось-таки распаковать. Нужно смотреть какой используется установщик. Узнаёте ключи "тихой" установки для установочного файла. И, узнав, используете скрипт, в котором задаёте "тихую" установку программы. Пример скрипта, файл "7zip_setup.vbs" (в GPO startup script для компьютера):

    Код:
     
    On Error Resume Next
    Set WshShell = CreateObject("WScript.Shell")
    WshShell.Run "\\server\Utils\Archivators\7z\7z457.exe /S /install=SFQR", 0, 1
     

     
    P.S. Через скрипт конечно можно устанавливать и проги, использующие msi-инсталлятор

    Всего записей: 836 | Зарегистр. 14-09-2005 | Отправлено: 16:12 28-09-2009 | Исправлено: niichavo, 16:17 28-09-2009
    maksimichks



    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    Добрый день!
    Есть домен на базе Windows 2003 Server R2 SP2.
    На контроллере домена поднята служба печати, опубликованы принтера через групповые политики (на компьютер и на пользователя).
    При входе пользователя в сеть выполняется команда pushprinterconnections.exe, после чего у пользователя в оснастке панели управления "Принтеры" появляются все принтера опубликованные в домене через групповую политику.  
     
    Проблема заключается в том, что после удаления принтера в домене и соответственно снятия его публикации в групповой политике, на пользовательском ПК этот принтер остается (но при этом возможность печати на данный принтер конечно же отсутствует). Таким образом на ПК пользователей в списке принтеров имеется очень много "мертвых/недоступных" принтеров, что не есть хорошо.
     
    Может кто знает как решить данную проблемку, буду очень признателен.  

     
    а именно нужно удалить в ветке HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Connections принтера.....и ВАМ НАСТУПИТ СЧАСТЬЕ!!!

    Всего записей: 11 | Зарегистр. 28-09-2009 | Отправлено: 17:53 28-09-2009 | Исправлено: maksimichks, 17:55 28-09-2009
    Fannat



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Проблема в следующем, в переговорках необходимо запретить пользователям выключать\перезагружать компьютер. Решил сделать через локальные политики (домен с групповыми тоже есть), пытаюсь в "локальных политиках>назначение прав пользователя>завершение работы системы" удалить пользователей и оставляю только адмнистраторов. После перезапуска консоли этот параметр остается неизменным, чтобы я ни делал, вседа добавляются пользователи и опытные пользователи. Этот параметр не перекрывается групповыми политиками и остальные параметры в локальных политиках меняются. А с этим запара. При чем на одном компе поменял нормально, а на другом и на тестовом не хочет изменяться. Если указывать через групповые, то помимо тех групп, которые указываются в групповых, добавляются и эти две. Может добавление этих групп где-то можно отключить?
    Система WindowsXP SP3.  
     
    Позже поиграл с локальными политиками и обнаружил, что в разделе "назначении прав пользователей" какому-либо параметру группу добавить могу (и соответственно все сохраняется), а вот потом уже удалить группу не получается. Она как бы удаляется (ошибок нет), но при перезапуске консоли\перезагрузке\gpupdate\ настройки остаются на прежнем уровне.

    Всего записей: 268 | Зарегистр. 25-11-2005 | Отправлено: 15:42 02-10-2009 | Исправлено: Fannat, 16:28 05-10-2009
    nebo2140

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    SSV_RA
    Как с помощью политик прописать чтобы у всех пользователей отображались часы в трее?

    я вот тоже задался этим вопросом. для группы тестовых юзеров которые ходят на серв терминально в гпо в св.панели задач и "тебю")) пуск прописанно так чтобы часы были. но не срабатывает.
    пробовал другие возможные комбинации этого параметра: Удалить часы из системной области уведомлений - тщетно
     
    выход пока только один разрешить тест.юзеру свойства панели задач, чтоб он сам смог добавить часы. но этого разрешать низя!  
     
    как быть?

    Всего записей: 1 | Зарегистр. 09-10-2009 | Отправлено: 12:33 09-10-2009 | Исправлено: nebo2140, 12:35 09-10-2009
    Lovec



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Народ!
     
    Проблема с GP.
     
    На целевой машине в журнале ошибок пишет "Windows не удалось получить доступ к файлу GPT.INI для объекта групповой политики CN={C6C7213E-473E-4AE3-8428-85A712DDF91D}..." и соответственно политика не применяется. Посмотрел на контр. домена в папке ...SYSVOL\domain\Policies - там нет такой политики. Там только 2 политики: контроллера домена и самого домена. Полный поиск по диску С файла с таким именем также не дал результата Смотрю OU и ее GP - есть такой номер. И редактировать ее дает... Тогда где же она хранится??
     
    На тестовой OU через mmc создаю политику. Создается. В папке SYSVOL\domain\Policies ничего не добавляется. Опять же вопрос: где она создается??
     
    Помогите, плиз! Пятые сутки голова кругом.......  

    Всего записей: 1028 | Зарегистр. 29-10-2002 | Отправлено: 13:05 19-10-2009 | Исправлено: Lovec, 13:07 19-10-2009
    niichavo



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Lovec

    Цитата:
    На целевой машине в журнале ошибок пишет "Windows не удалось получить доступ к файлу GPT.INI для объекта групповой политики CN={C6C7213E-473E-4AE3-8428-85A712DDF91D}..." и соответственно политика не применяется


    Цитата:
    На тестовой OU через mmc создаю политику. Создается. В папке SYSVOL\domain\Policies ничего не добавляется.

    Сколько контроллеров домена? Ошибки на контроллере? Возможно, не идёт репликация. Какие права установлены на папку SYSVOL? С источниками и номерами событий - в eventid.net. Ещё ссылки: вот, вот

    Всего записей: 836 | Зарегистр. 14-09-2005 | Отправлено: 15:10 19-10-2009 | Исправлено: niichavo, 15:11 19-10-2009
    Lovec



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    niichavo
    Спасибо.
     
    Используя FRSUtil выявил проблему в DNS, судя по описанию которой, могли и политики не работать. Еще сутки читал доки - устранил все траблы. Щас ошибок нет ни на контроллерах (их два), ни на тестовой рабочей станции.
     
    Единственное что мешает радости, не применяется политика из раздела "Конфигурация компьютера". Безо всяких ошибок и намеков, просто не применяется. Запускал на целевой тачке gpupdate: один раз из трех это помогло применению политик. С "конфигурацией пользователя" проблем нет.
    Пользователь и компьютер находятся в одной OU, политика к ней привязана, безопасность настроена.
    Из-за чего так может быть?

    Всего записей: 1028 | Зарегистр. 29-10-2002 | Отправлено: 19:02 20-10-2009
    niichavo



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Lovec

    Цитата:
    не применяется политика из раздела "Конфигурация компьютера". Безо всяких ошибок и намеков, просто не применяется

    Странно, если ошибок при этом нигде никаких нет. Проверь через Group Policy Result. Что отчёт скажет, она применяется или тоже нет? А может всё наладиться само-собой через некоторое время после репликации.

    Всего записей: 836 | Зарегистр. 14-09-2005 | Отправлено: 11:09 21-10-2009
    Lovec



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    niichavo
    Делаю так. В GP отключаю службу Автоматическое обновение (раздел "Конфигурация компьютера"). Перегружаю компьютер. Служба включена. Смотрю gpresult: политики применялись достаточно давно, т.е. после перезагрузки они автоматически почему то не применились.
    Далее. Запускаю gpupdate /force - политика применяется и служба останавливается. Но разве политики (из обоих разделов) не должны применяться при каждой перезагрузке?

    Всего записей: 1028 | Зарегистр. 29-10-2002 | Отправлено: 13:11 23-10-2009
    Открыть новую тему     Написать ответ в эту тему

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Групповые политики (Group Policy, GPO): документация, ссылки


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.B0ard
    © Ru.B0ard 2000-2024

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru