#
Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Групповые политики (Group Policy, GPO): документация, ссылки

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123

Открыть новую тему     Написать ответ в эту тему

lynx



Advanced lynx
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Групповые политики (Group Policy)


  • Групповые политики Active Directory
  • Структура объекта групповой политик
  • http://www.gpanswers.com/  
  • Windows Server Group Policy Home

    См. также Общие вопросы по Active Directory (AD)

    FAQ

  • Не работают групповые политики
  • Безопасность
  • Восстановление политик
  • Групповые политики + Internet Explorer (IE)
  • Windows Vista & Windows Server 2008
  • Другие вопросы по групповым политикам

    Документация

  • Англоязычная:
  • Русскоязычная:


    Пост подготовлен: G14

  • Всего записей: 11712 | Зарегистр. 08-05-2001 | Отправлено: 19:33 13-12-2004 | Исправлено: Paromshick, 10:25 23-09-2016
    anton04



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Zethexx
     

    Цитата:
    как сохранить и импортировать все настройки групповой политики,

     
    Через правую кнопку мыши в консоли GPO
     

    Цитата:
    чтобы не возиться больше с настройками, когда устанавливаешь систему на другой компьютер или переустанавливаешь собственную?

     
    Интересно, а при чём здесь тогда GPO!? Ведь вы имеете в виду отдельный ПК, а он хранит только локальную GP, а не политику домена.

    Всего записей: 2737 | Зарегистр. 14-06-2006 | Отправлено: 12:11 01-11-2012
    Zethexx

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    anton04, дело в том, что я настраиваю компьютер не с помощью всяко-разных модных твикеров, а  с помощью редактора локальной политики. на полную настройку компьютера у меня уходит два-три часа, и мне не хотелось бы снова тратить время на настройки в случае, если придется переустанавливать систему или устанавливать ее на новую машину. можно ли сохранить эти настройки, чтобы вручную больше не настраивать?

    Всего записей: 49 | Зарегистр. 24-07-2011 | Отправлено: 23:26 01-11-2012
    anton04



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Zethexx
     

    Цитата:
    а  с помощью редактора локальной политики.

     
    нда... тяжёлый случай... поднимите глаза вверх и прочтите название темы? Прочитали? А теперь объясните как Ваш вопрос относится к групповым политикам?
    Ну это так чтоб задумались немного.
     

    Цитата:
    можно ли сохранить эти настройки, чтобы вручную больше не настраивать?

    Можно, всё что вы настраиваете в редакторе локальных политик хранится в реестре всего лишь в двух ветках HKLM и HKCU.
     

    Цитата:
     на полную настройку компьютера у меня уходит два-три часа, и мне не хотелось бы снова тратить время на настройки в случае, если придется переустанавливать систему или устанавливать ее на новую машину.

     
    По моему вы или ошиблись разделом или неверно решаете задачу. Т.к. всё вышеописанное решается (в случае наличия сети ПК и хоть одного сервера) посредством GPO и AD. И тратится на это те же самые два три часа, но один раз на все текущие и будущие ПК. Как говорится почувствуйте разницу.

    Всего записей: 2737 | Зарегистр. 14-06-2006 | Отправлено: 11:04 02-11-2012
    borin

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Zethexx,

    Цитата:
    дело в том, что я настраиваю компьютер не с помощью всяко-разных модных твикеров, а  с помощью редактора локальной политики. на полную настройку компьютера у меня уходит два-три часа, и мне не хотелось бы снова тратить время на настройки в случае, если придется переустанавливать систему или устанавливать ее на новую машину. можно ли сохранить эти настройки, чтобы вручную больше не настраивать?

     
     
    После получения групповых политик на клиентской машине они сохраняются в реестре винды в следующих местах (приведены основные ветки):
     
    Политики для компа:
     
        HKEY_LOCAL_MACHINE\Software\Microsoft \Windows\CurrentVersion\Policies\
        HKEY_LOCAL_MACHINE\Software\Policies\
     
    Политики для пользователей:
     
        HKEY_CURENT_USER\Software\Microsoft\ Windows\CurrentVersion\Policies\
        HKEY_CURENT_USER\Software\Policies\
     
    Дальше догадаетесь, что делать?

    Всего записей: 32 | Зарегистр. 27-03-2006 | Отправлено: 12:59 02-11-2012
    Zethexx

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    anton04, borin, ну ошибся с разделом, ну с кем не бывает, спасибо за пояснения.

    Всего записей: 49 | Зарегистр. 24-07-2011 | Отправлено: 22:10 02-11-2012
    batmanblood

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Не могу через политики отключить "Автоматический поиск сетевых папок и принтеров".
     

    Цитата:
    NoNetCrawling.adm
     
    Код:
     
    CLASS USER; этот код изменяет раздел реестра HKEY_CURRENT_USER
    ; следующая команда создает узел, называемый «CUSTOM»
    ; в конфигурациях пользователя
    CATEGORY !!categoryname
     
    ; следующая команда определяет имя политики
    ; с помощью переменной «policyname»
      POLICY !!policyname
     
    ; следующая команда определяет раздел реестра, который нужно изменить
           KEYNAME "Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced"
     
    ; следующая команда определяет текст на вкладке «Объяснение»
           EXPLAIN !!explaintext
     
    ; следующая инструкция определяет раздел реестра, который нужно изменить
           VALUENAME "NoNetCrawling"
            VALUEON  NUMERIC 1
            VALUEOFF NUMERIC 0
       END POLICY
    END CATEGORY
     
    ; следующий раздел строки назначает строки символов
    ; для различных имен, указанных в предыдущем разделе
    [strings]
    categoryname="CUSTOM"
    policyname="Отключить автоматический поиск папок и принтеров"
    explaintext="Эта политика отключает автоматический поиск папок и принтеров"
     

     
    По инструкции MICROSOFT:
    Запустите редактор объектов групповой политики.
    Щелкните правой кнопкой мыши элемент Административные шаблоны и выберите команду Добавление и удаление шаблонов.
     
    Примечание. Административные шаблоны доступны в узлах Конфигурация компьютера или Конфигурация пользователя. Выберите правильную конфигурацию для своего специального шаблона.
    Нажмите кнопку Добавить.
    Выберите файл ADM и нажмите кнопку Открыть.
    Нажмите кнопку Закрыть.
     
    В административных шаблонах пользователя появился пустой раздел CUSTOM, закрыл редактирование политики, gpupdate.
    Перегрузил клиентский комп и зашел под пользователем на которого применена политика, но ничего не изменилось.
    Что не так сделал?

    Всего записей: 8 | Зарегистр. 08-07-2009 | Отправлено: 12:36 14-11-2012
    BVV63



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    batmanblood

    Цитата:
    В административных шаблонах пользователя появился пустой раздел CUSTOM

    В том то и дело, что он пустой. Вы не включили политику.
    Вызовити контекстное меню на административных шаблонах, пункт "View" -> "Filtering", отключите нижнюю опцию "Only show policy settings that can be fully management". Внутри раздела "Custom" должна появиться политика "Отключить автоматический поиск папок и принтеров", которую и нужно включить.

    Всего записей: 3542 | Зарегистр. 17-08-2009 | Отправлено: 12:59 14-11-2012
    batmanblood

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    BVV63
    Спасибо Вам!!!

    Всего записей: 8 | Зарегистр. 08-07-2009 | Отправлено: 13:15 16-11-2012
    YURETS777



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Ситуация такая на Win7 SP1 в домене не работают Групповые политики, - причина не запускается служба gpsvc (типа нет прав)
    Как это дело исправить ?
     
     
     
    d:\>gpresult /V
    ОШИБКА: Отказано в доступе.
     
     
    Root Key:      System
    Computer Name: COMP1.mydomain.ru
    User Name:     N/A
    Event Type:    Error
    Source:        Service Control Manager
     
    Event ID:      7000
    Event Category:0
    Record Number: 54327
    Date:          16.11.2012
    Time:          16:50:44
     
     
    Description:
    Сбой при запуске службы "Клиент групповой политики" из-за ошибки  
    %%1053  
     

    Всего записей: 2141 | Зарегистр. 29-04-2005 | Отправлено: 17:34 16-11-2012
    lypky



    Advanced Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Ребят, добрый день. Ткните носом пожалуйста в детальное описания следующего мероприятия.  
     
    Есть сеть где много компьютеров. Домен 2008 r2
     
    Рабочие станции Win7pro. Все в домене, все хорошо работает.  
    Но на станция в перемешку есть разные локальные админы, которые называются как попало и пароль к которым давно утерян/забыт.
     
    Как правильно построить GPO чтобы:
     
    1. удалить всех локальных админов. (и удалять впредь)
     
    2. Кроме 1 конкретно заданного (переименованного локального встроенного администратора) с конкретным паролем?
     
    3. Вдобавок когда я пытаюсь сделать следующую политику, компьютер меня пугает следующим:
     
       
     
    Что я делаю не так?
     
    Спасибо.

    Всего записей: 698 | Зарегистр. 19-10-2006 | Отправлено: 15:14 23-11-2012
    BVV63



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    lypky
    Насчёт пароля - не знаю, не сталкивался с подобным предупреждением. Не знаю, с чем это связано.
    Насчёт локальных админов.

    Цитата:
     удалить всех локальных админов. (и удалять впредь)

    Можно придумать несколько вариантов. Но, полагаю, наиболее правильным будет использование политики "Restricted Groups": "Computer Configuration" -> "Windows Settings" -> "Security Settings" -> "Restricted Groups". Создайте группы "Administrators" (если есть англоязычные системы) плюс "Администраторы" (если есть русскоязычные). Если ещё какие локализации имеются, соответственно, добавить и их. Группы, при Вашем требовании, должны быть пустыми. В общем-то всё.
     
    А почему в группу локальных админов не хотите пускать доменных админов?
     
    Несколько сложнее, если группы переименованы. Тогда предварительно скриптом придётся их переименовывать, чтобы было одно имя. Кстати, то что данная политика не понимает SID-ов, по-моему, явный минус. Так бы привязки к именам не было б.

    Всего записей: 3542 | Зарегистр. 17-08-2009 | Отправлено: 07:53 27-11-2012 | Исправлено: BVV63, 08:03 27-11-2012
    lypky



    Advanced Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    BVV63
    Спасибо за внимание. Немного пока не понял что значит рестриктед групс.
     
    и еще - почему это я не хочу пускать доменных админов в группу локальных админов? Хочу. Это же по умолчанию так, да?
     
    А вообще я хочу разобраться с бардаком. В сети где скажем 100 компьютеров на десятке из них есть админ, admin, вася, user1 и т.д. на некоторых стоят пароли, на некоторых нет. И некоторые из этих учетных записей (не все) входят в группу локальных админов. И получается что сотрудник если у него есть хоть чуть чуть ума и фантазии может воспользоваться этой учетной записью для установки левого софта и т.д. Да и вообще не порядок.
     
    Я хочу что бы на любом компьютере, который я подключаю в домен, АВТОМАТИЧЕСКИ удалялись ВСЕ локальный учетные записи (не важно, админ это или юзер, ну кроме встроенных), а встроенная запись локального админа переименовывалась в нужное мне имя и на нее задавался известный мне пароль.
     
    Потому что чую я что мне вручную придется удалять все левые локальные учетные записи.

    Всего записей: 698 | Зарегистр. 19-10-2006 | Отправлено: 08:06 27-11-2012
    BVV63



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    lypky

    Цитата:
    Немного пока не понял что значит рестриктед групс.

    Да тут ничего хитрого. В оговорённых группах останутся только те, кто указан в политике. Все остальные учётки удалятся. Т. е. именно то, что Вам нужно.

    Цитата:
    и еще - почему это я не хочу пускать доменных админов в группу локальных админов? Хочу. Это же по умолчанию так, да?

    Ну, я так понял из начальной постановки вопроса. Что ж, тогда нужно это прописать в политике; например, добавить в группы локальных администраторов запись <Domain>\Domain Admins.

    Цитата:
    а встроенная запись локального админа переименовывалась в нужное мне имя и на нее задавался известный мне пароль.

    А это уже придётся скриптом как-то делать. Сейчас прикину, как можно его слепить.
     
    Добавлено:
    Нет, тут помочь не смогу: переименовать не проблема, но не знаю как батником сменить пароль. А других языков не знаю.
    Либо вручную, либо может кто другой подскажет.

    Всего записей: 3542 | Зарегистр. 17-08-2009 | Отправлено: 08:39 27-11-2012 | Исправлено: BVV63, 08:39 27-11-2012
    Arsenno

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Доброго времени суток. Искал тему про политики так и не нашел. Извините если пишу не туда.
    Поставил себе на Vmware сервер с 2003 виндой R2 создал домен добавил ДНС, ДХЦП, АД.  
    Поставил на еще одну виртуалку ХР ввел в домен все нормально.  
    Поставил gpmc.msc чтобы изучить политики. Пока столкунлся с двумя проблемами, не могу разрешить обычному пользователю на раб. станции менять системное время (знаю что нежелательно, но нужно). Просмотрел Default domain policy в gpmc в конфигурации компьютера есть политика изменения системного времени, добавлял туда и компьютер и польователя, результата нет, при попытке сменить время пишет что недостаточно прав. Также ставил значения политики из вкладки администрирование в политике безопасности домена, тоже ничего. в политике безопасности КОНТРОЛЕРА домена прописаны значения по умолчанию для этой политики, т.е. LOCAL SERVICE, Администраторы, Операторы сервера. Также добавлял пользователя и компьютер, ничего. Добавлял пользователя в группу администраторов, тоже ничего. Создал отдельное подразделение в users&computers, в gpmc создал новый GPO в нем прописал и добавил пользователя и компьютер, ничего.  
    Подскажите что я делаю не так?
    И вторая неясность с которой я столкнулся настройка IE в ветке конфигурация пользователя, админ. шаблоны, компоненты windows, IE. Есть такая политика Отключить изменение параметров домашней страницы, по идее должно быть, если ставить политику в положение включен, то предлагается прописать адрес страницы, но у меня просто три параметра без возможности прописать страницу. Как исправить?
    Заранее благодарен!

    Всего записей: 88 | Зарегистр. 24-07-2012 | Отправлено: 16:20 28-11-2012
    lypky



    Advanced Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Arsenno
    Дело в том что в домене запрещено менять системное время. На времени основана авторизация пользователя (тикеты подлинности и т.д.). Поэтому если время расходится более чем на 5 минут - начинаются всякие необъяснимые глюки и т.д.

    Всего записей: 698 | Зарегистр. 19-10-2006 | Отправлено: 04:12 29-11-2012
    Arsenno

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    lypky
    Администратор же может менять его на машинах.
    Разве нельзя дать это право пользователям?
    Заранее благодарен!

    Всего записей: 88 | Зарегистр. 24-07-2012 | Отправлено: 12:20 29-11-2012 | Исправлено: Arsenno, 12:20 29-11-2012
    anton04



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    BVV63
     

    Цитата:
     но не знаю как батником сменить пароль.

     
    net user "имя пользователя" "пароль"

    Всего записей: 2737 | Зарегистр. 14-06-2006 | Отправлено: 12:22 29-11-2012
    borin

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Arsenno

    Цитата:
    Администратор же может менять его на машинах.
    Разве нельзя дать это право пользователям?  

     
    Можно, но Вам же написали, чем это чревато.  
    У меня во всех доменах время могут менять только админы и никому это никогда не машало. Главное время правильное настроить

    Всего записей: 32 | Зарегистр. 27-03-2006 | Отправлено: 14:23 29-11-2012
    Fiskal



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Подскажите, можно ли политиками запретить пользователю менять свойства RDP соединения?
    Несколько сотрудников получают интернет с использованием rdp сессии на удаленный компьютер, надо отключить им возможность копирования файлов оттуда с использованием drag n drop.
    домен на w2003, очень скоро будет 2008, рабочие станции win7 prof.
    http://s1.ipicture.ru/uploads/20121130/s13g2atN.jpg
    UPD. нашел в свойствах изменения перенаправления буфера обмена.

    Всего записей: 1149 | Зарегистр. 09-08-2009 | Отправлено: 10:44 30-11-2012 | Исправлено: Fiskal, 11:48 30-11-2012
    borin

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Fiskal

    Цитата:
    Подскажите, можно ли политиками запретить пользователю менять свойства RDP соединения?  

    Думаю, файловые права Вам в помощь. Правда ничто не помешает пользователю пересоздать соединение по образцу, но это уже Вам решать, насколько продвинутые они у Вас
     

    Всего записей: 32 | Зарегистр. 27-03-2006 | Отправлено: 12:43 30-11-2012
    Открыть новую тему     Написать ответ в эту тему

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Групповые политики (Group Policy, GPO): документация, ссылки

    Имя:
    Пароль:
    Сообщение

    Для вставки имени, кликните на нем.

    Опции сообщенияДобавить свою подпись
    Подписаться на получение ответов по e-mail
    Добавить тему в личные закладки
    Разрешить смайлики?
    Запретить коды


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.Board
    © Ru.Board 2000-2020

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru

    Рейтинг.ru