Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Групповые политики (Group Policy, GPO): документация, ссылки

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126

Открыть новую тему     Написать ответ в эту тему

lynx



Advanced lynx
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Групповые политики (Group Policy)


  • Групповые политики Active Directory
  • Структура объекта групповой политик
  • Group Policy Administrative Templates Catalog
  • http://www.gpanswers.com/  
  • Windows Server Group Policy Home

    См. также Общие вопросы по Active Directory (AD)

    FAQ

  • Не работают групповые политики
  • Безопасность
  • Восстановление политик
  • Групповые политики + Internet Explorer (IE)
  • Windows Vista & Windows Server 2008
  • Другие вопросы по групповым политикам

    Документация

  • Англоязычная:
  • Русскоязычная:


    Пост подготовлен: G14

  • Всего записей: 11712 | Зарегистр. 08-05-2001 | Отправлено: 19:33 13-12-2004 | Исправлено: Paromshick, 20:16 03-06-2020
    moonrise



    Advanced Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    если кого-то заинтересует - итоговый рабочий скрипт
    Подробнее...

    Всего записей: 1986 | Зарегистр. 19-09-2001 | Отправлено: 19:51 13-05-2013 | Исправлено: moonrise, 20:04 13-05-2013
    diskka



    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    на winXp скрипт отрабатывает выключение, но сама менюшка не выскакивает "Уважаемые коллеги! \nВ соответствии с принятыми на Предприятии политиками безопасности ..............
    Как исправить?

    Всего записей: 1 | Зарегистр. 19-11-2008 | Отправлено: 16:57 14-05-2013
    Acid gh0st



    Junior Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    я конечно извиняюсь, но может кто-то может помочь по моему вопросу, может хотя бы догадки?

    Всего записей: 41 | Зарегистр. 31-01-2010 | Отправлено: 18:33 14-05-2013
    TheBarmaley



    Platinum Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Acid gh0st
    ещё раз извиняюсь за прерванную беседу.. ответил в той теме..

    Всего записей: 17211 | Зарегистр. 07-06-2006 | Отправлено: 08:30 15-05-2013
    kot1707

    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Включена политика-"Повышение прав только для подписанных и проверенных исполняемых файлов".
    Возможно ли как-нибудь реализовать список исключений?
    Т.е. некое приложение должно получать привилегии не зависимо от наличия подписи.

    Всего записей: 4129 | Зарегистр. 06-07-2011 | Отправлено: 09:22 18-05-2013
    jey_str

    Full Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Подскажите  
    ситуация следующая  
    1. устанавливаю зерез GPO программу назовем ее Viewer
    2. хочу добавить в Viewer файлы конфигураций сразу при установке Viewer (чтоб не бегать по этажам перегружать компы конструкторов и технологов)
    как в GPO срабатывают объекты по списку свурху вниз или какимто другим способом?
     
    Добавлено:
    да еще какие обязательные службы должны быть запущены у пользователя чтоб устанавливались програмы через GPO
     
    и при установке требует dot net 4 или выше а пакеты все в .exe ??

    Всего записей: 566 | Зарегистр. 02-09-2009 | Отправлено: 11:25 28-05-2013 | Исправлено: jey_str, 14:37 28-05-2013
    Acid gh0st



    Junior Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

    Цитата:
    Подскажите  
    ситуация следующая  
    1. устанавливаю зерез GPO программу назовем ее Viewer  
    2. хочу добавить в Viewer файлы конфигураций сразу при установке Viewer (чтоб не бегать по этажам перегружать компы конструкторов и технологов)  
    как в GPO срабатывают объекты по списку свурху вниз или какимто другим способом?  
     
    Добавлено:  
    да еще какие обязательные службы должны быть запущены у пользователя чтоб устанавливались програмы через GPO  
     
    и при установке требует dot net 4 или выше а пакеты все в .exe ??

     
    к сожалению не все понял, что написали, но попробую подсказать как понял.
    как я помню про установку софта через GPO, работают как раз с пакетами msi, там сразу можно и настроить все параметры (т.е. установиться сконфигурированная софтина)
    если же msi нету, то проще сделать скрипт который установит прогу и заменит файлы конфигов. (или даже не устанавливать, а перетащить папку и импортировать соответствующую ветку реестра)
     
    ___
    GPO с приоритетом 1 выше, чем с приоритетом 2 (смотреть в закладке наследование GPO)

    Всего записей: 41 | Зарегистр. 31-01-2010 | Отправлено: 11:39 02-06-2013
    Mario11



    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Подскажите, уважаемые специалисты. В доменной сети (несколько удалённых подсетей, VPN) используются видеорегистраторы Pinetron. Для подключения и онлайн-просмотра через камер используется фирменная программа EMS или же просто Internet Explorer, который при первом подключении устанавливает свою надстройку WebVieverX Control, которая работает в любой версии IE с 6 по 10. Но, всё хорошо, только если компьютер не в домене. Если компьютер в домене, то к половине видеорегистраторов EMS просто не подключается, без указания ошибки. А IE вылетает с ошибкой. Всё происходит независимо от ОС (от XP до 8), проверено на многих компьютерах.
    Никаких настроек IE в групповых политиках не делалось ранее, по крайней мере, я не нашёл ничего. В чём может быть проблема? Где копать?

    Всего записей: 8 | Зарегистр. 16-08-2007 | Отправлено: 21:49 09-07-2013
    borin

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    Подскажите, уважаемые специалисты. В доменной сети (несколько удалённых подсетей, VPN) используются видеорегистраторы Pinetron. Для подключения и онлайн-просмотра через камер используется фирменная программа EMS или же просто Internet Explorer, который при первом подключении устанавливает свою надстройку WebVieverX Control, которая работает в любой версии IE с 6 по 10. Но, всё хорошо, только если компьютер не в домене. Если компьютер в домене, то к половине видеорегистраторов EMS просто не подключается, без указания ошибки. А IE вылетает с ошибкой. Всё происходит независимо от ОС (от XP до 8), проверено на многих компьютерах.
    Никаких настроек IE в групповых политиках не делалось ранее, по крайней мере, я не нашёл ничего. В чём может быть проблема? Где копать?

     
    1. Пробуйте сбросить настройки IE
    2. Смотрите в сторону mtu

    Всего записей: 32 | Зарегистр. 27-03-2006 | Отправлено: 22:58 09-07-2013
    DenisI



    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Подскажите, можно ли через групповые политики запретить создавать и запускать свои задания пользователю в планировщике заданий? (Windows Server 2008 R2, клиент Windows 7).
    Подобные политики вроде как есть, но там требуемая ОС Windows XP.

    Всего записей: 22 | Зарегистр. 01-10-2007 | Отправлено: 08:44 11-07-2013
    anton04



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    DenisI
     

    Цитата:
    Подскажите, можно ли через групповые политики запретить создавать

     
    это вряд-ли, не помню я такого пункта в GPO (хотя можно пойти обходным путём, запретом записи в реестр в определённую ветку или на диск, ну туда куда записывает планировщик задания).
     

    Цитата:
    запускать свои задания пользователю в планировщике заданий?

     
    а вот это вообще не реально, штатных средств нет.

    Всего записей: 2803 | Зарегистр. 14-06-2006 | Отправлено: 18:44 11-07-2013
    Acid gh0st



    Junior Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

    Цитата:
    Подскажите, можно ли через групповые политики запретить создавать и запускать свои задания пользователю в планировщике заданий? (Windows Server 2008 R2, клиент Windows 7).  
    Подобные политики вроде как есть, но там требуемая ОС Windows XP.

    может лучше пойти другим путем, ведь во первых пользователь создает задания исходя из собственных прав (т.е. выполнить через планировщик то, что эту пользователю не дозволенно, все равно не получиться), если там выполняется скрипт после рабочего времени, можно ограничить время локального входа рабочими часами...
    Если не секрет в чем проблема планировщика? и зачем хотите его запретить?

    Всего записей: 41 | Зарегистр. 31-01-2010 | Отправлено: 19:13 11-07-2013
    DenisI



    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Acid gh0st
     
    На работе есть программа, с ограниченным количеством лицензий(увеличить количество лицензий не рассматривается), так вот люди приходят намного раньше чтоб в нее попасть, а некоторые просто пользуются планировщиком. Если все будут делать через планировщик, то каша опять получиться. Ограничить по времени локальный вход не вариант, возможно что пользователь действительно пришел раньше на работу. Вот и хотелось запретить запуск этой программы через планировщик.

    Всего записей: 22 | Зарегистр. 01-10-2007 | Отправлено: 07:48 12-07-2013
    Acid gh0st



    Junior Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    DenisI
    Хотел уже было посоветовать остановить службу "Планировщика заданий" через GPO. Но вспомнил, что в win7 - это не вариант.
     
    Можно поступить так, настроить разрешения на папку %windir%\system32\tasks (и  %windir%\SysWOW64\tasks если win7x64), для Authenticated users ("Прошедших проверку") дать разрешение на чтение и выполнение, а Администраторам (и тем кому задания создавать можно) полный доступ.
     
    А вот уже разрешения NTFS можно развернуть через GPO (Конфигурация компьютера -> Политики -> Конфигурация Windows -> Параметры безопасности -> Файловая система -> ПКМ Добавить файл [можно и папки], ну а дальше все как обычно)

    Всего записей: 41 | Зарегистр. 31-01-2010 | Отправлено: 19:50 14-07-2013 | Исправлено: Acid gh0st, 20:07 14-07-2013
    BVV63



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Помню, что на терминальных серверах, начиная с 2K3 R2 SP1, где-то политиками разрешается использование универсального драйвера печати.
    Но не могу вспомнить, где. Вроде, всё уже перерыл. Подскажите, камрады, пожалуйста.

    Всего записей: 3542 | Зарегистр. 17-08-2009 | Отправлено: 11:42 26-07-2013
    Kanev75



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Нашел способ подключения сетевых дисков через групповые политики
    источник тут http://system-administrators.info/?p=5205
    и тут http://blogs.technet.com/b/askds/archive/2009/01/07/using-group-policy-preferences-to-map-drives-based-on-group-membership.aspx
     
    У меня почему  это срабатывает на одного пользователя (входит в группу администраторы)  и не срабатывает на других.
    Подскажите, в чем может быть проблема.

    Всего записей: 654 | Зарегистр. 30-05-2003 | Отправлено: 06:43 03-08-2013
    gsomunk

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Операционная система Windows Server 2012. Проблема следующая, при попытке распределении права доступа, в редакторе групповой политике (GPMC.MSC), при создании групповой политики, пишет отказано в доступе, также, при   изменении параметра "Контроллер домена: требование цифровой подписи для LDAP-сервера" пишет отказано в доступе, захожу естественно с учетной записи администратора, не могу понять, в чем причина, подскажите кто-нибудь...

    Всего записей: 12 | Зарегистр. 09-08-2013 | Отправлено: 09:29 09-08-2013
    jey_str

    Full Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    учетной записи администратора

    этого мало нужно иметь права хозяина операций, администратора схемы

    Всего записей: 566 | Зарегистр. 02-09-2009 | Отправлено: 09:34 09-08-2013
    gsomunk

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    а как их заполучить?
     
    Добавлено:
    dsquery server -hasfsmo pdc
    "CN=USER,CN=Servers,CN=user,CN=Sites,CN=Configuration,DC=user,DC=local"
    user и является хозяином операций, также дал права Администраторы схемы и все равно выходит ошибка, что здесь не так?

    Всего записей: 12 | Зарегистр. 09-08-2013 | Отправлено: 09:51 09-08-2013
    Acid gh0st



    Junior Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    BVV63

    Цитата:
    Помню, что на терминальных серверах, начиная с 2K3 R2 SP1, где-то политиками разрешается использование универсального драйвера печати.  
    Но не могу вспомнить, где. Вроде, всё уже перерыл. Подскажите, камрады, пожалуйста.

    Если речь идет о Easy Print Driver, то управление им через GPO лежит здесь:
    Конфигурация компьютера -> Политики -> Административные шаблоны -> Компоненты Windows -> Служба удаленных рабочих столов -> Узел сеансов удаленных рабочих столов -> Перенаправления принтеров -> ...
     
    p.s. С момента вопроса прошло много времени и возможно вы его уже решили, но решил, что нельзя оставлять вопрос без ответа. Может кому пригодиться.
    __________
    gsomunk

    Цитата:
    Операционная система Windows Server 2012. Проблема следующая, при попытке распределении права доступа, в редакторе групповой политике (GPMC.MSC), при создании групповой политики, пишет отказано в доступе, также, при   изменении параметра "Контроллер домена: требование цифровой подписи для LDAP-сервера" пишет отказано в доступе, захожу естественно с учетной записи администратора, не могу понять, в чем причина, подскажите кто-нибудь...

     
    Может расскажите подробней о Вашей сети: кем является W2k12, если AD, то единственным ли?
     
    __________
    Kanev75

    Цитата:
    Нашел способ подключения сетевых дисков через групповые политики  
    источник тут http://system-administrators.info/?p=5205  
    и тут http://blogs.technet.com/b/askds/archive/2009/01/07/using-group-policy-preferences-to-map-drives-based-on-group-membership.aspx  
     
    У меня почему  это срабатывает на одного пользователя (входит в группу администраторы)  и не срабатывает на других.  
    Подскажите, в чем может быть проблема.

     
    входит в группу каких администраторов? локальных? посмотрите может где нибудь политика перекрывается. посмотрите через результирующую групповую политику. также желательно рассказать подробнее к каким машинам (группам) вы применяете политику.

    Всего записей: 41 | Зарегистр. 31-01-2010 | Отправлено: 12:00 10-08-2013 | Исправлено: Acid gh0st, 12:07 10-08-2013
    Открыть новую тему     Написать ответ в эту тему

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Групповые политики (Group Policy, GPO): документация, ссылки


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.B0ard
    © Ru.B0ard 2000-2024

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru