Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Групповые политики (Group Policy, GPO): документация, ссылки

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126

Открыть новую тему     Написать ответ в эту тему

lynx



Advanced lynx
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Групповые политики (Group Policy)


  • Групповые политики Active Directory
  • Структура объекта групповой политик
  • Group Policy Administrative Templates Catalog
  • http://www.gpanswers.com/  
  • Windows Server Group Policy Home

    См. также Общие вопросы по Active Directory (AD)

    FAQ

  • Не работают групповые политики
  • Безопасность
  • Восстановление политик
  • Групповые политики + Internet Explorer (IE)
  • Windows Vista & Windows Server 2008
  • Другие вопросы по групповым политикам

    Документация

  • Англоязычная:
  • Русскоязычная:


    Пост подготовлен: G14

  • Всего записей: 11712 | Зарегистр. 08-05-2001 | Отправлено: 19:33 13-12-2004 | Исправлено: Paromshick, 20:16 03-06-2020
    Sinq

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Друзья, подскажите как через ГП залить фон рабочего стола одним цветом? Как поставить рисунок понятно, а как сделать рабочий стол цвета хаки не могу найти..

    Всего записей: 21 | Зарегистр. 26-01-2006 | Отправлено: 17:30 20-01-2011
    BVV63



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Sinq
    Учиться, учиться и ещё раз учиться! (C) В. Ульянов (Ленин)
    Используя имеющиеся в Винде шаблоны групповой политики (стандартное их местоположение "%SystemRoot%\Inf") цвет рабочего стола не поменять. Но кто запретил создать свой собственный шаблон? Создайте текстовый файл с расширением adm и следующим содержимым:

    Код:
    Class User
     
    Category !!"ExtendedSettings"
    KeyName "Control Panel\Colors"
        Policy !!"ColorOfDesktop"
            Part !!"ColorOfDesktop" EditText Required
            ValueName "Background"
            End Part
        End Policy
    End Category
     
    [strings]
    ColorOfDesktop="Цвет рабочего стола"
    ExtendedSettings="Дополнительные настройки"

    Теперь в GP вызвать контекстное меню на административных шаблонах, "Add/Remove Templates...", выбрать созданный шаблон. В шаблонах пользователя добавится пункт "Дополнительные настройки" (для вышеприведённого примера), содержащий параметр "Цвет рабочего стола". Параметр активируйте, затем в поле нужно указать через пробел 3 величины (RGB), от 0 до 255. Я не знаю, извините уж, какие это величины (Red, Green, Blue) для цвета хаки. Установите их, после перелогинивания пользователя цвет рабочего стола изменится на указанный.
     
    Добавлено:
    Да, нужно ещё будет в контекстном меню административных шаблонов отключить фильтрацию, чтобы параметр "Цвет рабочего стола" стал виден.

    Всего записей: 3542 | Зарегистр. 17-08-2009 | Отправлено: 07:15 21-01-2011 | Исправлено: BVV63, 07:46 21-01-2011
    Alukardd



    Gold Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Народ у меня есть экспорт групповых настроек сделанных в win2k3. Теперь у меня стоит win2k8 реально ли восстановить их в новую винду? При выборе управления архивами и выборе соответствующей папки ни чего мне не показывает(((
    Не хватало мне еще к проблемам с учетками и созданием заново ГП заниматься... SIDы конечно у объектов у всех изменились, но линкануть их заново не проблема, а вот опять лазить и менять все настройки...

    ----------
    Microsoft gives you windows, linuх gives you the whole house...
    I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it.

    Всего записей: 6562 | Зарегистр. 28-08-2008 | Отправлено: 14:12 22-01-2011 | Исправлено: Alukardd, 14:20 22-01-2011
    MAGNet



    Silver Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Кто знает, как в гполитиках назначить юзеру язык ввода и раскладку клавиатуры по умолчанию?
    Стандартную локаль конечного пользователя не предлагать - она меняет только региональные настройки.
    Интересует окно Язык и службы тестового ввода - то место, где меняется язык ввода и раскладка клавиатуры по умолчанию для пользователя.
    Проще говоря - суть задачи следующая: все пользователи должны в окне ввода иметь английский язык, а после входа - русский. Администратор должен всегда иметь английский язык.
     
    Добавлено:
    terence

    Цитата:
    1. Можно ли с помощью политик, сделать на всех компах отображение расширений фалов.


    Цитата:
    Можно, как минимум через vbs.

    А ловчее через реестр:
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
    "HideFileExt"=dword:00000001
    Уже не помню как w2k3.. w2k8 - Конфигурация пользователя/Настройка/Реестр - и вперёд!!

    Всего записей: 2074 | Зарегистр. 31-03-2004 | Отправлено: 16:53 25-01-2011
    Alukardd



    Gold Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Пока был win2k3, 2 раза плотно посидел и все настроил. Щас win2k8 и что-то вот не могу доделать 2 вещи:
    1 - раньше сетевые диски подключал скриптами, но в win2k8 есть такая штука как сопоставление дисков - неужто она на XP не распространяется? Клиенты XP Prof SP2.
    В настройках указал "Заменять", Повторное подключение, явно указал букву, пользователь и пароль не указывал, указал показать этот диск.
    2 - было настроено так, что пользователям было запрещено просматривать сеть. И получать доступ к каким либо сетевым ресурсам кроме подключенных сетевых дисков. Но не помню как и где это настроил! Волнует только 1 момент щас - что бы нельзя было попасть на машины/сервера через адресную строку в проводнике - пример: \\server\. Раньше вылазило типа незя! А щас только в путь работает(((
     
    Windows 2008 Server Enterprise SP2, Windows XP Professional SP2.

    ----------
    Microsoft gives you windows, linuх gives you the whole house...
    I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it.

    Всего записей: 6562 | Зарегистр. 28-08-2008 | Отправлено: 18:38 25-01-2011 | Исправлено: Alukardd, 18:44 25-01-2011
    BVV63



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    MAGNet

    Цитата:
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]  
    "HideFileExt"=dword:00000001

    ??? Какое отношение имеет скрытие/показ расширений файлов к вашей проблеме?
    Итак, по порядку.

    Цитата:
    все пользователи должны в окне ввода иметь английский язык

    При помощи именно политики не сделать. Политика влияет на ветки реестра [HKLM] и [HKCU], а параметры, отвечающие за вышеприведённое требование, находятся в [HKU\.Default]. Так что придётся прибегать к скриптам (относящимся к компам, а не к юзерам, иначе не хватит прав на исполнение). Напр., такой батник:

    Код:
    Reg Add "HKU\.Default\Keyboard Layout\Preload" /V "1" /T Reg_Sz /D "00000409" /F
    Reg Add "HKU\.Default\Keyboard Layout\Preload" /V "2" /T Reg_Sz /D "00000419" /F

    Потребуется дополнительная перезагрузка для вступления изменений в силу.

    Цитата:
    а после входа - русский. Администратор должен всегда иметь английский язык.

    Ну, очевидно пользователи и админ должны в AD быть в разных OU, и одну и ту же политику, но с разными значениями, использовать для этих OU. Шаблон для политики придётся создавать самостоятельно. Создайте на контроллере домена в "%SystemRoot%\Inf" (собственно, можно и в другом месте, это - просто местонахождение административных шаблонов по умолчанию) текстовый файл с расширением adm и следующим содержимым:

    Код:
    Class User
     
    Category !!"ExtendedSettings"
    KeyName "Keyboard Layout\Preload"
        Policy !!"Languages"
            Part !!"FirstLanguage" EditText Required
            ValueName "FirstLanguage"
            End Part
            Part !!"SecondLanguage" EditText Required
            ValueName "SecondLanguage"
            End Part
        End Policy
    End Category
     
    [strings]
    ExtendedSettings="Дополнительные настройки"
    Languages="Языковые настройки"
    FirstLanguage="Язык по умолчанию"
    SecondLanguage="Дополнительный язык"

    Как добавить свой шаблон для использования в политике я описал в предыдущем своём посте на этой странице. Значение для русского языка - 00000419, для английского - 00000409.
    Внимание! Обнаружил это сейчас, когда проверял политику. Сюда я скопировал содержимое файла с табуляциями, здесь табуляции заменились пробелами, так не работает! Замените после копипаста начальные пробелы на табуляции, либо просто удалите их. Проверьте также, чтобы не оказалось конечных пробелов.
    Впрочем, данную политику нетрудно заменить обычным скриптом, исполняемым для юзеров:

    Код:
    Reg Add "HKCU\Keyboard Layout\Preload" /V "1" /T Reg_Sz /D "00000419" /F
    Reg Add "HKCU\Keyboard Layout\Preload" /V "2" /T Reg_Sz /D "00000409" /F

    Для админа, соответственно, 419 и 409 поменять местами
    На выбор, дело вкуса.
     
    Добавлено:
    Да, ещё. Если контроллер домена поднят на Windows Server 2008/2008 R2, то полученные политики появятся не в корне административных шаблонов, а в разделе "Классические административные шаблоны (ADM)" (ну, в англоязычной Винде - по аналогии).

    Всего записей: 3542 | Зарегистр. 17-08-2009 | Отправлено: 06:18 26-01-2011 | Исправлено: BVV63, 06:43 26-01-2011
    BVV63



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    MAGNet

    Цитата:
    ??? Какое отношение имеет скрытие/показ расширений файлов к вашей проблеме?

    А, извиняюсь. Я не заметил, что Вы отвечали другому. Решил, что это с Вашей проблемой связано.

    Всего записей: 3542 | Зарегистр. 17-08-2009 | Отправлено: 06:33 27-01-2011 | Исправлено: BVV63, 06:34 27-01-2011
    MAGNet



    Silver Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    BVV63
    Спасибо за развернутый ответ. Буду изучать.
    Кстати, с проблемой прав уже сталкивался. Пока не доконца понимаю в каких случаях она возникает. Где-то изменения HKCU проходят, а где-то нет.
    Ещё раз спасибо.

    Всего записей: 2074 | Зарегистр. 31-03-2004 | Отправлено: 08:22 28-01-2011
    ANTRAMABANAKAN



    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Привет.
    У меня стоит AD 2003
     
    настроийки груповой политики  
     
    Enforce password history   3  
    Maximum password age 60
    Minimum password age 1
    Account lockout duration 15 minutes
    Account lockuot threshold 3 invalid logons
    Reset account lockout counter after 3 minutes
     
     
    проблема  в том что пользовател после 3-х неудачных попыток(10 сек.) в 4-й раз набирает правильный пароль.
     
    А AD смотрю он заблокирован, а он всё ровно может зайти в компютер.
     
    Какие есть соображения по етому поводу.

    Всего записей: 114 | Зарегистр. 12-11-2008 | Отправлено: 17:43 08-02-2011
    MAGNet



    Silver Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Заблокирован в домене. Учетные записи и политики кэшируются на случай отказа сети.
    Попробуйте настроить в политике ожидание сети при логине (сделайте на клиентской машине после этого gpupdate /force) тогда логина не будет, пока клиент не свяжется с сервером. в противном случае данные берутся из кэша.
    для чистоты эксперимента попробуйте заблокированным, но залогинившимся пользователем подключиться через удаленный рабочий стол. если пустит (что вряд ли), то грабли непонятно где, если нет - то проблема связана с кэшированием.

    Всего записей: 2074 | Зарегистр. 31-03-2004 | Отправлено: 18:16 08-02-2011
    RemComm



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Приветствую.
    Возможно ли использовать конструкцию "select * from" при создании WMI фильтра для GPO, возвращающего список членов указанной группы?

    Всего записей: 838 | Зарегистр. 30-09-2003 | Отправлено: 19:33 08-02-2011
    Ufolog



    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Ткните бестолочь мордой в пол, пожалуйста! Как с помощью локальных политик  (не домен) на  компе с многопользовательской Windows 7 ultimate запретить, к примеру, запуск Диспетчера задач только для конкретной учетной записи, а не для всех в его группе Пользователи?

    Всего записей: 105 | Зарегистр. 13-01-2006 | Отправлено: 20:18 08-02-2011
    MAGNet



    Silver Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Ufolog
    наверно вы ищите это:

    Цитата:
    Технология MLGPO является новой функциональной возможностью ОС Windows Vista и расширяет стандартные возможности локальной групповой политики, имеющейся в Microsoft® Windows® XP. Объекты MLGPO позволяют администратору применять различные уровни локальной групповой политики для различных пользователей, работающих на изолированном компьютере. Эта технология идеально подходит для случаев, когда один и тот же компьютер используется несколькими пользователями и не входит в доменное окружение.

    Если оно есть в Висте, то должно быть и в W7.
    http://oszone.net/5061/ - подробно

    Всего записей: 2074 | Зарегистр. 31-03-2004 | Отправлено: 06:06 09-02-2011
    BVV63



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Ufolog
    При помощи локальной политики возможно и не удастся. Можно в свойствах конкретной учётки заставить выполняться скрипт при регистрации пользователя в системе. Напр., вот такой батник:

    Код:
    Reg Add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System" /V "DisableTaskMgr" /T Reg_DWord /D 1 /F

    Всего записей: 3542 | Зарегистр. 17-08-2009 | Отправлено: 06:09 09-02-2011 | Исправлено: BVV63, 06:21 09-02-2011
    Ufolog



    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    MAGNet
    Спасибо за ответ и особенно за ссылку.  
    BVV63
    Спасибо, но боюсь, правда, что при быстром переключении пользователей это применится ко всем учеткам, нет?

    Всего записей: 105 | Зарегистр. 13-01-2006 | Отправлено: 09:48 09-02-2011
    MagistrAnatol



    Silver Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Господа, подсобите с проблемкой - надо терминальным и только терминальним пользователям Вынь2003
    запретить выключать комп, тоесть чтобы из под удаленного рабочего стола не смогли выключить комп.
    Как запретить  всем я знаю, причем тогда народ не сможет выключить и свои локальные тачки
    Заранее благодарен

    Всего записей: 2120 | Зарегистр. 09-04-2003 | Отправлено: 09:55 09-02-2011
    MAGNet



    Silver Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    MagistrAnatol
    Локальные политики сервера ковырять не пробовали?
    %WINDIR%\System32\gpedit.msc
     
    Добавлено:
    Ufolog
    отпишитесь, если всё получится

    Всего записей: 2074 | Зарегистр. 31-03-2004 | Отправлено: 18:56 09-02-2011
    BVV63



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    MagistrAnatol
    А что, терминальные пользователи имеют админские права? По умолчанию с пользовательскими правами сервер и так не выключить...
     
    Добавлено:
    Опишите ситуацию подробнее...

    Всего записей: 3542 | Зарегистр. 17-08-2009 | Отправлено: 06:58 10-02-2011 | Исправлено: BVV63, 07:01 10-02-2011
    MagistrAnatol



    Silver Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    MAGNet
    их я и ковырял - но отключил на всех локальных тачках выключение компа
    BVV63

    Цитата:
    А что, терминальные пользователи имеют админские права?
    ага
    убрать их?
     
     

    Всего записей: 2120 | Зарегистр. 09-04-2003 | Отправлено: 09:19 10-02-2011
    BVV63



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    MagistrAnatol

    Цитата:
    убрать их?

    Ну, если нет объективных причин для того, чтобы пользователи имели административные полномочия, то логичнее их отнять. Одновременно и вопрос об выключении снимется.

    Всего записей: 3542 | Зарегистр. 17-08-2009 | Отправлено: 09:35 10-02-2011
    Открыть новую тему     Написать ответ в эту тему

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Групповые политики (Group Policy, GPO): документация, ссылки


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.B0ard
    © Ru.B0ard 2000-2024

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru