Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Групповые политики (Group Policy, GPO): документация, ссылки

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123

Открыть новую тему     Написать ответ в эту тему

lynx



Advanced lynx
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Групповые политики (Group Policy)


  • Групповые политики Active Directory
  • Структура объекта групповой политик
  • http://www.gpanswers.com/  
  • Windows Server Group Policy Home

    См. также Общие вопросы по Active Directory (AD)

    FAQ

  • Не работают групповые политики
  • Безопасность
  • Восстановление политик
  • Групповые политики + Internet Explorer (IE)
  • Windows Vista & Windows Server 2008
  • Другие вопросы по групповым политикам

    Документация

  • Англоязычная:
  • Русскоязычная:


    Пост подготовлен: G14

  • Всего записей: 11712 | Зарегистр. 08-05-2001 | Отправлено: 19:33 13-12-2004 | Исправлено: Paromshick, 10:25 23-09-2016
    torchock



    Junior Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    vicwanderer
    Попробую, но ни один ie8 не может загрузить этот элемент ActiveX, а ie6, мозилы могут..
    ie7 не проверял..
     
    И еще такой вопрос - почему в ie6 под учеткой админимстратора домена я могу менять настройки хоть и хватает их на 1 сеанс а в ie8 под той же учеткой в win 7 так не выходит, т.е. вообще нельзя никак изменить настройки?
     
    Пробовал запуск от имени Администратора - не помогает..

    Всего записей: 78 | Зарегистр. 23-08-2006 | Отправлено: 12:30 30-11-2009
    uhi

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Создал домен для теста на win 2003 standart R2 SP2.  
    Настроил ГП перенаправление папок в папку home на сервере.
    подключил к нему машинку на win XP SP3.  
    все нормально работало.
     
    далее
    Создал рабочий домен на win 2003 Ent R2 SP2.
    Настроил ГП перенаправление папок в папку home на сервере.
    Отключил машинку от первого домена и подключил ко второму.
    теперь при завершении работы ХР пытается синхронизировать файлы как на новый сервер так и на старый тестовый:
     
    http://i056.radikal.ru/0912/19/c38215a6ef5a.png
     
    gpupdate делал как на сервере так и на ХP, ну и много раз перезагружал....
     
    из реестра на XP(как в домене так и локально) удалил все ветки содержащие
    //uho-1becc45964f/home
    но при входе в новый домен эти ветки снова появляются...
    Вопрос как сделать так чтоб синхронизация производилась только с новым сервером.

    Всего записей: 37 | Зарегистр. 27-02-2008 | Отправлено: 13:40 01-12-2009 | Исправлено: uhi, 13:45 01-12-2009
    slay1212

    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Есть компьютер xp sp2 и w2k3 x64. Домена нет. Создал свой шаблон локальной политики безопасности.
     secedit /export /cfg <Мой файл>.txt
      Задача такая в логон скрипте применить  пользователю этот шаблон
     
     secedit /configure /cfg <Мой файл>.txt /db secsetup.sdb /verbose
      Эта политика будет сразу работать или после перезагрузки?
      Еще имеет ли значение контекст юзера - скрипт запускается от имени не текущего юзера из группылокадминов?

    Всего записей: 333 | Зарегистр. 28-05-2008 | Отправлено: 15:14 01-12-2009 | Исправлено: slay1212, 15:15 01-12-2009
    salavatwest

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Если возможность ввести удаленно около 30-40 компов в домен?
    Скриптом или ещё чем ? есть у кого идеи и мысли?
     

    Всего записей: 9 | Зарегистр. 05-02-2006 | Отправлено: 19:39 02-12-2009
    niichavo



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    salavatwest
    скрипты то есть. вот, например
    через psexec @complist.txt ... запускай на компах

    Всего записей: 836 | Зарегистр. 14-09-2005 | Отправлено: 23:29 02-12-2009 | Исправлено: niichavo, 23:32 02-12-2009
    monsoon



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Задача есть компы, к примеру, с с01 по с25 и пользователи u01 - u25
    каждый пользователь имеет право входа только на свой компьютер, т.е. u01 на c01 и т.д., что задается в свойствах каждой учетной записи в "Вход на".
    Еще есть пользователь с правами админа, назовем ac25, которому в учетной был прописан вход на все компьютеры c01-c25. Но число компов, которыми он управляет превысило 64 и тут сюрприз - больше 64 ввести нельзя. Прочитал, что можно через GPO.
    В корне домена в Active Directory создаю подразделение Department.
    В нем создаю две группы:
    компьютеров GR_C, в которую добавляю нужные компьютеры из контейнера Computers  
    и админов GR_AC, в которую пока добавляю одного пользователя ac25 из контейнера Users.
    В свойствах для подразделения Department создаю групповую политику, например, GPO_ac.
     
    Конфигурация компьютера - Конфигурация Windows - Параметры безопасности - Локальные политики -
    Назначение прав пользователя и открываем "Локальный вход в систему".
    Выбираю "Определить указанные ниже политики" и добавляю группу Администраторов домена, Администраторов и созданные GR_C и GR_AC. Или нужно только GR_AC?
     
    А где задавать право чтения для примера, ссылка на который была в шапке какой-то из тем по AD или GPO.
    Цитата:
    право чтения политики даешь для HR_computers (удалив Authenticated Users)

    Также из версии для печати этой темы:
    Цитата:
    Теперь для того, чтобы "GPO MineGrouppen" применялось только к группе
    "MineGrouppen", нужно в Group Policy Management в политике "GPO MineGrouppen"
    - Security Filtering указать только группу MineGrouppen.

    Это где задается для rus сервера?
    В свойствах для подразделения Department - Групповая политика - Свойства GPO_ac -
    Вкладка "Безопасность"?
     
    Для админа ac25 после этого можно полностью очищать "Вход на" в учетной записи?
    Право входа только на свой компьютер, т.е. u01 на c01 и т.д. сохраняется?
     

    Всего записей: 1246 | Зарегистр. 30-01-2003 | Отправлено: 14:30 04-12-2009 | Исправлено: monsoon, 14:51 04-12-2009
    niichavo



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    monsoon

    Цитата:
    Или нужно только GR_AC?

    GR_C не нужно. Оставь только GR_AC.

    Цитата:
    А где задавать право чтения


    Цитата:
    В свойствах для подразделения Department - Групповая политика - Свойства GPO_ac -
    Вкладка "Безопасность"?

    Нет. Установи Group Policy Management Console там ты и найдёшь Security Filtering.

    Цитата:
    Для админа ac25 после этого можно полностью очищать "Вход на" в учетной записи?

    Да

    Цитата:
    Право входа только на свой компьютер, т.е. u01 на c01 и т.д. сохраняется?

    Сохранится, если не будешь убирать "Вход на" в учетной записи у пользователей u01 - u25.

    Всего записей: 836 | Зарегистр. 14-09-2005 | Отправлено: 15:06 06-12-2009
    bio2008



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    У меня Win XP и не могу войти под логином Admin пишет эту ошибку "интерактивный вход в систему на данном компе запрещен локальной политикой" как это произошло не знаю сам ни чего не менял. Вошел под другим логином не администратором пробовал запустить как тут http://support.microsoft.com/kb/313222/ru написано но утилита не запускается из за прав доступа и secedit /configure /cfg %windir%\repair\secsetup.inf /db secsetup.sdb /verbose тоже не запускается. Пробовал эту строку вставить в текстовый файл и запустить загрузившись с диска из консоли восстановления но это ни чего не дало. Это secpol.msc тоже из за допуска не запускается. Подскажите что можно сделать?

    Всего записей: 349 | Зарегистр. 08-11-2008 | Отправлено: 16:35 08-12-2009 | Исправлено: bio2008, 17:07 08-12-2009
    niichavo



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    bio2008

    Цитата:
    У меня Win XP и не могу войти под логином Admin пишет эту ошибку как это произошло не знаю сам ни чего не менял...

    Элементарно. Выполни эту инструкцию тогда поможет.
     
    ЗЫ. Надеюсь, что моё сообщение было полезным и информативным.

    Всего записей: 836 | Зарегистр. 14-09-2005 | Отправлено: 16:55 08-12-2009
    bio2008



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    niichavo какую эту?

    Всего записей: 349 | Зарегистр. 08-11-2008 | Отправлено: 16:57 08-12-2009 | Исправлено: bio2008, 16:58 08-12-2009
    niichavo



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    bio2008

    Цитата:
    niichavo какую эту?

    Какой вопрос такой и ответ. Ты своё сообщение читал? Прочти. Какой-то поток сознания. Что у тебя в самом начале написано "...пишет эту ошибку как это произошло не знаю сам ни чего не менял"? Какую эту ошибку? Хочешь быть понятым - приложи усилия.

    Всего записей: 836 | Зарегистр. 14-09-2005 | Отправлено: 17:05 08-12-2009 | Исправлено: niichavo, 17:08 08-12-2009
    bio2008



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    niichavo извиняюсь исправил.
    Как теперь для админа включить возможность интерактивного входа?

    Всего записей: 349 | Зарегистр. 08-11-2008 | Отправлено: 17:09 08-12-2009 | Исправлено: bio2008, 18:58 08-12-2009
    niichavo



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    bio2008
    - это рабочий комп? в домене? если "да" - то вопросы к вашему админу.
    - если нет и ты ничего не трогал, то возможно это вирус, проверь на вирусы.
    - сколько учёток с правами администратора?
    - в локальной политике безопасности, в "отклонить локальный вход" и "локальный вход в систему" что у тебя?

    Всего записей: 836 | Зарегистр. 14-09-2005 | Отправлено: 21:29 08-12-2009 | Исправлено: niichavo, 21:35 08-12-2009
    bio2008



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Посмотреть я не могу так как вошел под обычной учетной записью и не открывается эта локальная политика. Одна утечка с правами администратора. Прочитал что для win2000 можно сделать вот так
    Код:
    copy c:\winnt\repair\security c:\winnt\system32\config\security
    если я изменю на  
    Код:
    copy c:\windows\repair\security c:\windows\system32\config\security  
    это может помочь или хуже только будет?  
    Если не поможет то я загружусь с ERD Commander и попробую восстановить предыдущию точку восстановления. Это ведь поможет?

    Всего записей: 349 | Зарегистр. 08-11-2008 | Отправлено: 01:41 09-12-2009 | Исправлено: bio2008, 01:42 09-12-2009
    monsoon



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    niichavo  

    Цитата:
    Установи Group Policy Management Console там ты и найдёшь Security Filtering
    Установил, попутно был запрос на MSXML, тоже установил. Filtering нашел. Но сколько я не тыкался так доступа для админа ac25 на тестируемый комп из GR_C  не получил. Прежде чем описывать заново (т.к. для подразделения Department  в свойствах уже нет групповых политик все перекочевало в gpmc) м.б. можно сократить количество групп для моей задачи? Т.е. для подразделения Department содать одну группу, в которую включить  пользователя ac25 и компьютеры с01 по с25?
    Также пока не вычищал у пользователя ac25 в свойствах учетной записи "Вход на", т.к. как-то стремно удалять не убедившись, что все работает через ГП.

    Всего записей: 1246 | Зарегистр. 30-01-2003 | Отправлено: 11:36 09-12-2009
    niichavo



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    monsoon

    Цитата:
    Но сколько я не тыкался так доступа для админа ac25 на тестируемый комп из GR_C  не получил


    Цитата:
    Также пока не вычищал у пользователя ac25 в свойствах учетной записи "Вход на", т.к. как-то стремно удалять не убедившись, что все работает через ГП.

    Я так и не понял, получается у тебя админом заходить или нет. И вообще что работает а что нет.
     
    После применения политики
    - пользователи из u01 - u25 могут заходить только на свои компы?
    - член группы GR_AC может заходить на любой из компов u01 - u25?
     
    Для проверки работы политики, сделай через эту же оснастку результирующую политику для обычного пользователя, у которого имеются ограничения на вход и для админа. И смотри что мешает.
     
    зы. зачем тебе компьютеры в списке групп локального входа? ты же не сетевой вход, с какого-нить компьютера. какую роль они здесь играют? лучше убрать.
     
    Добавлено:

    Цитата:
    м.б. можно сократить количество групп для моей задачи?

    Как я понимаю. Нужно:
    - если нужно чтобы политика применялась только для некоторых компов, то создаём группу компов GR_C
    - группа пользователей (админов) GR_AC, которые могут входить на любой комп из заданного списка компьютеров GR_C
     
    вроде всё.

    Всего записей: 836 | Зарегистр. 14-09-2005 | Отправлено: 13:12 09-12-2009 | Исправлено: niichavo, 13:16 09-12-2009
    monsoon



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    niichavo, спасибо за помощь.

    Цитата:
    - пользователи из u01 - u25 могут заходить только на свои компы?
     
    могут т.к. не убирал "Вход на" в учетной записи у пользователей u01 - u25 на соответсвующий компьютер.

    Цитата:
    - член группы GR_AC может заходить на любой из компов u01 - u25?  

    ac25 (член группы GR_AC) входит на любой из этих компов, т.к. тоже его учетную запись я не трогал. Но в группу GR_C я добавил свой комп, назовем MyComp, чтобы для проверки не бегать к другим компам  И пользователем ac25 я не могу войти в домен со своего компьютера.
     

    Цитата:
    Для проверки работы политики, сделай через эту же оснастку результирующую политику для обычного пользователя, у которого имеются ограничения на вход и для админа. И смотри что мешает.  
    Сори за ламерский вопрос. Что значит результирующая политика и как посмотреть, что мешает?
     

    Цитата:
    зачем тебе компьютеры в списке групп локального входа? ты же не сетевой вход, с какого-нить компьютера. какую роль они здесь играют? лучше убрать.

    бр... кажется начинаю запутываться. А как тогда указать, что ac25 имеет право входить в домен с моего компьютера, если его нигде не указывать? И похоже мне нужно было использовать "Доступ к компьютеру из сети"?

    Всего записей: 1246 | Зарегистр. 30-01-2003 | Отправлено: 13:44 09-12-2009
    niichavo



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    ac25 (член группы GR_AC) входит на любой из этих компов, т.к. тоже его учетную запись я не трогал

    Ну так попробуй убрать "разрешения на вход" с учётки. Повторяю, что группа компов нужна только в том случае, если ты собираешься ограничивать применение этой групповой политики группой компов. Ну а если эти компы из группы находятся в OU, где есть и другие компы, к которым не нужно такую политику применять, то тут уже нужно задействовать Security Filtering

    Цитата:
    Что значит результирующая политика

    Group Policy Results. То что в итоге, с учётом всех политик применяется на компе и/или пользователе.

    Цитата:
    А как тогда указать, что ac25 имеет право входить в домен с моего компьютера

    Что такое в домен? Как это со своего компьютера? Ты входишь используя доменную аутентификацию на компьютер, не важно какой. Ты не со своего же компьютера подключаешься к другому компьютеру. Ты входишь на комп, который в домене, используя свою доменную пользовательскую учётку. Или что?
     
    Вообще, мне не всё до конца понятно. С пользователями, которые должны заходить на свои компы вроде всё понятно. А вот с тем, кто может заходить на любой комп тех самых пользователей, не очень. Этот "админ" не должен иметь возможность заходить на другие компы, которые не в группе GR_C? Если не должен, то можно просто создать другую политику, которая применяется к остальным компам, где прописать кому "отклонить локальный вход". Если этот пользователь должен заходить на любой комп, даже тот который не в группе GR_C. То тут вообще ничего делать не нужно.

    Всего записей: 836 | Зарегистр. 14-09-2005 | Отправлено: 14:04 09-12-2009 | Исправлено: niichavo, 14:07 09-12-2009
    monsoon



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    niichavo

    Цитата:
    Ты входишь используя доменную аутентификацию на компьютер, не важно какой.  
    ... Ты входишь на комп, который в домене, используя свою доменную пользовательскую учётку.
    да ты прав, именно так.
     

    Цитата:
    Этот "админ" не должен иметь возможность заходить на другие компы, которые не в группе GR_C
    тоже все верно.
     

    Цитата:
    Если не должен, то можно просто создать другую политику, которая применяется к остальным компам, где прописать кому "отклонить локальный вход".
    Нет, лучше через "Локальный вход в систему", т.к. компов, куда он входить не должен гораздо... больше.
     

    Цитата:
    Ну так попробуй убрать "разрешения на вход" с учётки.
    для выбора дается только "на все компьютеры" и "только указанные компьютеры", т.е. выбрать первый?
    Одновременно ограничения в учетной и ГП не могут работать?
     
    Не заметил сразу, что ты дописал:
    Цитата:
    - если нужно чтобы политика применялась только для некоторых компов, то создаём группу компов GR_C  
    - группа пользователей (админов) GR_AC, которые могут входить на любой комп из заданного списка компьютеров GR_C
    Вроде ж так и сделал, кроме очистки входа в учетной ac25.

    Всего записей: 1246 | Зарегистр. 30-01-2003 | Отправлено: 14:33 09-12-2009
    niichavo



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    monsoon

    Цитата:
    для выбора дается только "на все компьютеры" и "только указанные компьютеры", т.е. выбрать первый? Одновременно ограничения в учетной и ГП не могут работать?

    Выбери на "на все компьютеры". Какие одновременные ограничения?
     
    Итак, чтобы ac25 мог заходить на компы GR_C нужно, чтобы ничего не мешало ему ни в "локальный вход в систему" ни в "отклонить локальный вход". Чтобы этот пользователь/группа не могла заходить на другие компы, для этих компов нужно либо убрать (через другую групповую политику, например) этого пользователя из "локальный вход в систему" или прописать в "отклонить локальный вход". Всё. В итого пользователь сможет заходить только на компы из GR_C.
     
    Т.е. достаточно создать только одну политику, в которой этому пользователю не разрешат вход.

    Всего записей: 836 | Зарегистр. 14-09-2005 | Отправлено: 15:11 09-12-2009
    Открыть новую тему     Написать ответ в эту тему

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Групповые политики (Group Policy, GPO): документация, ссылки

    Имя:
    Пароль:
    Сообщение

    Для вставки имени, кликните на нем.

    Опции сообщенияДобавить свою подпись
    Подписаться на получение ответов по e-mail
    Добавить тему в личные закладки
    Разрешить смайлики?
    Запретить коды


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.Board
    © Ru.Board 2000-2018

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru