Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Групповые политики (Group Policy, GPO): документация, ссылки

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123

Открыть новую тему     Написать ответ в эту тему

lynx



Advanced lynx
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Групповые политики (Group Policy)


  • Групповые политики Active Directory
  • Структура объекта групповой политик
  • http://www.gpanswers.com/  
  • Windows Server Group Policy Home

    См. также Общие вопросы по Active Directory (AD)

    FAQ

  • Не работают групповые политики
  • Безопасность
  • Восстановление политик
  • Групповые политики + Internet Explorer (IE)
  • Windows Vista & Windows Server 2008
  • Другие вопросы по групповым политикам

    Документация

  • Англоязычная:
  • Русскоязычная:


    Пост подготовлен: G14

  • Всего записей: 11712 | Зарегистр. 08-05-2001 | Отправлено: 19:33 13-12-2004 | Исправлено: Paromshick, 10:25 23-09-2016
    VitRom

    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    телепаты в отпуске. смену иконок чего?

    Всего записей: 2629 | Зарегистр. 18-06-2006 | Отправлено: 17:49 10-10-2012
    borin

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    Как запретить в групповых политиках смену иконок??

    может Вам нужно mandatory user profiles?

    Всего записей: 32 | Зарегистр. 27-03-2006 | Отправлено: 18:13 10-10-2012
    Skorohod12345



    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Чтобы запретить пользователю менять иконки на папки, ярлыки и т.д

    Всего записей: 184 | Зарегистр. 08-04-2011 | Отправлено: 18:51 10-10-2012
    cardinals



    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Добрый вечер,
    помогите пожалуйста разобраться с исключениями групповых политик.  
    Ситуация  
    Есть домен win 2003, в домене к пользователям применяется политика (внутри скрипт выполняемый при входе пользователя).
    Также существует ряд машин при входе пользователей на которые данная политика применяться не должна (например терминальные сервера).
    Вижу два варианта решения проблемы:  
    - WMI фильтрация (например по имени серверов или по версии ОС)
    - посредством правки разрешений на политики.
     
    Соответственно интересуют два вопроса:  
    - какой метод предпочтительнее ?  
    - как правильно раскидать права (если решать вторым вариантом) ?  
     

    Всего записей: 65 | Зарегистр. 28-12-2006 | Отправлено: 18:29 11-10-2012
    goldsmith

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Подскажите какой политикой задаётся, вынос сетевого ярлыка (\\comp1\shara) или (\\PC1) на рабочий стол всем доменным юзерам???
     

    Всего записей: 26 | Зарегистр. 03-06-2007 | Отправлено: 07:33 15-10-2012
    wwladimir



    Full Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    goldsmith
    Да пожалуйста... В 2008r2-
    Конфиг.пользователя-Настройка-Конфиг. Windows-Ярлыки. Там по правой кнопке- "создать"
     
    cardinals
    я думаю, "политически правильно" через замыкание групповой политики  - http://support.microsoft.com/kb/231287/ru
    или "погуглитте" сами  по  "loopback processing" .
     
    Но работают и WMI фильтры, типа такого  

    Код:
     
     select * from Win32_ComputerSystem where DomainRole > 2
     

     (или Caption Like "%server%")

    Всего записей: 491 | Зарегистр. 08-11-2006 | Отправлено: 08:26 15-10-2012 | Исправлено: wwladimir, 08:39 15-10-2012
    goldsmith

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    wwladimir
     
    Благодарю.

    Всего записей: 26 | Зарегистр. 03-06-2007 | Отправлено: 09:33 15-10-2012
    Raven_kg



    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Всем привет! Имею домен на базе samba4, в принципе все работает отлично, но! При попытке зайти на общий сетевой ресурс компьютера с английской виндой все работает отлично. Если попытаться зайти на комп с руссифицированной виндой вываливает сл.: "выбранный режим входа для данного пользователя на этом компьютере не предусмотрен"
     
    Модель совместного доступа - обычная, доступ к компьютеру из сети  - по дефолту (хотя пробовал добавить гостя и пользователей), Отказ в доступе из сети и отклонитьлокальный вход стоит только для пользователей-шаблонов, ограничение пустых паролей для терминального входа отключено, Переименование учеток админа и гостя выставлены в administrator и guest соответственно (пробовал и Администратор + Гость - эффекта 0).
     
    В чем еще может быть затык?

    Всего записей: 33 | Зарегистр. 09-12-2010 | Отправлено: 15:37 15-10-2012
    drsmoll



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Возможно ли в домене 2K3R2 сделать n доменных пользователей локальными админами ТОЛЬКО! на своих рабочих станциях. Про Restricted Groups в курсе, так и сделано, НО эти пользователи являются и админами на других компах OU где применен Restricted Groups. Заводить на каждого пользователя-админа (рабочую станцию) отдельный OU не выход.

    Всего записей: 248 | Зарегистр. 13-04-2006 | Отправлено: 12:01 19-10-2012 | Исправлено: drsmoll, 12:02 19-10-2012
    lypky



    Advanced Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Эм... Ну во первых это ерунда конечно. Админы локальные ))
    Но если нужно, то что мешает приконнектиться через консоль ммс в нужную машину и в группу локальных админов добавляете доменную учетку пользователя. Если сотрудников не больше нескольких десятков, то вроде бы это будет и не сильно сложно.

    Всего записей: 698 | Зарегистр. 19-10-2006 | Отправлено: 12:06 19-10-2012
    drsmoll



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    lypky -Это не бред: в группу скажем Локальные админы входят n- пользователей, к n рабочим станциям в OU применяется GPO Restricted Groups - Administrators:Локальные админы-. Получется что все n пользователей будут админами на каждом из компьютеров, что дает им право по сети обращаться с админ-шарам, а необходимо чтобы: n - админ на n, n+1 - админ на n+1 ....
    ЗЫ: через ммс - оффтопик

    Всего записей: 248 | Зарегистр. 13-04-2006 | Отправлено: 12:54 19-10-2012 | Исправлено: drsmoll, 12:58 19-10-2012
    wwladimir



    Full Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    drsmoll
    Через консоль ли, через политики ли, но Вам все-равно придется сначала поработать руками- сопоставить пользователя и машину, где он должен быть админом...
    Откуда ГПО возьмет данные, кто у Вас где админ? По какому признаку?
    А раз автоматики нет, то и смысла нет...
    Пишите скрипт типа  

    Код:
    '------------- Script Start -------------
    'specify account to create
    strAccount = "SUPERADMIN"
    strPswd = "123456"
    ' get local computer name  
    Set objNetwork = CreateObject("Wscript.Network")  
    strComputer = objNetwork.ComputerName  
    ' check if local account already exists  
    intExists = 0  
    Set colAccounts = GetObject("WinNT://" & strComputer & "")  
    colAccounts.Filter = Array("user")  
    For Each objUser In colAccounts      
    If objUser.Name = strAccount Then      
    intExists = 1    
    End If  
    Next  
    If intExists = 0 Then    
    ' create local user    
    Set colAccounts = GetObject("WinNT://" & strComputer & "")    
    Set objUser = colAccounts.Create("user", strAccount)    
    ' set pswd    
    objUser.SetPassword strPswd    
    objUser.SetInfo    
    ' set pswd never expires    
    Set objUser = GetObject("WinNT://" & strComputer & "/" & strAccount & ",User")    
    objUserFlags = objUser.Get("UserFlags")    
    objPasswordExpirationFlag = objUserFlags Or ADS_UF_DONT_EXPIRE_PASSWD    
    objUser.Put "userFlags", objPasswordExpirationFlag    
    objUser.SetInfo    
    ' add to local admins group    
    rem Set objGroup = GetObject("WinNT://" & strComputer & "/Administrators,group")  
    Set objGroup = GetObject("WinNT://" & strComputer & "/Администраторы,group")    
    Set objUser = GetObject("WinNT://" & strComputer & "/" & strAccount & ",user")  
    objGroup.Add(objUser.ADsPath)  
    End If  

    Меняйте имя пользователя и пароль (по числу машин и пользователей) , применяйте к нужному ОУ и вперед.

    Всего записей: 491 | Зарегистр. 08-11-2006 | Отправлено: 14:06 19-10-2012 | Исправлено: wwladimir, 14:10 19-10-2012
    drsmoll



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    можно создать для каждого компа отдельный OU  и применить к каждому свой GPO.
    Или как вариант в один OU применить n GPO где в Restricted Groups будет Administrators:domain\user_local_admin  и фильтровать их через WMI для компьютеров.
    ЗЫ: хотелось чтобы "нажал и заработало"

    Всего записей: 248 | Зарегистр. 13-04-2006 | Отправлено: 15:14 19-10-2012
    cardinals



    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    drsmoll
    Могу предложить еще один вариант  
    Каждый ПК в домене имеет аттрибут "Managed by"
    туда внести юзверей - админов (так закрепишь админов за ПК)
    а дальше одна политика на OU  
    в политике скрипт который отрабатывает при старте ПК, лезет в AD, выясняет реквизиты админа на указанном ПК и вносит его в соотв.группу
    Как то так ....
     
    Что думаете ?

    Всего записей: 65 | Зарегистр. 28-12-2006 | Отправлено: 16:49 19-10-2012
    ForposT_ForeveR



    Full Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Здравствуйте.
    Пытаюсь создать "главное меню" в групповой политике, одна ничего не создается.
    Нажимаю кнопку "Создать меню Пуск" однако никаких изменений не происходит.
    Причем при создании меню Пуск для Vista и выше, также никаких телодвижений.
     
    Second question.
     
    Добавляю также элемент реестра в "конфигурация Windows" -- "Реестр".
    Затем в свойствах элемента делаю назначение на пользователя.
    Пробовал не делать назначения, выбирал тип "создать", "обновить", "Заменить", ничего не помогает.
    Необходимо создать, т.е. данного элемента в реестре нет...надеюсь пока нет  
     
    Сервер MS Windows Server 2012 RU
    Клиент XP Professional SP 3 RU
    Групповые политики из Административных шаблонов применяются (запретить доступ к диску ц и т.д.)
     
     
    UPD.
    Прочитал, что для ХР надо устанавливать дополнительный Etension Pack для групповой политики. Однако, такой пак нашел только для сервера 2008, а для 2012 - нет. Если надо его ставить - ткните, пожалуйста, на ссылку для скачивания пака для 2012 сервера.

    Всего записей: 503 | Зарегистр. 11-12-2004 | Отправлено: 01:44 25-10-2012 | Исправлено: ForposT_ForeveR, 03:26 25-10-2012
    cardinals



    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    Прочитал, что для ХР надо устанавливать дополнительный Etension Pack для групповой политики.  

     
    А можно ссылку на Пак для сервера 2008 (что то впервые слышу). Заранее благодарен.

    Всего записей: 65 | Зарегистр. 28-12-2006 | Отправлено: 18:53 25-10-2012
    ForposT_ForeveR



    Full Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    cardinals
     
    Не сочтите за рекламу
     
    Group Policy Preference Client Side Extensions for Windows XP

     
    P.S.
    Правда так и не удалось скачать файл. Если у кого-то получится русскоязычный пак скачать - перезалейте куда-то. Спасибо.

    Всего записей: 503 | Зарегистр. 11-12-2004 | Отправлено: 22:42 25-10-2012 | Исправлено: ForposT_ForeveR, 22:53 25-10-2012
    anton04



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    ForposT_ForeveR
     

    Цитата:
    Правда так и не удалось скачать файл. Если у кого-то получится русскоязычный пак скачать - перезалейте куда-то.

     
    KB943729-RUS

    Всего записей: 2719 | Зарегистр. 14-06-2006 | Отправлено: 14:03 26-10-2012
    BJ78



    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Люди добрые, помогите ламеру.  
    Решил побороть проблему, которая давно меня тезрала. Досталась мне AD от прошлого админа, с настроенными GPO, и теперь я в них плутаю как слепой, ибо опыта не много.  
    Ситуация:
    В домене множество пользователей и ОУ, по которым разбиты эти пользователи.  
    Помимо этого, есть еще ОУ для компьютеров, соответственно и там и там развешены политики, в ОУ для пользователей соответсвенно политики на пользователей, в ОУ компьютеров, политика для компьютеров.  
    Так вот политика для компьютеров, запрещает пользователям сохранять и редактировать данные на рабочем столе, а мне очень бы хотелось политиками раскладывать им ярлычки на рабочие столы, класть паопочки и файлики на диск С, ну и так далее. Сейчас это сделать невозможно, так как мешается политика с запретом записи на компах. И непонятно как быть. В настоящий момент выхожу из ситуации скриптом на автоите, выполняющимся от имени учетки с необходимыми правами, но это костыли. Как обойти запрет на запись, распространяющийся на машины, но при этом чтобы политика работала под пользователем и была привязана только к нему? И самое главное, чтобы после того как все скопируется, пользователь так и не мог ничего записать и отредактирвоать на рабочем столе. Вот такая вот проблема, уже давно с ней мучаюсь.

    Всего записей: 56 | Зарегистр. 22-06-2011 | Отправлено: 17:52 29-10-2012
    Zethexx

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Парни, подскажите, как сохранить и импортировать все настройки групповой политики, чтобы не возиться больше с настройками, когда устанавливаешь систему на другой компьютер или переустанавливаешь собственную?

    Всего записей: 49 | Зарегистр. 24-07-2011 | Отправлено: 18:48 31-10-2012
    Открыть новую тему     Написать ответ в эту тему

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Групповые политики (Group Policy, GPO): документация, ссылки

    Имя:
    Пароль:
    Сообщение

    Для вставки имени, кликните на нем.

    Опции сообщенияДобавить свою подпись
    Подписаться на получение ответов по e-mail
    Добавить тему в личные закладки
    Разрешить смайлики?
    Запретить коды


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.Board
    © Ru.Board 2000-2018

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru