#
Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Групповые политики (Group Policy, GPO): документация, ссылки

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123

Открыть новую тему     Написать ответ в эту тему

lynx



Advanced lynx
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Групповые политики (Group Policy)


  • Групповые политики Active Directory
  • Структура объекта групповой политик
  • http://www.gpanswers.com/  
  • Windows Server Group Policy Home

    См. также Общие вопросы по Active Directory (AD)

    FAQ

  • Не работают групповые политики
  • Безопасность
  • Восстановление политик
  • Групповые политики + Internet Explorer (IE)
  • Windows Vista & Windows Server 2008
  • Другие вопросы по групповым политикам

    Документация

  • Англоязычная:
  • Русскоязычная:


    Пост подготовлен: G14

  • Всего записей: 11712 | Зарегистр. 08-05-2001 | Отправлено: 19:33 13-12-2004 | Исправлено: Paromshick, 10:25 23-09-2016
    MrPhil

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    anton04

    Цитата:
    У Вас не верное понятие ситу вопроса. Пользователи сами не должны давать какому либо софту какие либо привилегии и т.п.  
    Это вы должны дать привилегии на запись в конкретную папку на конкретном ПК конкретному пользователю. А делается это всё посредством скрипта vbs или cmd.  
    Если cmd то юзайте Microsoft`овскую утилиту subinacl.exe.

     
    Вы меня правильно поняли) Я это и имел в виду, что программа требует, чтобы у пользователя были права на изменение в определенной папке. По кривому описал ситуацию
    Спасибо за вариант со скриптом, но порой задачи и софт бывает таким разнообразным, что под каждую программу писать скрипт займет слишком много времени. На данный момент мне гораздо проще дать техподдерже права изменять доступ к папкам на компьютерах пользователей.  
     
    drsmoll

    Цитата:
    Почему же нету, есть: /Конфигурация Windows/Параметры безопастности/Файловая система

     
    А созданную политику положить в контейнер с компьютерами или с нужными мне учетками?

    Всего записей: 15 | Зарегистр. 26-12-2011 | Отправлено: 13:16 14-03-2013
    drsmoll



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    с компьютерами

    Всего записей: 250 | Зарегистр. 13-04-2006 | Отправлено: 14:46 14-03-2013
    MrPhil

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    drsmoll
    Спасибо! Все отработало на УРА!!!

    Всего записей: 15 | Зарегистр. 26-12-2011 | Отправлено: 19:30 14-03-2013
    DennisMC

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    есть куча тонких клиентов
    сервер 2003 R2
    хочу назначать принтер по умолчанию через групповую политику
    принтера все локальные для сервера их штук 6
    для каждого отдела(группы свой)
    есть проблема, что они сбиваются при заходе в систему, поэтому хочу таким образом их привязать.
    развертывание принтера и установка по умолчанию это вроде только для сетевых,
    не помогает для локальных.

    Всего записей: 7 | Зарегистр. 03-07-2006 | Отправлено: 08:00 20-03-2013
    DennisMC

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    разобрался, причина была в скрипте при запуске пользователя
     
    который запускал принудительный импорт реестра такого вида:
    Windows Registry Editor Version 5.00
     
    [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    "Device"=""

    Всего записей: 7 | Зарегистр. 03-07-2006 | Отправлено: 04:54 21-03-2013
    Sharfurer

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Не применяются групповые политики XP SP3
     
    Точнее  не все. Иногда применяются, иногда нет и ничего не помогает. Машины чистые, со свежепоставленной виндой. Иногда помогают всякие шаманства типа сброса кэша ДНС, или ARP-таблицы.  
       
     НО! Компы с 7-й на том же сетевом оборудовании, ловят политики сразу. В чём может быть проблема, выкладываю характерный лог:  
     gpupdate /force — не помогает  
       
     Контроллер домена на Win2008r2  
       
     ****  
     Не удалось установить приложение Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022 из политики Preinstall - Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022. Ошибка: Ресурс с установочными файлами для этого продукта недоступен. Проверьте существование ресурса и  доступ к нему.  
     ****  
       
     И так далее, при этом срабатывает всё раза с третьего, после шаманств типа обнуления ARP-кэша. Очистки DNS-кэша, прописывания DNS-суффикса  и т.п. На 7-ке, повторюсь, всё нормально.  
     

    Всего записей: 10 | Зарегистр. 20-10-2008 | Отправлено: 18:38 02-04-2013
    Alukardd



    Gold Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Sharfurer
    У Вас одна машина с XP и одна с Seven? Или картина систематична на машинах с одинаковой ОСью?
    Настройки по DHCP получаете на клиентах и там и там?

    ----------
    Microsoft gives you windows, linuх gives you the whole house...
    I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it.

    Всего записей: 6297 | Зарегистр. 28-08-2008 | Отправлено: 21:33 02-04-2013
    Sharfurer

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Систематически на всех машинах со свеженак4аченной ХР. На 7-х всё ОК. DHCP с привязкой по МАС.

    Всего записей: 10 | Зарегистр. 20-10-2008 | Отправлено: 16:15 03-04-2013
    VitRom

    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    м.б. ip4-ip6 порядок привязки

    Всего записей: 2662 | Зарегистр. 18-06-2006 | Отправлено: 16:35 03-04-2013
    Sharfurer

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    ВсмыслЕ?

    Всего записей: 10 | Зарегистр. 20-10-2008 | Отправлено: 17:03 03-04-2013
    VitRom

    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    в смысле "windows network protocol binding order" или "windows порядок привязки протоколов"

    Всего записей: 2662 | Зарегистр. 18-06-2006 | Отправлено: 17:52 03-04-2013
    MAGNet



    Advanced Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

    Цитата:
    Не применяются групповые политики XP SP3  

    Ох как вы все уже..
    Пора это сделать притчей воязыцех и прописать в шапке несколько простых правил.
     
    Для того, чтобы успешно применялись политики для компьютера под управлением XP необходимо выполнить два условия:
    * в групповых политиках для компьютеров включить политику "ждать сеть при запуске";
    * установить fix от мелкомягких, который не дает гигабитной карте рапортовать о старте раньше, чем она это сделала.
     
    http://support.microsoft.com/kb/326152 - читаем до полного просветления!
    далее идем по ссылке с этой страницы - вот сюда http://support.microsoft.com/kb/239924 - продолжаем впитывать "разумное/доброе/светлое" в разумных пределах (один экран) и скачиваем fix по приведенной ссылке.
     
    запускаем, релаксируем, наслаждаемся.
     
    зы
    побочные эффекты: время загрузки компьютера может значительно увеличиться, так же как и время входа пользователя в систему
     
    Добавлено:
    Alukardd
    VitRom
    не засирайте засоряйте эфир.
    ваши, без сомнения, гениальные мысли нужны в другом месте.
     
    Добавлено:
    DennisMC
    не очень понятно про сетевые/локальные..
    "для сервера их штук 6" - это как? все 6 стоят в серверной и локально к нему подключены?!
    если это сетевые принтеры, то другой разговор..
     
    более подробно опиши ситуацию на примере одного сервера, одного принтера и одного/двух клиентов (два, если принтер подключен к клиенту)
     
    иначе разговор невозможен. это система с N уравнений и N-1 переменных

    Всего записей: 1952 | Зарегистр. 31-03-2004 | Отправлено: 18:13 03-04-2013
    Sharfurer

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    Ох как вы все уже..  Пора это сделать притчей воязыцех и прописать в шапке несколько простых правил.    Для того, чтобы успешно применялись политики для компьютера под управлением XP необходимо выполнить два условия:  * в групповых политиках для компьютеров включить политику "ждать сеть при запуске";  * установить fix от мелкомягких, который не дает гигабитной карте рапортовать о старте раньше, чем она это сделала.    http://support.microsoft.com/kb/326152 - читаем до полного просветления!  далее идем по ссылке с этой страницы - вот сюда http://support.microsoft.com/kb/239924 - продолжаем впитывать "разумное/доброе/светлое" в разумных пределах (один экран) и скачиваем fix по приведенной ссылке.    запускаем, релаксируем, наслаждаемся.    зы  побочные эффекты: время загрузки компьютера может значительно увеличиться, так же как и время входа пользователя в систему

     
    Спасибо за материал. FixIT непомогает, помогает выставить в настройках адаптера 100 м/б полудуплекс (сетка у нас 100 мегабитная) после второго gpupdate /force — всё накатывается/

    Всего записей: 10 | Зарегистр. 20-10-2008 | Отправлено: 18:18 03-05-2013
    VitRom

    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    помогает выставить в настройках адаптера 100 м/б полудуплекс (сетка у нас 100 мегабитная) говённая слишком быстрые компы
    ЗЫ. перекладывать и пережимать пока ping -t -l 1460 <my_server> не заработает
     
    Добавлено:
    All,
    поделитесь плз шаблоном политик для ХР/2003, в котором задаётся перенаправление пользовательских каталогов (МоиДоки и т.п.).

    помог самодельный шаблон из 2-го поста в ветке "Group Policy: Folder Redirection на WinXP Pro" из шапки

    Всего записей: 2662 | Зарегистр. 18-06-2006 | Отправлено: 12:18 04-05-2013 | Исправлено: VitRom, 12:35 08-05-2013
    Sharfurer

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    ЗЫ. перекладывать и пережимать пока ping -t -l 1460 <my_server> не заработает

     
    <hr>
    D:\dima\ProcessExplorer>ping -t -l 1460 192.168.0.30
     
    Обмен пакетами с 192.168.0.30 по с 1460 байтами данных:
    Ответ от 192.168.0.30: число байт=1460 время<1мс TTL=128
    Ответ от 192.168.0.30: число байт=1460 время<1мс TTL=128
    Ответ от 192.168.0.30: число байт=1460 время<1мс TTL=128
    Ответ от 192.168.0.30: число байт=1460 время<1мс TTL=128
    Ответ от 192.168.0.30: число байт=1460 время<1мс TTL=128
    Ответ от 192.168.0.30: число байт=1460 время<1мс TTL=128
    Ответ от 192.168.0.30: число байт=1460 время<1мс TTL=128
    Ответ от 192.168.0.30: число байт=1460 время<1мс TTL=128
    Ответ от 192.168.0.30: число байт=1460 время<1мс TTL=128
    <hr>
     
    Работает. Проблема в  
     
    Состояние подключения меняется в процессе инициализации драйвера сетевого адаптера (сетевая интерфейсная плата, NIC) и согласования подключения с инфраструктурой сети. Поскольку стек групповой политики выполняется до завершения согласования, происходит сбой из-за отсутствия действительного подключения.
    http://support.microsoft.com/kb/326152
     
     
    Можно ещё попробовать службе клиент групповых политик поставить «отложенный атозапуск»

    Всего записей: 10 | Зарегистр. 20-10-2008 | Отправлено: 13:27 04-05-2013
    moonrise



    Advanced Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Доброго времени суток, уважаемые.
    имеется маленький доменчик на 2008 R2
    долго ли коротко ли, но возникла задача, за которую я не брался лет 7
    а именно - настроить заставить компьютеры по списку выполнять некие действия по скрипту.и вот что-то не сильно у меня это получается
     
    это все преамбула, а вот собственно сама амбула:
    1. Захожу в AD и добавляю новый объект групповой политики. называю его: ТЕСТ Выключение компьютеров по расписанию (Win_7)
    2. Правой кнопкой мыши на нем, Изменить.
    3. Конфигурация Компьютера -> Политики - > Конфигурация Windows -> Сценарии -> Автозагрузка -> Сценарии -> Добавить -> Обзор: GPO_shutdown.bat
    4. По нажатию на обзор создаю там этот самый GPO_shutdown.bat следующего содержания:
    Код:
    schtasks /delete /tn "GPO_shutdown_18_55" /f
    schtasks /create /tn "GPO_shutdown_18_55" /tr "\\domainname.local\NETLOGON\Scripts\shutdown\shutdown.js" /sc DAILY /st 18:55:00
    schtasks /delete /tn "GPO_shutdown_23_55" /f
    schtasks /create /tn "GPO_shutdown_23_55" /tr "\\domainname.local\NETLOGON\Scripts\shutdown\shutdown.js" /sc DAILY /st 23:55:00

    5. В фильтрах безопасности созданного объекта добавляю свой компьютер
    6. связываю Компьютеры домена с созданным объектом групповой политики
    7. Убеждаюсь, что состояние политики "Включено"
    8. создаю файлик "\\domainname.local\NETLOGON\Scripts\shutdown\shutdown.js" следующего содержания:
    Код:
    // Определяем, в какую из групп входит пользователь
    // и если он входит в группу администраторов - завершаем работу скрипта
    var WshNetwork = WScript.CreateObject("WScript.Network");
    var UserObj,E,GroupObj;
    UserObj=GetObject("WinNT://"+WshNetwork.UserDomain+"/"+WshNetwork.UserName);
    E=new Enumerator(UserObj.Groups());
    while (!E.atEnd())
    {
    GroupObj=E.item();
    if (GroupObj.Name=="Domain Admins" || GroupObj.Name=="Administrators") WScript.Quit();
    E.moveNext();
    }    
     
    // Создание диалогового окна и команды на выключение ПК
    var obj = GetObject("winmgmts:{impersonationLevel=impersonate," + "(Shutdown)}//./root/cimv2").ExecQuery ("SELECT * FROM Win32_OperatingSystem" + " WHERE Primary=true");
    var e = new Enumerator(obj);
     
    function kill_comp(){
    for (;!e.atEnd();e.moveNext()) {
     e.item().Win32Shutdown(8);
    }}
     
    // Задаем время для диалогового окна, в течении которого пользователь может выбрать один из вариантов работы,
    // выключение ПК или продолжение работы. Если в течении заданного времени в MSG_Time (в секундах) ничего не произойдет,
    // то автовыключение ПК
    var MSG_Time= 300;
     
    var vbOK = 0;
    var vbInformation = 64;
    var vbCancel = 2;
     
    var Message = "Уважаемые коллеги! \nВ соответствии с принятыми на Предприятии политиками безопасности в 19:00 произойдет автоматическое отключение компьютера.\nПри необходимости продолжить работу нажмите кнопку <<Ок>>.";
    var Title   = "Автозавершение работы системы";
     
     
    // Вызываем диалоговое окно
    dialog_msg()
     
    function dialog_msg()  
    {var WSHShell = WScript.CreateObject("WScript.Shell");    
     
    var intDoIt = WSHShell.Popup(Message, MSG_Time, Title, vbOK + vbInformation);
    //
    //
    //    0 - кнопка ОК.
    //    1 - кнопки ОК и Отмена.
    //    2 - кнопки Стоп, Повтор, Пропустить.
    //    3 - кнопки Да, Нет, Отмена.
    //    4 - кнопки Да и Нет.
    //    5 - кнопки Повтор и Отмена.
    //
    //    16 - значок Stop.
    //    32 - значок Question.
    //    48 - значок Exclamation.
    //    64 - значок Information.
    //
    //
     
    if (intDoIt == 1) {        WScript.Quit();    }}
    // Вырубаем машину - спать!
    kill_comp();
    //
    //
    //    -1 - таймаут.
    //    1 - кнопка ОК.
    //    2 - кнопка Отмена.
    //    3 - кнопка Стоп.
    //    4 - кнопка Повтор.
    //    5 - кнопка Пропустить.
    //    6 - кнопка Да.
    //    7 - кнопка Нет.
    //

    9. Запускаю его руками и убеждаюсь, что не попадаю ни под какие исключения и что диалог выдается.
    10. Перезагружаюсь и в консоли запускаю gpresult /r - политика не прописана
    11. запускаю schtasks - заданий тоже нет
     
    Прошу ткнуть носом куда копать
     
    Добавлено:
    проблема решилась выставлением галки ПРИНУДИТЕЛЬНО

    Всего записей: 1972 | Зарегистр. 19-09-2001 | Отправлено: 18:42 06-05-2013 | Исправлено: moonrise, 18:45 06-05-2013
    moonrise



    Advanced Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    продолжаем пляски с бубном
    политика применяется, но не срабатывает
    Правильно ли написан синтаксис для батника, который указан в Конфигурация Компьютера -> Политики - > Конфигурация Windows -> Сценарии -> Автозагрузка -> Сценарии -> Добавить -> GPO_shutdown.bat ?

    Код:
    @echo off  
    schtasks /delete /tn "GPO_shutdown_18_55" /f
    schtasks /create /tn "GPO_shutdown_18_55" /tr "\\kim.local\NETLOGON\Scripts\shutdown\shutdown.js" /sc DAILY /st 10:05:00 /ru "System"
    schtasks /delete /tn "GPO_shutdown_23_55" /f
    schtasks /create /tn "GPO_shutdown_23_55" /tr "\\kim.local\NETLOGON\Scripts\shutdown\shutdown.js" /sc DAILY /st 23:55:00 /ru "System"

    в политике в фильтрах безопасности надо что-либо прописывать? Надо ли прописывать туда учетку "система"?

    Всего записей: 1972 | Зарегистр. 19-09-2001 | Отправлено: 10:14 07-05-2013 | Исправлено: moonrise, 09:18 08-05-2013
    anton04



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    moonrise
     
    По правильному скрипт нужно помещать в планировщик, а не в автозагрузку!

    Всего записей: 2737 | Зарегистр. 14-06-2006 | Отправлено: 09:07 08-05-2013
    moonrise



    Advanced Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    anton04
    можно пояснить? вышеописанный скрипт (в итоге не стал мучаться и перенес его в пользовательские политики на логон) как раз добавляет 2 задания в планировщик.
     
    All  
    Столкнулся еще с одной проблемкой: WSHShell.Popup (который используется в данном случае, как окно уведомления с возможностью отказа) не отрабатывает при заблокированной станции. Как победить или проверить на блокировку?
     
    Добавлено:
    anton04
    понял о чем Вы.. согласен, так наверное правильнее
    Вопросов парочку.. в какой момент отрабатывается политика компьютера "автозагрузка"? на логон пользователя или до? т.е. сработает ли политика, если пользователь включил комп, но не залогинился в него?
    и вопрос на который так и не нашел пока ответ.. как проверить в скрипте заблокированна станция или нет:
     
    если описывать задачу, а не проблемы, то хочется, что бы по расписанию гасились рабочие станции. При этом, если пользователь сидит за рабочей станцией, то у него была бы возможность не выключать комп. Если комп заблокированн или не залогинен - выключать .

    Всего записей: 1972 | Зарегистр. 19-09-2001 | Отправлено: 09:21 08-05-2013
    Boris2777

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Подскажите, такая проблема.
    Создал новую групповую политику, и с дуру удалил всех, кто имеет на неё права, остался только какой-то аккаунт system, как под ним зайти не знаю. Есть у 1 пользователя право на просмотр. Как удалить эту политику?

    Всего записей: 12 | Зарегистр. 13-10-2006 | Отправлено: 13:43 08-05-2013
    Открыть новую тему     Написать ответ в эту тему

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Групповые политики (Group Policy, GPO): документация, ссылки

    Имя:
    Пароль:
    Сообщение

    Для вставки имени, кликните на нем.

    Опции сообщенияДобавить свою подпись
    Подписаться на получение ответов по e-mail
    Добавить тему в личные закладки
    Разрешить смайлики?
    Запретить коды


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.Board
    © Ru.Board 2000-2020

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru

    Рейтинг.ru