Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Групповые политики (Group Policy, GPO): документация, ссылки

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126

Открыть новую тему     Написать ответ в эту тему

lynx



Advanced lynx
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Групповые политики (Group Policy)


  • Групповые политики Active Directory
  • Структура объекта групповой политик
  • Group Policy Administrative Templates Catalog
  • http://www.gpanswers.com/  
  • Windows Server Group Policy Home

    См. также Общие вопросы по Active Directory (AD)

    FAQ

  • Не работают групповые политики
  • Безопасность
  • Восстановление политик
  • Групповые политики + Internet Explorer (IE)
  • Windows Vista & Windows Server 2008
  • Другие вопросы по групповым политикам

    Документация

  • Англоязычная:
  • Русскоязычная:


    Пост подготовлен: G14

  • Всего записей: 11712 | Зарегистр. 08-05-2001 | Отправлено: 19:33 13-12-2004 | Исправлено: Paromshick, 20:16 03-06-2020
    ANTRAMABANAKAN



    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    задача стоит такая.
     
    Имеем пользователья (prob) в domain-е   Windows 2003 ..
    Надо сделать так что бы prob смог через остнастку manage читать security логи всех компютеров domain-а но при том что он не является членом группы domain admins....
     
    В GP домейна я добавил пользователя prob в ветке  "manage audit and security log ".  
    Судая по докам надо ешё что то добавфить в реестре, но где кокретно?

    Всего записей: 114 | Зарегистр. 12-11-2008 | Отправлено: 14:40 30-05-2011 | Исправлено: ANTRAMABANAKAN, 14:41 30-05-2011
    F_L LiaNet



    Advanced Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Ребята, подскажите какая политика отвечает за значёк языка (языковую панель) в WS2k3 SBS. Нашёл правила языка, почти всё, а вот про значёк ни слова.
    Вся тема в том, что после применения GPO в Windows 7 везде пропал этот значёк, под ХР всё нормально ничего не поменялось. Может кто сталкивался ...

    Всего записей: 1501 | Зарегистр. 10-11-2004 | Отправлено: 13:37 31-05-2011
    zhman

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Вопрос слудуюущий:
     
    Каким образом можно заблокировать применение доменной групповой политики на компьютере (Win2008R2)
    или перекрыть доменную групповую политику локальной (например изменить порядок применения групповых политик ), при этом ничего не меняя в настройках контроллера домена??
     
    Смысл в том, чтобы некоторые или все доменные групповые политики не применялись на определенном компьютере.

    Всего записей: 7 | Зарегистр. 08-11-2006 | Отправлено: 11:12 01-06-2011 | Исправлено: zhman, 11:25 01-06-2011
    kazavo4ka



    Advanced Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

    Цитата:
    Каким образом можно заблокировать применение доменной групповой политики на компьютере (Win2008R2)  
     или перекрыть доменную групповую политику локальной (например изменить порядок применения групповых политик ), при этом ничего не меняя в настройках контроллера домена??

    если кратко - никак
     

    Цитата:
    Смысл в том, чтобы некоторые или все доменные групповые политики не применялись на определенном компьютере.

    это на самом деле бессмысленно с точки зрения администратора, т.к. он это легко может сделать через gpo acl и еще несколькими способами
     
     
    Добавлено:
    F_L LiaNet

    Цитата:
    Ребята, подскажите какая политика отвечает за значёк языка (языковую панель) в WS2k3 SBS. Нашёл правила языка, почти всё, а вот про значёк ни слова.  
     Вся тема в том, что после применения GPO в Windows 7 везде пропал этот значёк, под ХР всё нормально ничего не поменялось. Может кто сталкивался ...

    сталкивался, не стал париться, а ограничился правкой реестра - экспортировал параметры HKEY_CURRENT_USER\Software\Microsoft\CTF\LangBar , а затем импортировал на проблемные машинки

    Всего записей: 1655 | Зарегистр. 17-02-2006 | Отправлено: 13:54 01-06-2011 | Исправлено: kazavo4ka, 13:59 01-06-2011
    StaticD

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Народ нужна помощь!
    Есть win2003, есть AD, есть GPO, есть ПК юзера и есть удаленный рабочий стол.
    В одной GPO есть всякие штуки, ну например, подключение сетевых дисков - это делается по учетной записи. Естественно, когда юзер заходит на свой ПК у него эти диски создаются, но этот же юзер работает через удаленный рабочий стол на сервере, и на сервере при входе также создаются диски, хотелось бы как-нибудь отфильтровать создание этих дисков на сервере. Как это сделать?
     

    Всего записей: 9 | Зарегистр. 23-11-2009 | Отправлено: 17:23 02-06-2011
    kazavo4ka



    Advanced Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    StaticD
    Занимался в свое время этим вопросом - самое легкое это накинуть на политику wmi фильтр, отрабатывающий по имени сервера (отрабатывающий как исключение, т.е. если имя совпадает с указаным в фильтре, то политика не отрабатывается)
     
    SELECT * FROM Win32_ComputerSystem WHERE NOT Name LIKE "terminalserv_name"
     
     
     
    Есть, конечно, в wmi вещи, отвечающие за обозначение типа сессии (локальный вход, терминальная сессия и т.д.), но у меня не получилось заставить их работать. Да и с именем в принципе вполне рабочий вариант .
     
     
    Как дополнительный вариант -  можно поиграться с loopback processing

    Всего записей: 1655 | Зарегистр. 17-02-2006 | Отправлено: 19:20 02-06-2011 | Исправлено: kazavo4ka, 19:22 02-06-2011
    F_L LiaNet



    Advanced Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

    Цитата:
    сталкивался, не стал париться, а ограничился правкой реестра - экспортировал параметры HKEY_CURRENT_USER\Software\Microsoft\CTF\LangBar , а затем импортировал на проблемные машинки
    Самое замечательное, что на всех машинках этот раздел есть. А толку вот от него нет в общем-то, не сработало

    Всего записей: 1501 | Зарегистр. 10-11-2004 | Отправлено: 11:36 03-06-2011
    anton04



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    StaticD
    kazavo4ka
     
    В 2008 это решается немного проще, а именно режимом нацеливания.
     
    а вот в WMI фильтре лучше использовать ProductType. Так получится всеядней

    Всего записей: 2801 | Зарегистр. 14-06-2006 | Отправлено: 15:36 03-06-2011
    kazavo4ka



    Advanced Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

    Цитата:
    Так получится всеядней

    по имени гораздо более точно получится + сервера могут быть не только терминальными, а дополнительных условий указано не было
     

    Цитата:
    В 2008 это решается немного проще, а именно режимом нацеливания.


    Цитата:
    Есть win2003, есть AD, есть GPO, есть ПК юзера и есть удаленный рабочий стол.

     
     
     
    Добавлено:
    F_L LiaNet

    Цитата:
    Самое замечательное, что на всех машинках этот раздел есть. А толку вот от него нет  в общем-то, не сработало

    т.е. если снести эту ветку и импортировать с рабочей машины - результата нет?

    Всего записей: 1655 | Зарегистр. 17-02-2006 | Отправлено: 06:33 06-06-2011 | Исправлено: kazavo4ka, 06:44 06-06-2011
    F_L LiaNet



    Advanced Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

    Цитата:
    т.е. если снести эту ветку и импортировать с рабочей машины - результата нет?
    Неа, у меня работает только на машине на которой х64, там где х86 - не помогает

    Всего записей: 1501 | Зарегистр. 10-11-2004 | Отправлено: 12:10 06-06-2011
    StaticD

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    kazavo4ka
    Ещё вопрос, а вот при создании WMI фильтра как указать в этом запросе (или может еще есть какой-то способ) SELECT * FROM Win32_ComputerSystem WHERE NOT Name LIKE "terminalserv_name" чтобы он фильтровал конкретную политику, а то у меня несколько GPO?  
     
    Ну то есть политику например с именем Services не применять на сервере с именем Server1C.

    Всего записей: 9 | Зарегистр. 23-11-2009 | Отправлено: 12:15 06-06-2011
    kazavo4ka



    Advanced Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

    Цитата:
    Ещё вопрос, а вот при создании WMI фильтра как указать в этом запросе (или может еще есть какой-то способ)  

    это указывается не в самом запросе, а запрос привязывается к конкретному gpo
     
    Добавлено:
    F_L LiaNet
    у меня больше идей нету, странная ситуация

    Всего записей: 1655 | Зарегистр. 17-02-2006 | Отправлено: 12:26 06-06-2011
    Da_BooZ



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Не найду никак, как в 2008 R2 настроить разрешения для пользователей по обновлению Windows через политики? Подскажите способ или линк.

    ----------
    Веду здоровый образ жизни! Пью из чистых стаканов, курю на свежем воздухе.

    Всего записей: 333 | Зарегистр. 18-12-2003 | Отправлено: 14:51 10-06-2011
    kazavo4ka



    Advanced Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

    Цитата:
    Не найду никак, как в 2008 R2 настроить разрешения для пользователей по обновлению Windows через политики? Подскажите способ или линк.

    конф.компьютера -> адм.шаблоны -> компоненты windows -> центр обновления windows

    Всего записей: 1655 | Зарегистр. 17-02-2006 | Отправлено: 06:04 14-06-2011
    Da_BooZ



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    kazavo4ka
    Спасибо

    ----------
    Веду здоровый образ жизни! Пью из чистых стаканов, курю на свежем воздухе.

    Всего записей: 333 | Зарегистр. 18-12-2003 | Отправлено: 11:08 14-06-2011
    Khotckevich



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Добрый день.
     
    В групповые политики на сервер 2003 была внесена установка ПО (ничего особенного, архиватор для пробы). После чего эта политика была удалена. Однако теперь на станциях при выполнении команды gpupdate /force я получаю сообщение:
     
    Refreshing Policy...
    User Policy Refresh has completed
    Computer Police Refresh has completed
    Certain Computer Policies are enabled that can only run during startup
    OK to Reboot
     
    В отчете по групповой политике получаю следующее
     
    Computer Configuration Summary
      Component Status
        Component Name Status Last Process Time  
        Group Policy Infrastructure Success 19/06/2011 09:51:36  
        EFS recovery Success (no data) 19/06/2011 09:51:36  
        Registry Success 19/06/2011 09:51:35  
        Security Success 19/06/2011 09:51:36  
     
    Software Installation Pending 19/06/2011 09:51:36  
    Software Installation did not complete policy processing because a system restart is required for the settings to be applied. Group Policy will attempt to apply the settings the next time the computer is restarted.

     
    Additional information may have been logged. Review the Policy Events tab in the console or the application event log for events between 19/06/2011 09:51:36 and 19/06/2011 09:51:36.  
     
    Скриншот
     
    В логах ничего нет.  
     
    Т.е. как бы что-то недоустановлено. Однако политики, касающиеся установки ПО - пусты!
     
    Проблема в том, что все эти вещи выдаются на Default Domain Policy...
     
    Обнулять политки очень не хочется... Где еще можно порыть?

    Всего записей: 394 | Зарегистр. 07-04-2003 | Отправлено: 13:45 19-06-2011
    Hkey_Current_User

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Добрый день, помогите пожалуйста.
    Пытаюсь настроить несколько групповых политик на пароли.
    default - пароль должен быть не менее 7 символов
    pass - пароль должен быть не менее 7 символов и быть сложным
    default линкую на домен, pass на OU=office
    делаю gpupdate /force и применяется только политика default (если конечно винда не считает пароль 1234567 сложным)
    Пробовал отключать наследование - тоже не помогает.  
    Подскажите, как правильно сделать работающий вариант.

    Всего записей: 24 | Зарегистр. 27-06-2007 | Отправлено: 18:34 24-06-2011
    MAGNet



    Silver Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Khotckevich
    устанавливать и удалять политики ПО нужно очень аккуратно!
    при удалении пробной политики по установке ПО следует указывать, что это ПО не нужно удалять с компьютеров. В противном случае после удаления политики контроллер будет постоянно посылать команду на удаление.
    Если ПО было установлено и после удалено, то команда всё равно будет отрабатываться при каждой загрузке или gpupdate. Контроллер "до скончание времен" будет посылать команду на удаление. просто в процессе загрузки происходит следующий диалог:
    - удалит XXX.
    - ясно, проверяем.. XXX в системе нет.
    - зашибись! поехали дальше..
    ..и никаких ошибок не возникает.

    При gpupdate с ключом force он принудительно пытается применить всю политику для компа/юзера, а т.к. политика установки ПО применяется только в процессе загрузки, то и возникает сообщение типа "хочу ребут"
     
    Перед удалением политики нужно удалить все её связи с OU; иногда помогает
     
    ясно выразился?!
     
     
    Hkey_Current_User

    Цитата:
    Подскажите, как правильно сделать работающий вариант.  

    rsop.msc на клиенте (или моделирование политики для машины в оснастке gpmc.msc с сервера) покажет какие политики применяются, какие фильтруются и по каким признакам.
     
    первый вариант проще и предпочтительнее.
     
    зы
    политику паролей нужно применять для компутеров. в том OU, куда запихнута ссылка на политику, должны быть не юзеры а машины (или оба два вместе).
     
     
    F_L LiaNet

    Цитата:
    Вся тема в том, что после применения GPO в Windows 7 везде пропал этот значёк, под ХР всё нормально ничего не поменялось.

    читаем внимательно technet.microsoft.com для серверов. GP для 2003 и 2008 (Win7) несколько отличаются.
     
    зы
    а вы случайно не используете перемещаемый профиль для юзеров?!

    Всего записей: 2074 | Зарегистр. 31-03-2004 | Отправлено: 18:48 24-06-2011 | Исправлено: MAGNet, 19:17 24-06-2011
    Hkey_Current_User

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    MAGNet
    Спасибо, то что надо оказалось. Правда не могу я понять, почему M$ политику паролей засунули в конфигурацию компьютера, ну да ладно.

    Всего записей: 24 | Зарегистр. 27-06-2007 | Отправлено: 12:03 27-06-2011
    nookieman

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Доброго времени суток.
    Интересует меня мгновенный запуск батника из GPO т.к многие машины в домене не выключаются неделями и ждать нет возможности ( да и релог не выполнить), где то находил упоминание но потерял ссылку, не подскажите?

    Всего записей: 3 | Зарегистр. 12-01-2010 | Отправлено: 15:11 29-06-2011 | Исправлено: nookieman, 15:17 29-06-2011
    Открыть новую тему     Написать ответ в эту тему

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Групповые политики (Group Policy, GPO): документация, ссылки


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.B0ard
    © Ru.B0ard 2000-2024

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru