Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Групповые политики (Group Policy, GPO): документация, ссылки

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122

Открыть новую тему     Написать ответ в эту тему

lynx



Advanced lynx
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Групповые политики (Group Policy)


  • Групповые политики Active Directory
  • Структура объекта групповой политик
  • http://www.gpanswers.com/  
  • Windows Server Group Policy Home

    См. также Общие вопросы по Active Directory (AD)

    FAQ

  • Не работают групповые политики
  • Безопасность
  • Восстановление политик
  • Групповые политики + Internet Explorer (IE)
  • Windows Vista & Windows Server 2008
  • Другие вопросы по групповым политикам

    Документация

  • Англоязычная:
  • Русскоязычная:


    Пост подготовлен: G14

  • Всего записей: 11712 | Зарегистр. 08-05-2001 | Отправлено: 19:33 13-12-2004 | Исправлено: Paromshick, 10:25 23-09-2016
    Alukardd



    Gold Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    konungster
    Все возможно...
    Щас активнул эту политику для всего домена. Время покажет... Хотя не понятно зачем скрипты должны выполнятся до загрузки Windows Explorer...

    ----------
    Microsoft gives you windows, linuх gives you the whole house...
    I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it.

    Всего записей: 6252 | Зарегистр. 28-08-2008 | Отправлено: 22:48 12-09-2011
    Xconn



    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Коллеги, натолкните на решение такой задачки. Суть такова - в сети водится большое количество Win 7 корпоративная, на них нет порядка с локальным администратором - где то он отключен, где то вместо него разные пользователи - "1", "admin" и т.п. Как упорядочить это при помощи restricted group я примерно понимаю, нет понимания, как присвоить учетной записи "администратор" один, универсальный пароль при помощи политики.

    Всего записей: 30 | Зарегистр. 15-12-2010 | Отправлено: 09:18 27-09-2011
    borin

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    для домена предлагаю такое решение:
    1. с помощью GPO переименовываете локальных пользователей
    2. скриптом устанавливаете пароль локальному админу
     
    в принципе, знать пароль локального админа в случае домена особенно и не надо (у меня скрипт генерит случайный пароль и его никто не знает)
     
     

    Всего записей: 32 | Зарегистр. 27-03-2006 | Отправлено: 11:29 27-09-2011
    anton04



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Xconn

    Цитата:
    "администратор" один, универсальный пароль при помощи политики.

     
    Смена пароля Администратора для всех компьютеров в домене.
     
    Простенький скрипт, назначенный на событие startup в политиках домена, позволит нам централизованно менять пароль администратора на всех компьютерах в домене.
     
    @net user administrator "newpassword"
     
    Вместо administrator – подставляем реальный логин администратора. Вы же поменяли логин администратора?
     
    Не забываем дать права для чтения этого скрипта только компьютерам домена, но не пользователям! Пароль, как никак, открытым текстом в скрипте прописан.  
     
    В принципе можно пойти дальше и для каждого компьютера в каждый конкретный день генерить новый пароль. Например пароль генерится из имени компьютера, дня недели и числа месяца. Что нибудь из 9-10 символов. Таким образом, при надобности мы можем сказать пользователю пароль админа на сегодняшний день, не боясь, что он будет им злоупотреблять длительное время. Конечно, не всех пользователй это касается.
     
    Или такой вариант:
    @net user administrator %1
    и пароль подставляем в качестве аргумента скрипта в редакторе политик. Тогда можно не заморачиваться с правами.

     
    1. cmd: @net user "Администратор" "пароль"
     
    2. vbs:
    Код:
    Option Explicit
    Dim objComputer
    Dim objUser
    Dim strComputer
    Dim strUser
    Dim strpass
    Dim objSysInfo
    Dim arrFULLNAME
    Dim arrCN
     
    Set objSysInfo = CreateObject("ADSystemInfo")
    strComputer = objSysInfo.ComputerName
    arrFULLNAME = Split(strComputer, ",")
    arrCN = Split(arrFULLNAME(0), "=")
     
    strComputer = arrCN(1)
     
    strUser="Администратор"
    strpass="тут_пароль"
     
    set objUser = GetObject("WinNT://" & strComputer & "/" & strUser)
    objUser.Description = "пароль изменен при помощи скрипта"
    objUser.SetPassword strpass
    objUser.SetInfo

     
    3. vbs:  

    Код:
    '==========================================================================
    '
    ' VBScript Source File -- Created with SAPIEN Technologies PrimalScript 4.0
    '
    ' NAME: Change_Admin_Scrip.VBS
    '
    ' AUTHOR: Коробко Иван
    ' DATE  : 20.04.2006
    '
    ' COMMENT:  
    '        Сценарий меняет пароль администратора локальной учетной записи  
    '        администратора  
    '==========================================================================
    Dim temp,i, pwd
    PWD = "987654321"
    i=1
    on Error Resume Next
    en=Chr(13)+Chr(10)
    Set objArgs=Wscript.Arguments
    If Wscript.Arguments.Count=1 Then  
        If strcomp(ucase(objArgs(0)),UCase("-Domain"))=0 Then  
            mode=1
        End If
        
        If strcomp(ucase(objArgs(0)),UCase("-Group"))=0 Then  
            mode=2
        End If
        
        If strcomp(ucase(objArgs(0)),UCase("-PC"))=0 Then  
            mode=3
        End If
            
    Else
        mode=0    
    End If
     
     
    Select Case mode
    Case 0  
    txt="ОПИСАНИЕ СКРИПТА:"+en+en+ _
    "       Скрипт предназначен для изменения пароля локальной учетной записи "+Chr(34)+"ADMINISTRATOR"+Chr(34)+ en+ _
    "и переименования русской учетной записи "+Chr(34)+"АДМИНИСТРАТОР"+Chr(34)+ "в латинскую. Осуществляется пере-"+en+ _
    "именование группы АДМИНИСТРАТОРЫ в ADMINSTRATORS. В зависимости от режима работы скрипт"+en+ _
    "срабатывает на указанной рабочей станции или на всех компьютерах в текущем домене."+en+en+ _
    "ПАРАМЕТРЫ КОМАНДНОЙ СТРОКИ:"+en+en+ _
    "     "+Chr(34)+"-PC"+Chr(34)+ "  - изменение на всех включенных рабочих станциях" + en + _
    "     "+Chr(34)+"-Group"+Chr(34)+ "  - изменение на рабочих станциях в группе"  + en + _
    "     "+Chr(34)+"-Domain"+Chr(34)+ "  - изменение на указанной рабочих станциях"  + en +en + _
    "ЗАМЕЧАНИЕ:"+en+en+_
    "     1. Скрипт необходимо запускать с правами системного администратора"+en+ _
    "     2. Группа должна иметь префикс PC$_"
     
    WScript.Echo txt
     
    Case 1
     
     
    PWD=CStr(inputbox("Введите новый пароль локального администратора",,PWD))
     Set objSysInfo = CreateObject("ADSystemInfo")
     domain=cstr(objSysInfo.DomainShortName)
     
        Set obj_comp = getobject("WinNT://" & domain)
        obj_comp.filter = Array("Computer")
         
        For Each Computer in obj_comp
        pcname=cstr(Computer.Name)
                             make pcname
        Next
                            
        Set obj_comp= Nothing
    'WScript.Echo "Смена паролей в домене завершена"
     
    Case 2
     
    pwd=CStr(inputbox("Введите новый пароль локального администратора",,PWD))
     
    GROUPNAME = "PC$_group"
    GROUPNAME=CStr(inputbox("Введите имя группы, включая префикс",,GROUPNAME))
     Set objSysInfo = CreateObject("ADSystemInfo")
     domain=cstr(objSysInfo.DomainShortName)
                     Set obj_group= getobject("WinNT://" & domain &"/"&GROUPNAME)
                     For Each pc in obj_group.members
                        p=cstr(pc.name)
                        pcname=Left(p,Len(p)-1)
                        make pcname
                    Next
                    Set obj_group= Nothing
                    HTML_Report
    'WScript.Echo "Смена пароля на рабочей станциях группы " +ucase(GROUPNAME)+" завершена."+en
                  
    Case 3
     
    PWD=CStr(inputbox("Введите новый пароль локального администратора",,PWD))
     
    PCNAME = "1230PC"
    PCNAME=CStr(inputbox("Введите имя рабочей станции",,PCNAME))
                     make pcname
    HTML_Report                  
    '   WScript.Echo "Смена пароля на рабочей станции " +ucase(pcname)+" завершена."+en+ _
                  
     
    End Select
     
     
    WScript.Echo "END"
     
    Function make(pcname)
        Set obj_user= getobject("WinNT://" & pcname)
                     obj_user.filter = Array("user")
                       For Each user in obj_user
                        user_name=cstr(user.Name)
                        t=t+user_name+Chr(13)+Chr(10)
                    Next
                    
                    ' Rename USER (*)Администратор(*) RUS*-->*LAT
                    If StrComp (UCase(user_name), UCase("Администратор"))=0 Then
                         Set obj_user2= getobject("WinNT://" & pcname&"/Администратор,User")
                         Set obj_user3= getobject("WinNT://" & pcname)
                         Set q=obj_user3.movehere(obj_user2.adspath,"Administrator")
                                          Set obj_user2 = Nothing
                                          Set obj_user3 = Nothing
                    ' Rename GROUP(*)Администраторы(*) RUS*-->*LAT                                      
                           Set obj_group2= getobject("WinNT://" & pcname&"/Администраторы,Group")
                           Set obj_group3= getobject("WinNT://" & pcname)
                           Set q=obj_group3.movehere(obj_group2.adspath,"Administrators")
                                          Set obj_group2 = Nothing
                                          Set obj_group3 = Nothing
                    End If
         
                        Set obj_user4= getobject("WinNT://" & pcname&"/Administrator,User")
                             Call obj_user4.setpassword(PWD)
                          Set obj_user4 = Nothing
                        
        Set obj_user = Nothing
        
        temp=temp+"<tr><td>"+cstr(i)+"</td><td>"+CStr(pcname)+"</td><td>"
        Set obj_group4= getobject("WinNT://" & pcname&"/Administrators,Group")
            For Each pc in obj_group4.members
                       temp=temp+CStr(pc.name)+"<br>"
            Next
               
                             If Len(CStr(pc.name))>0 Then
                             temp=temp+"</td>"
                             Else
                             temp=temp+"<b>OFFLINE</td>"
                             End If
          i=i+1
         Set obj_group4= Nothing    
    End Function  
     
    Sub HTML_Report
    Set FSO=CreateObject("Scripting.FileSystemObject")
    html_header="<Html><Title> Членство в локальной группе "+ group_anylize+" </Title><Body>"
    html_fooder="</Html>"
    table_header="<Center ><Table border=1 width=60%> "+ _
    "<tr><td width=50 align=center><b>№</td>"+_
    "<td width=300 align=center><b>Номер РС</td>"+_
    "<td width=300 align=center><b>Объект</td></tr>"
    table_fooder="</Table>"
    report="report"
    data=html_header+table_header+title_page+temp+table_fooder+html_fooder
        Set MyFile1 = fso.CreateTextFile("c:\"+report+".htm", True, TRUE)
        MyFile1.WriteLine(data)
        MyFile1.Close
     
         
    set oIE=CreateObject("InternetExplorer.Application")
    With oIE
        .Left=100
        .Top=100
        .Height=400
        .Width=800
        .MenuBar=0
        .Toolbar=0
        .Statusbar=0
        .Resizable=1
    End With
     
    oIE.Navigate "c:\"+report+".htm"
    oIE.Visible=1
    set oIE=Nothing
    End Sub

    Всего записей: 2711 | Зарегистр. 14-06-2006 | Отправлено: 11:59 27-09-2011 | Исправлено: anton04, 12:00 27-09-2011
    OOD

    Silver Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Подскажите пожалуйста как заблокировать языковую панель, чтобы там не было надписи отобразить языковую панель, чтобы её невозможно было перетянуть(а в последствии потерять за пределами рабочего стола)

    Всего записей: 3298 | Зарегистр. 20-05-2006 | Отправлено: 17:09 29-09-2011
    BVV63



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    OOD
    Похоже, никак. По крайней мере, в стандартном наборе политик этого нет.
    Можно было бы написать свой административный шаблон, но для этого нужно знать, что в реестре за это отвечает.
     
    Добавлено:
    В принципе, можно удалить сам элемент региональных настроек из панели управления. Такое решение устроит? Но решается для XP и Vista/7 разными методами, поэтому нужно знать, какие операционки и какие их языки (локализации).

    Всего записей: 3542 | Зарегистр. 17-08-2009 | Отправлено: 06:38 30-09-2011 | Исправлено: BVV63, 06:43 30-09-2011
    OOD

    Silver Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    BVV63
    Пунто свитчер не подойдет , нужно хотябы сделать не активным кнопку , "отобразить языковую панель"

    Всего записей: 3298 | Зарегистр. 20-05-2006 | Отправлено: 09:14 30-09-2011
    BVV63



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    OOD
    Не понял. Про какую кнопку идёт речь? Где находится кнопка "отобразить языковую панель"? В региональных настройках в панели управления или в "Punto Switcher"?

    Всего записей: 3542 | Зарегистр. 17-08-2009 | Отправлено: 09:49 30-09-2011
    OOD

    Silver Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Вот
    если пользователь нажимает отобразить языковую панель, потом она выноситься за пределы панели задач и её можно засунуть куда угодно, а в последствии потерять, не адекватному пользователю тяжело переключить язык нажать символ и проверить какой язык включен, ему нужно лицезреть какой язык включен на данный момент..... поэтому стоит задача запретить отделение языковой панели из панели задач...

    Всего записей: 3298 | Зарегистр. 20-05-2006 | Отправлено: 10:17 30-09-2011
    AQAQ



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    переползаю из 2003-го на 2008 потихоньку, одновременно обновляю хомяков с Хрюшки на семерку.Поимел почему-то на машинах с семеркой в домене (без домена все ок) каждый раз после ребута значок входящие клиентские подключения в сетевых адаптерах и переч0ркнутый знач0к сети.Абыдна, в чем м.б. трабла, никто не знает?Его убрать-то можно, но хотелось бы пофиксить, тут про яз панельку видел, у мну вроде похожий случай.

    Всего записей: 786 | Зарегистр. 16-01-2005 | Отправлено: 23:15 01-10-2011
    AQAQ



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    OOD
    Эт нужное дело, иногда ХП глючит и панель не включается галочкой "показать".

    Всего записей: 786 | Зарегистр. 16-01-2005 | Отправлено: 22:48 02-10-2011
    OOD

    Silver Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

    Цитата:
    Эт нужное дело

    надежда на знатоков реестра

    Всего записей: 3298 | Зарегистр. 20-05-2006 | Отправлено: 01:38 03-10-2011
    BVV63



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Коллеги, вопрос быть может ламерский, конечно...
    Где устанавливается срок бездействия доменной учётки? Я не про срок действия пароля. С некоторого времени стали звонить локальные админы и жаловаться, что когда пользователь выходит из отпуска, то ему выводится сообщение, что-то типа "срок бездействия учётки истёк, смените пароль", в то время как в свойствах доменной учётки стоит галочка, дающая паролю "бессмертие".
    Я решил было, что это как-то связано с недавним переездом на W28 R2, просмотрел ещё раз групповую политику, но ничего не нашёл.

    Всего записей: 3542 | Зарегистр. 17-08-2009 | Отправлено: 06:39 03-10-2011
    OOD

    Silver Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    BVV63
    отключайте учетную запись на момент ухода в отпуск сотрудника, отключать можно скриптом если видеться учет заработной платы каким либо по..

    Всего записей: 3298 | Зарегистр. 20-05-2006 | Отправлено: 08:59 03-10-2011
    BVV63



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    OOD
    Увы, у нас, доменных админов, нет информации, кто в отпуске, командировке и пр. И к заработной плате у нас доступа тоже нет.

    Всего записей: 3542 | Зарегистр. 17-08-2009 | Отправлено: 09:14 03-10-2011
    sony2001



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Windows Server 2008 R2, обновленная, лицензия, только установленная, не в домене, используется как сервер терминалов. При включении на сервере в политиках для не-администраторов политики "включить классическую оболочку" у юзеров изменяется интерфейс: вместо установленного по умолчанию открывать двойным щелчком, а выделять одним щелчком ставится открывать одним щелчком, выделять указателем. Правка веток реестра юзера Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState и IconUnderline ничего не дала, разве что удалось убрать подчеркивание при наведение на объект. Хотя в описании политики сказано обратное, что как раз при включении этой политики невозможно настроить что было открывать одним щелчком, выделять указателем. Естественно в интерфейсе пользователя вообще нету настроек параметров папок. Подскажите как сделать открытие двойным щелчком

    Всего записей: 229 | Зарегистр. 30-12-2004 | Отправлено: 13:07 06-10-2011
    AQAQ



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Вопрос в песочницу - было куча созданных ПУСТЫХ ОГП, я их поудалял.
    Имею в папке \\домен\SYSVOL\домен\Policies папки с живими ОГП ( смотрю по их GUIду)
    и папки, которых у меня уже нет.
    Бекапнул их, тупо удалил "ненужные" : )))
    Политика заругалась Вернул все обратно, покурил ман по ГП. Внимание, вопрос- если их удалить через остнастку АД - Домен\system\policies , так будет правильно?

    Всего записей: 786 | Зарегистр. 16-01-2005 | Отправлено: 09:58 10-10-2011 | Исправлено: AQAQ, 10:09 10-10-2011
    AQAQ



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    туда же
    До меня  был создан ОГП развертывания программ, и в том же ОГП еще куча всего , прокси- шмокси, все в куче.
    Я попытался как-то отредактировать объект, с целюю убрать\отключить  распостранение программы, тк она уже не нужна.
    Можно как-то это сделать?
    Не получаецца.

    Всего записей: 786 | Зарегистр. 16-01-2005 | Отправлено: 21:41 10-10-2011
    BVV63



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    AQAQ

    Цитата:
    если их удалить через остнастку АД - Домен\system\policies , так будет правильно?

    Наверно.

    Цитата:
    Не получаецца.

    Так удалите этот ОГП. Если какие-то проги ещё нужно ставить, запомните их, и, создав новый объект, укажите.

    Всего записей: 3542 | Зарегистр. 17-08-2009 | Отправлено: 06:22 11-10-2011
    AQAQ



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    BVV63
    да, только в этом объекте больше 60 параметров сразу,(Типа мы легких путей не ищем.) и не в программах дело - я себе уже создал новые объекты для развертываний, причем много и разных
    Я просто думал, что редактор легко правит все - хошь такой логон скрипт, а хошь не.
    А тут он оно как....
    Спасибо. что ж делать, буду удалять. а потом через полисиз : )

    Всего записей: 786 | Зарегистр. 16-01-2005 | Отправлено: 07:25 11-10-2011 | Исправлено: AQAQ, 07:28 11-10-2011
    Открыть новую тему     Написать ответ в эту тему

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Групповые политики (Group Policy, GPO): документация, ссылки

    Имя:
    Пароль:
    Сообщение

    Для вставки имени, кликните на нем.

    Опции сообщенияДобавить свою подпись
    Подписаться на получение ответов по e-mail
    Добавить тему в личные закладки
    Разрешить смайлики?
    Запретить коды


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.Board
    © Ru.Board 2000-2018

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru