Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Групповые политики (Group Policy, GPO): документация, ссылки

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123

Открыть новую тему     Написать ответ в эту тему

lynx



Advanced lynx
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Групповые политики (Group Policy)


  • Групповые политики Active Directory
  • Структура объекта групповой политик
  • http://www.gpanswers.com/  
  • Windows Server Group Policy Home

    См. также Общие вопросы по Active Directory (AD)

    FAQ

  • Не работают групповые политики
  • Безопасность
  • Восстановление политик
  • Групповые политики + Internet Explorer (IE)
  • Windows Vista & Windows Server 2008
  • Другие вопросы по групповым политикам

    Документация

  • Англоязычная:
  • Русскоязычная:


    Пост подготовлен: G14

  • Всего записей: 11712 | Зарегистр. 08-05-2001 | Отправлено: 19:33 13-12-2004 | Исправлено: Paromshick, 10:25 23-09-2016
    MAGNet



    Advanced Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Hkey_Current_User
    с булочкой =)
    пьяный писал. был бы трезв - ленился бы..
     
    Добавлено:

    Цитата:
    Интересует меня мгновенный запуск батника из GPO т.к многие машины в домене не выключаются неделями и ждать нет возможности

    мгновенное обновление политики: gpupdate /force с клиента.
    если надо супер!срочно - ищем DameWare NTUtilites Portable
    позволяет всякое делать..
    или psexeс (ищем в сети) поможет перезагрузить тех, кто не хочет.
     
    зы
    политика для юзера обновляется при релогине.
    про "срочный запуск" написано выше

    Всего записей: 1918 | Зарегистр. 31-03-2004 | Отправлено: 19:40 29-06-2011
    bga83



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Немного запутался, нужна помощь. Ситуация следующая:
    - хранение объектов ПК в AD организовано по различным контейнерам(деление по филиалам), пользователи аналогично только отдельные OU
    - надо для членов определенной группы пользователей организовать запуск скрипта, пользователи могут быть разбросаны по всему домену  
    - дополнительное условие: происходить это должно исключительно при логоне на ПК, находящихся в определенном OU
     
    Что делал:  
    - создал групповую политику, привязанную к контейнеру содержащему ПК
    - в ГП в конфигурации ПК указал режим замыкания
    - в ГП в конфигурации пользователя указал нужный скрипт на логон
    - в правах на ГП удалил группу"прошедшие проверку" и выдал разрешение на чтение и применение нужной мне группы
     
    а далее происходит следующее:
    при генерации RSOP в режиме планирования видно что политика должна примениться и отработать скрипт на логоне, но по факту этого не происходит(не отрабатывает скрипт и gpresult не выводит информации о том что нужная мне политика применилась).  
    Скрипт пользователю доступен(проверялось ручным запуском и расположением в разных шарах) в логах на контроллерах и клиентской машине все число, никакой ругани насчет проблем с применения групповых политик
     
    кусок вывода gpresult(причем в группу которой даны права на применения политики включил уже и нужного мне пользователя и ПК на котором происходит тестовый логон)
     
    Следующие политики GPO не были приняты, поскольку они отфильтрованы
    --------------------------------------------------------------------
     
        TRM_1C
            Фильтрация:  Отказано (безопасность)

    Всего записей: 2008 | Зарегистр. 30-11-2007 | Отправлено: 17:16 04-07-2011
    Refugee

    Full Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    bga83
    http://support.microsoft.com/kb/231287:  
    You cannot filter the user settings that are applied by denying or removing the AGP and Read rights from the computer object specified for the loopback policy.
     
    Используйте WMI Filtering, а не замыкания.

    Всего записей: 512 | Зарегистр. 31-03-2004 | Отправлено: 18:17 04-07-2011
    erve

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Есть домен с контроллером на Win2008server.  
    Рабочие станции на WinXP/7
    Хочу добавить сайт в "Надежные узлы"
    В GP в раздел
    User configuration/Policies/Windows Settings/IE Maintenance/Security/Security Zones
    Я прописываю нужный сайт (ругается, что не применится на машинах с усиленной безопасностью)  
    На выходе имею - политика на машинах не применяется, вручную пользователь параметр изменить не может. При все этом rsop.msc показывает применение такого параметра
     
    В локальных политиках тоже везде default стоит. Куда копать?

    Всего записей: 81 | Зарегистр. 28-08-2006 | Отправлено: 18:21 04-07-2011
    topotuno



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Головную статью  тоже можно на форум перенести. А пока она доступна здесь  http://web.archive.org/web/20080122120604/http://ru-board.com/new/article.php?sid=174 .

    Всего записей: 302 | Зарегистр. 28-10-2006 | Отправлено: 20:04 14-07-2011
    ch1poza

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Подскажите есть такой косяк, необходимо настроить всем параметры прокси в IE, через АД, всё ставлю, срабатывает стартовая страница, а вот параметры соединения всёравно берутся из реестра локальной машины, что не так? как можно пофиксить?

    Всего записей: 7 | Зарегистр. 03-09-2007 | Отправлено: 17:02 20-07-2011
    BVV63



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    ch1poza
    Попробуйте убрать обе галочки в "Connection" -> "Automatic Browser Configuration", если они стоят.
    А вообще-то лучше б показали настройки в "Connection", дабы телепатией не заниматься.

    Всего записей: 3542 | Зарегистр. 17-08-2009 | Отправлено: 05:27 21-07-2011
    ch1poza

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    BVV63
    Разобрался, почемуто не работало вот с такой строкой исключения:
    127.0.0.1;mail;192.168.0.0/16
    именно от строчки 192.168.0.0/16 сносило башню ослу, заменил на 192.168.* и всё

    Всего записей: 7 | Зарегистр. 03-09-2007 | Отправлено: 10:26 21-07-2011
    F_L LiaNet



    Advanced Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

    Цитата:
    F_L LiaNet  
    у меня больше идей нету, странная ситуация

    kazavo4ka
    Я нашёл кстати в чём была проблема, причём это кстати коснулось только "Семёрки", почему .... непонятно. У меня в политиках было отключение службы "Назначенные задания". После того как включил её обратно, понадобилось пользоваться "Архивацией и восстановлением", как ни странно значёк вернулся в строй.
    Ну это я для опыта рассказываю, ты же хотел помочь , вот тебе и от меня спасибо!

    Всего записей: 1387 | Зарегистр. 10-11-2004 | Отправлено: 11:35 21-07-2011
    kazavo4ka



    Advanced Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

    Цитата:
    вот тебе и от меня спасибо!

    да не за что, тебе спасибо что отписался
     
    Когда только начинал с семеркой работать тоже сталкивался с похожей проблемой. В дальнейшем узнал что лучше ничего с этой службой на вистах и семерках не делать, слишком много на нее завязано.

    Всего записей: 1655 | Зарегистр. 17-02-2006 | Отправлено: 12:10 21-07-2011
    F_L LiaNet



    Advanced Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    kazavo4ka
    Где экзамены сдаёшь?

    Всего записей: 1387 | Зарегистр. 10-11-2004 | Отправлено: 13:35 23-07-2011
    smiker2007



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    гуру подскажите
    есть standalone терминальный сервер w2k8 r2, не входит в домен, доступ юзеров через инет, не vpn. удаленные юзеры входят в локальные группы Users и Remote Desktop
    можно ли мне с помощью gpedit.msc применить групповые политики ТОЛЬКО к локальным группам Users и Remote Desktop, а остальных не трогать?
    проблема в том, что на эти группы хочу наложить большие ограничения (убрать иконки, доступ, оставить только минимум для работы), но после применения, изменения касаются и админов, что жутко неудобно)
    спасибо

    Всего записей: 225 | Зарегистр. 09-04-2009 | Отправлено: 13:19 24-07-2011
    Refugee

    Full Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    smiker2007
    к группам - нет.
    можно к пользователям, примерно так:
    логонитеcь админом, применяете политику к себе, экспортируете в файл HKCU/soft/policies и /soft/ms/win/cv/pol
    убираете политику
    в файле меняете [HKEY_CURRENT_USER\ на [HKEY\USERS\_test_\
    и для каждого юзера (удобно делать батником)
    reg load HKU\_test_  ntuser.dat    #соотв. пользователя; он должен быть не залогонен
    reg import saved_policy.reg
    reg unload HKU\_test_

    Всего записей: 512 | Зарегистр. 31-03-2004 | Отправлено: 13:50 24-07-2011
    smiker2007



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    нашел более красивый и интересный способ, прямо то что доктор прописал
    может кому пригодится:
    http://technet.microsoft.com/ru-ru/library/gg241182%28WS.10%29.aspx
     

    Цитата:
    Non-Administrators Local Group Policy. This LGPO applies user policy settings to users who are not included in the Administrators group.

    Всего записей: 225 | Зарегистр. 09-04-2009 | Отправлено: 15:40 24-07-2011
    newhk

    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Народ, нужна помощь.
    До меня кто то наворотил всякого в групповых политиках, не могу найти параметр, который отвечает за контроль поиска обновлений, конкретно, в виндах начиная с висты пишет, что некоторые параметры контролирует системный администратор, не могу найти, где это отключить...
    кто знает помогите плиз
     
    Полностью отлючил все параметры, которые нашел, что отвечают за автом. обновление.... не помогло((

    Всего записей: 237 | Зарегистр. 02-02-2009 | Отправлено: 19:09 25-07-2011 | Исправлено: newhk, 11:24 26-07-2011
    smiker2007



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    ребят подскажите еще: сервер w2k8 r2, юзерам все поотключал, но в Пуске у них висит вкладка "Администрирование", которая раскрывается и там видно все адм. оснастки. Есессно, войти в них не могут, но просто чисто для эстетики хотел бы весь пункт "Администрирование" из меню убрать, но в gpedit этого не нашел.
    юзеры не доменные.

    Всего записей: 225 | Зарегистр. 09-04-2009 | Отправлено: 19:21 25-07-2011
    bombording

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Добрый вечер.  
     
    Возникла необходимость запретить пользователям домена править ФОРМАТ даты.  
    Нашёл в  HKEY_CURRENT_USER\Control Panel\International ключ sShortDate. Хотелось бы ограничить его через GPO. Отсюда несколько вопросов:  
     
    1. Возможно ли ограничить для всех только ключ sShortDate а не всю ветку реестра HKEY_CURRENT_USER\Control Panel\International ??  
     
    2. И если это не возможно, то как запретить через GPO правку ветки HKEY_CURRENT_USER\Control Panel\International ??? Через GPO средства, можно установить права только на HKEY_USERS\.DEFAULT\Control Panel\International, Но ведь у пользователя есть своя ветка реестра вида HKEY_USERS\S-1-5-21-50... Где есть такой же ключ sShortDate, который он может править.  
     
     
    Помогите пожалуйста ограничить пользователей в смене формата даты....  
    Спасибо

    Всего записей: 162 | Зарегистр. 20-07-2007 | Отправлено: 23:50 01-08-2011
    naPmu3aH



    Из лесу вышел
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    smiker2007

    Цитата:
    но просто чисто для эстетики хотел бы весь пункт "Администрирование" из меню убрать

    Внимательно посмотреть на содержимое \All Users\StartMenu и перенести необходимую папку(и) с ярлыками в \Administrator\Start Menu\ скажем...

    ----------
    "Русские Доски" - сила! "Русские Доски" - класс! Кто не знает досок - тот сами догадайтесь кто

    Всего записей: 4632 | Зарегистр. 30-10-2001 | Отправлено: 01:39 02-08-2011
    levkadub



    Full Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Господа! Не стандартная проблема!
     
    Кратко:
    Есть пара компьютеров с устанволенной Windows 7.
    Обнаружил что для них не применяются некоторые политики, предназначенные для компьютера.
     
    Делаю gpresult -r
     
    Программа формирования отчета групповой политики операционной системы
    Microsoft (R) Windows (R) версии 2.0
    (С) Корпорация Майкрософт, 1981-2001
     
    Создано на 02.08.2011 в 14:09:24
     
     
    Данные RSOP для CLASSIC\lev на LEV : Режим ведения журнала
    -----------------------------------------------------------
     
    Конфигурация ОС:            Рядовая рабочая станция
    Версия ОС:                  6.1.7601
    Имя сайта:                  Default-First-Site-Name
    Перемещаемый профиль:                     Н/Д
    Локальный профиль:          C:\Users\lev.CLASSIC
    Подключение по медленному каналу: Нет
     
     
    Конфигурация компьютера
    ------------------------
        CN=LEV,CN=Computers,DC=classic,DC=ru
        Последнее применение групповой политики:  02.08.2011 в 13:18:20
        Групповая политика была применена с:      srv1.classic.ru
        Порог медленного канала для групповой политики: 500 kbps
        Имя домена:                        USER
        Тип домена:                        Windows 2000
     
     
     
    Как видите Имя домена = USER. Это имя компьютера ДО того как его ввели в домен.
    Причем сейчас имя компьютера совершенно другое!
    У нормально работающих компьютеров в качестве домена прописано имя домена.
     
    У остальных компьютеров и под управлением Windows XP и под управлением Windows 7 все в порядке.
     
    Переввод в домен, удаление учетки в домене, смена имени и прочие махинации результатов не приносят.  
     
    Подскажите - куда копать?
     
     

    Всего записей: 412 | Зарегистр. 23-04-2005 | Отправлено: 09:23 02-08-2011
    daggerok



    Newbie
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    привет! помогите разобраться, пож-ста. не получается назначить политику группе пользователей.
     
    имеется: контроллер домена на w2k3, клиенты на winxp.  
     
    задача: нужно создать групповую политику и применить ее к группе рядовых пользователей домена, которая бы запрещала запуск любых программ, кроме указанных.
     
    вот что делаю:
    1. start --- run --- dsa.msc
    2. создаю группу, в которую добавляю пользователей.
    3. правый клик по контейнеру домена --- свойства --- групповые политики --- создать (назвал RunAppsPolicy)
    4. теперь имеется две политики: 1 - Default Domain Policy, 2 - только что созданная RunAppsPolicy.
    5. далее захожу в свойства --- безопасность и там добавляю созданную группу, ставлю галки на чтение и применение групповой политики, у прошедших проверку снимаю галку применения политики
    6. далее клик по политике и изменить политику --- конфигурация пользователя --- конфиг-я windows --- пар-ры безопасности --- политика п.о.
    7. в "уровни безопасности" меняю значение по умолчанию с "неограниченный" на "не разрешено".
    8. клик по "дополнительные правила", создаю правило и создаю правила для пути.
    в итоге имею такие правила:
    %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot% - неограниченный
    %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%*.exe - неограниченный
    %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%System32\*.exe - неограниченный
    %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir% - неограниченный
    %programfiles%\progpath\*.exe - неограниченный
    9. далее закрываю консоль dsa.msc, подключаюсь к пользователю, выполняю rum --- cmd --- gpupdate
    но другие, установленные на компьютере, по прежнему запускаются.
     
    вот вывод gpresult:
     
    Microsoft Windows XP [Версия 5.1.2600]
    (С) Корпорация Майкрософт, 1985-2001.
     
    C:\Documents and Settings\test.RD>gpresult
     
    Программа формирования отчета групповой политики операционной системы
    Microsoft (R) Windows (R) XP версии 2.0
    (С) Корпорация Майкрософт, 1981-2001
     
    Создано на 02.08.2011 в 20:34:51
     
     
    RSOP-результаты для RD\test на TEST-PC : Режим журналирования
    --------------------------------------------------------------
     
    Тип ОС:                     Microsoft Windows XP Professional
    Конфигурация ОС:            Рядовая рабочая станция
    Версия ОС:                  5.1.2600
    Имя домена:                 RD
    Тип домена:                 Windows 2000
    Имя сайта:                  Default-First-Site-Name
    Перемещаемый профиль:
    Локальный профиль:          C:\Documents and Settings\test.RD
    Подключение по медленному каналу?:        Нет
     
     
    Конфигурация компьютера
    ------------------------
        CN=TEST-PC,CN=Computers,DC=rd,DC=local
        Последнее применение групповой политики:  02.08.2011 at 19:42:29
        Групповая политика была применена с:      srv-ad.rd.local
        Порог медленной связи групповой политики: 500 kbps
     
        Примененные объекты групповой политики
        ---------------------------------------
            Default Domain Policy
     
        Следующие политики GPO не были приняты, поскольку они отфильтрованы
        --------------------------------------------------------------------
            Политика локальной группы
                Фильтрация:  Не применяется (пусто)
     
            RunAppsPolicy
                Фильтрация:  Отключено (GPO)
     
        Компьютер является членом следующих групп безопасности:
        -------------------------------------------------------
            Администраторы
            Все
            Пользователи
            СЕТЬ
            Прошедшие проверку
            TEST-PC$
            Компьютеры домена
     
     
    Конфигурация пользователя
    --------------------------
        CN=Test,CN=Users,DC=rd,DC=local
        Последнее применение групповой политики:  02.08.2011 at 19:44:15
        Групповая политика была применена с:      srv-ad.rd.local
        Порог медленной связи групповой политики: 500 kbps
     
        Примененные объекты групповой политики
        ---------------------------------------
            Default Domain Policy
            RunAppsPolicy
     
        Следующие политики GPO не были приняты, поскольку они отфильтрованы
        --------------------------------------------------------------------
            Политика локальной группы
                Фильтрация:  Не применяется (пусто)
     
        Пользователь является членом следующих групп безопасности:
        ----------------------------------------------------------
            Пользователи домена
            Все
            Пользователи
            ИНТЕРАКТИВНЫЕ
            Прошедшие проверку
            ЛОКАЛЬНЫЕ
            RunAppsPolicyGroup
     
     
    т.е. политика якобы применялась, но нужного эффекта - нет.
    получается, я не прально настроил политику?
    в чем может быть ошибка?
    заранее спасибо за помощь!

    Всего записей: 4 | Зарегистр. 28-01-2009 | Отправлено: 21:49 02-08-2011 | Исправлено: daggerok, 10:58 03-08-2011
    Открыть новую тему     Написать ответ в эту тему

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Групповые политики (Group Policy, GPO): документация, ссылки

    Имя:
    Пароль:
    Сообщение

    Для вставки имени, кликните на нем.

    Опции сообщенияДобавить свою подпись
    Подписаться на получение ответов по e-mail
    Добавить тему в личные закладки
    Разрешить смайлики?
    Запретить коды


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.Board
    © Ru.Board 2000-2018

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru