Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Групповые политики (Group Policy, GPO): документация, ссылки

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126

Открыть новую тему     Написать ответ в эту тему

lynx



Advanced lynx
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Групповые политики (Group Policy)


  • Групповые политики Active Directory
  • Структура объекта групповой политик
  • Group Policy Administrative Templates Catalog
  • http://www.gpanswers.com/  
  • Windows Server Group Policy Home

    См. также Общие вопросы по Active Directory (AD)

    FAQ

  • Не работают групповые политики
  • Безопасность
  • Восстановление политик
  • Групповые политики + Internet Explorer (IE)
  • Windows Vista & Windows Server 2008
  • Другие вопросы по групповым политикам

    Документация

  • Англоязычная:
  • Русскоязычная:


    Пост подготовлен: G14

  • Всего записей: 11712 | Зарегистр. 08-05-2001 | Отправлено: 19:33 13-12-2004 | Исправлено: Paromshick, 20:16 03-06-2020
    Acid gh0st



    Junior Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    DenisI
    Хотел уже было посоветовать остановить службу "Планировщика заданий" через GPO. Но вспомнил, что в win7 - это не вариант.
     
    Можно поступить так, настроить разрешения на папку %windir%\system32\tasks (и  %windir%\SysWOW64\tasks если win7x64), для Authenticated users ("Прошедших проверку") дать разрешение на чтение и выполнение, а Администраторам (и тем кому задания создавать можно) полный доступ.
     
    А вот уже разрешения NTFS можно развернуть через GPO (Конфигурация компьютера -> Политики -> Конфигурация Windows -> Параметры безопасности -> Файловая система -> ПКМ Добавить файл [можно и папки], ну а дальше все как обычно)

    Всего записей: 41 | Зарегистр. 31-01-2010 | Отправлено: 19:50 14-07-2013 | Исправлено: Acid gh0st, 20:07 14-07-2013
    BVV63



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Помню, что на терминальных серверах, начиная с 2K3 R2 SP1, где-то политиками разрешается использование универсального драйвера печати.
    Но не могу вспомнить, где. Вроде, всё уже перерыл. Подскажите, камрады, пожалуйста.

    Всего записей: 3542 | Зарегистр. 17-08-2009 | Отправлено: 11:42 26-07-2013
    Kanev75



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Нашел способ подключения сетевых дисков через групповые политики
    источник тут http://system-administrators.info/?p=5205
    и тут http://blogs.technet.com/b/askds/archive/2009/01/07/using-group-policy-preferences-to-map-drives-based-on-group-membership.aspx
     
    У меня почему  это срабатывает на одного пользователя (входит в группу администраторы)  и не срабатывает на других.
    Подскажите, в чем может быть проблема.

    Всего записей: 654 | Зарегистр. 30-05-2003 | Отправлено: 06:43 03-08-2013
    gsomunk

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Операционная система Windows Server 2012. Проблема следующая, при попытке распределении права доступа, в редакторе групповой политике (GPMC.MSC), при создании групповой политики, пишет отказано в доступе, также, при   изменении параметра "Контроллер домена: требование цифровой подписи для LDAP-сервера" пишет отказано в доступе, захожу естественно с учетной записи администратора, не могу понять, в чем причина, подскажите кто-нибудь...

    Всего записей: 12 | Зарегистр. 09-08-2013 | Отправлено: 09:29 09-08-2013
    jey_str

    Full Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    учетной записи администратора

    этого мало нужно иметь права хозяина операций, администратора схемы

    Всего записей: 566 | Зарегистр. 02-09-2009 | Отправлено: 09:34 09-08-2013
    gsomunk

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    а как их заполучить?
     
    Добавлено:
    dsquery server -hasfsmo pdc
    "CN=USER,CN=Servers,CN=user,CN=Sites,CN=Configuration,DC=user,DC=local"
    user и является хозяином операций, также дал права Администраторы схемы и все равно выходит ошибка, что здесь не так?

    Всего записей: 12 | Зарегистр. 09-08-2013 | Отправлено: 09:51 09-08-2013
    Acid gh0st



    Junior Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    BVV63

    Цитата:
    Помню, что на терминальных серверах, начиная с 2K3 R2 SP1, где-то политиками разрешается использование универсального драйвера печати.  
    Но не могу вспомнить, где. Вроде, всё уже перерыл. Подскажите, камрады, пожалуйста.

    Если речь идет о Easy Print Driver, то управление им через GPO лежит здесь:
    Конфигурация компьютера -> Политики -> Административные шаблоны -> Компоненты Windows -> Служба удаленных рабочих столов -> Узел сеансов удаленных рабочих столов -> Перенаправления принтеров -> ...
     
    p.s. С момента вопроса прошло много времени и возможно вы его уже решили, но решил, что нельзя оставлять вопрос без ответа. Может кому пригодиться.
    __________
    gsomunk

    Цитата:
    Операционная система Windows Server 2012. Проблема следующая, при попытке распределении права доступа, в редакторе групповой политике (GPMC.MSC), при создании групповой политики, пишет отказано в доступе, также, при   изменении параметра "Контроллер домена: требование цифровой подписи для LDAP-сервера" пишет отказано в доступе, захожу естественно с учетной записи администратора, не могу понять, в чем причина, подскажите кто-нибудь...

     
    Может расскажите подробней о Вашей сети: кем является W2k12, если AD, то единственным ли?
     
    __________
    Kanev75

    Цитата:
    Нашел способ подключения сетевых дисков через групповые политики  
    источник тут http://system-administrators.info/?p=5205  
    и тут http://blogs.technet.com/b/askds/archive/2009/01/07/using-group-policy-preferences-to-map-drives-based-on-group-membership.aspx  
     
    У меня почему  это срабатывает на одного пользователя (входит в группу администраторы)  и не срабатывает на других.  
    Подскажите, в чем может быть проблема.

     
    входит в группу каких администраторов? локальных? посмотрите может где нибудь политика перекрывается. посмотрите через результирующую групповую политику. также желательно рассказать подробнее к каким машинам (группам) вы применяете политику.

    Всего записей: 41 | Зарегистр. 31-01-2010 | Отправлено: 12:00 10-08-2013 | Исправлено: Acid gh0st, 12:07 10-08-2013
    lordsharks

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Здравствуйте. Емею домен к которому подключены 800 ПК , все Пк и пользователи раскиданы по своим папка (учетка+машина, тоесть если это бухгалтерия то они сидят в одной папке ,а если  програмеры то они в другой).  
    ВОПРОС как всех разделить на группы в сетевом окружении??

    Всего записей: 17 | Зарегистр. 31-08-2013 | Отправлено: 14:52 31-08-2013
    Acid gh0st



    Junior Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

    Цитата:
    Здравствуйте. Емею домен к которому подключены 800 ПК , все Пк и пользователи раскиданы по своим папка (учетка+машина, тоесть если это бухгалтерия то они сидят в одной папке ,а если  програмеры то они в другой).  
    ВОПРОС как всех разделить на группы в сетевом окружении??

    Смотря для чего тебе это нужно.  
    В зависимости от задачи:
    • можно просто создать папку (назвать ее сеть), в ней создать папки с необходимыми группами, в них положить ярлыки на нужные машины.
    • разделить все отделы по поддоменам
    • через DFS (если это делается, для того, чтобы у разных отделов были разные общие сетевые ресурсы, по мне этот лучший вариант)

    Всего записей: 41 | Зарегистр. 31-01-2010 | Отправлено: 04:26 01-09-2013 | Исправлено: Acid gh0st, 05:37 01-09-2013
    lordsharks

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    Смотря для чего тебе это нужно.  
    В зависимости от задачи:
    можно просто создать папку (назвать ее сеть), в ней создать папки с необходимыми группами, в них положить ярлыки на нужные машины.  
    разделить все отделы по поддоменам  
    через DFS (если это делается, для того, чтобы у разных отделов были разные общие сетевые ресурсы, по мне этот лучший вариант)

     
     
     
    мне говорили что есть возможность реализовать группы в сетевом окружении  с помощью GPO .  
    То есть создаем политику для раздела домена - ПРОГРАМИСТЫ (в это разделе лежать все учетные данные программистов и их ПК)
    Настраиваем GPO. И когда мы откроем сетевое окружение будет папка в которой лежат все ПК которые есть в том разделе, остается только добавлять в раздел ПК или удалять  для отображения.

    Всего записей: 17 | Зарегистр. 31-08-2013 | Отправлено: 09:58 02-09-2013
    Acid gh0st



    Junior Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

    Цитата:
    мне говорили что есть возможность реализовать группы в сетевом окружении  с помощью GPO .  
    То есть создаем политику для раздела домена - ПРОГРАМИСТЫ (в это разделе лежать все учетные данные программистов и их ПК)  
    Настраиваем GPO. И когда мы откроем сетевое окружение будет папка в которой лежат все ПК которые есть в том разделе, остается только добавлять в раздел ПК или удалять  для отображения.

    может я не прав, но я слышал обратное и не раз, в том числе, сейчас погуглил по твоей трабле, масса сообщений подтверждающая мои слова.  
    Согласно советам компании МелкийСофт надо юзать DFS, причем через GPO можно замапить разным "Подразделениям" разные публикации и будет ВСЕ очень удобно (в GPO есть и другие настройки касающиеся DFS).
     
    Я даже не знаю, зачем пользователям может быть нужно "Сетевое Окружение"? Папку Обмен можно положить на сервер, причем для разных отделов свой, также можно поступить и с документами. Если хотите распределить нагрузку, опять же DFS.
    Если же пользователям очень нужно будет находить друг друга, научите их пользоваться поиском в AD, если же все это не устраивает, то просто введите политику именования компьютеров Отдел_ИмяКомпа и введя в сетевом окружении в фильтр Отдел останутся только компьютеры этого отдела, но и без фильтра все будет аккуратно и не затруднит поиск если у Вас не очень много отделов.
     
    p.s. все вышесказанное ИМХО, могу быть в чем-то не прав, на пост Гуру не претендую, если Вы найдете решение Вашей проблемы иными способами прошу поделиться решением, я думаю это будет интересно не только мне.

    Всего записей: 41 | Зарегистр. 31-01-2010 | Отправлено: 13:38 04-09-2013 | Исправлено: Acid gh0st, 13:41 04-09-2013
    AMaksimov

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    Вот хорошая статья по настройке терминального сервера с использованием gpo loopback: http://amaksimov.wordpress.com/2011/12/23/remote-desktop-services-rds-roaming-user-profiles-and-folder-redirection-gpo-settings/  

    Новая ссылка на статью http://blog.it-kb.ru/2011/12/23/remote-desktop-services-rds-roaming-user-profiles-and-folder-redirection-gpo-settings/

    Всего записей: 8 | Зарегистр. 15-02-2008 | Отправлено: 17:51 05-09-2013
    karalka



    Junior Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Здравствуйте. Решил обратиться за помощью т.к. либо я чего то не догоняю либо в чем то невправ. Дело в следующем. Был домен на 2003 сервере и все прекрасно работало. В свое время перевел его на 2008r2. И вот в чем возник вопрос. В групповой политике на сервера настроена установка обновлений винды через WSUS. Так вот на 2003 все прекрасно работало, устанавливалось, НО не пережагружала автоматом серваки. После же перехода на 2008 я стал замечать перезагрузку серваков после установки обновлений. Мучался думал где настроил неверно, колупал политику. Вынужден был даже выставить Настройка автоматического обновления: 2 - уведомления о загрузке и установке , НО после очередного прихода на работу был удивлен, что сервера стоят на перезагрузке. Сервера уходят в перезагрузку как с вин2003 так и вин2008. Собственно вопрос. В чем я не прав при настройке ?
    Скрин высылаю как настроено у меня. Подскажите какой параметр я задал не верно
     

    Всего записей: 41 | Зарегистр. 06-06-2005 | Отправлено: 09:21 18-09-2013
    jey_str

    Full Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    karalka
    у меня в AD две группы
    одна server а другая Computers
    и политику wsus пременяю только к Computers
    понимаю что это не совсем верно но как вариант

    Всего записей: 566 | Зарегистр. 02-09-2009 | Отправлено: 14:56 18-09-2013
    sersh05

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Ребята. Нужен совет. Собираюсь установить silverlight в своей копрпаративной среде через ГПО. Сервак 2008 R2.  silverlight имеет х64 и х86. Так же, в сети компы с ОС 7 и ХР разной разрядности.  
    У меня возник вопрос как развернуть с ГПО эти 2-а дситра silverlight?
    Я не спрашиваю как это сделать, интересует сам механизм развертывания т.е. если я через гпо попытаюсь установить сразу 2-а дистрибутива то как они будут ставятся?

    Всего записей: 40 | Зарегистр. 29-09-2008 | Отправлено: 10:58 01-10-2013
    Acid gh0st



    Junior Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

    Цитата:
    Ребята. Нужен совет. Собираюсь установить silverlight в своей копрпаративной среде через ГПО. Сервак 2008 R2.  silverlight имеет х64 и х86. Так же, в сети компы с ОС 7 и ХР разной разрядности.  
    У меня возник вопрос как развернуть с ГПО эти 2-а дситра silverlight?  
    Я не спрашиваю как это сделать, интересует сам механизм развертывания т.е. если я через гпо попытаюсь установить сразу 2-а дистрибутива то как они будут ставятся?

    Гораздо лучше будет создать 2 подразделения в одном будут компы с XP с 32 разрядной системой, в другом 7 с 64 (если есть еще и 7 с 32 разрядной, то 3 подразделения) и создавай для каждого подразделения свое GPO.
     
    Думаю ставить пакеты без разбора на все компы не следует, хотя вероятно все заработает и так (правда в 7х64 вероятно встанут оба пакета), но это не круто и не наш метод )

    Всего записей: 41 | Зарегистр. 31-01-2010 | Отправлено: 15:48 01-10-2013
    serik1986



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Товарищи помогите разобраться в следующей задаче.
    Имеется домен NNNNN.COM. в ActiveDirectory есть группа компьютеров под названием VideoServers, встала следующая задача.  
     
    "Запретить доступ к этим рабочим станциям всем кроме одного пользователя НачальникОхраны."
     
    Вопросы:
    1) можно ли это все сделать не прибегая к "хождению" к серверам? т.е. чисто GPO и как, в какой оснастке/ах и какой параметр
    2) можно ли сделать так чтобы локальный админ вообще не имел возможности входа на этот комп, также через GPO настроить? в том числе и пользователей.
    3) можно ли настроив эту GPO сделать так чтобы даже админ домена не мог зайти на этот комп? здесь я сомневаюсь но мало ли.... поэтому спрашиваю
     
    p.s. я не знаю получится ли так, но моя задумка в следующем, с помощью GPO сделать так чтобы локальные учетки полностью сменились на те что хочу сделать я. Т.е. НачальникОхраны и только он и никто Царь и Бог этих рабочих станций, и вся ответственность лежала только на нем за использование этого компьютера.
    Если это возможно подскажите как пожалуйста.
    Спасибо

    Всего записей: 267 | Зарегистр. 29-06-2009 | Отправлено: 11:01 02-10-2013
    Acid gh0st



    Junior Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

    Цитата:
    Товарищи помогите разобраться в следующей задаче.  
    Имеется домен NNNNN.COM. в ActiveDirectory есть группа компьютеров под названием VideoServers, встала следующая задача.  
     
    "Запретить доступ к этим рабочим станциям всем кроме одного пользователя НачальникОхраны."  
     
    Вопросы:  
    1) можно ли это все сделать не прибегая к "хождению" к серверам? т.е. чисто GPO и как, в какой оснастке/ах и какой параметр  
    2) можно ли сделать так чтобы локальный админ вообще не имел возможности входа на этот комп, также через GPO настроить? в том числе и пользователей.
    3) можно ли настроив эту GPO сделать так чтобы даже админ домена не мог зайти на этот комп? здесь я сомневаюсь но мало ли.... поэтому спрашиваю  
     
    p.s. я не знаю получится ли так, но моя задумка в следующем, с помощью GPO сделать так чтобы локальные учетки полностью сменились на те что хочу сделать я. Т.е. НачальникОхраны и только он и никто Царь и Бог этих рабочих станций, и вся ответственность лежала только на нем за использование этого компьютера.  
    Если это возможно подскажите как пожалуйста.  
    Спасибо
     

    Вначале нужно создать подразделение и поместить туда ваши VideoServers и создать политику GPO именно для этого подразделения.  
    Затем настраивая политики "Запретить локальный вход" вписываете туда группы пользователей которым доступ запрещен (не помещайте туда "Все" иначе на эту рабочую станцию не зайдет вообще никто), в том числе и группу локальных администраторов.  
    Далее группу в которую входит начальник охраны расположить в "Локальный вход в систему".
     
    По поводу пунка 3), конечно можно и доменного админа запретить, но я бы не советовал.
     
    p.s. если непонятно, что-то конкретное обращайтесь, а так по идее это очень не сложная задача и я бы рекомендовал почитать хоть какую-то книжку по AD

    Всего записей: 41 | Зарегистр. 31-01-2010 | Отправлено: 20:08 02-10-2013 | Исправлено: Acid gh0st, 20:09 02-10-2013
    serik1986



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Acid gh0st
    я почитаю обещаю, вы только порекомендуйте какую,  
    а пока немного тупой вопрос поэтому прошу без помидоров.
    группа локальных администраторов это BUILTIN\Administrators? так выглядит эта группа в домене?

    Всего записей: 267 | Зарегистр. 29-06-2009 | Отправлено: 09:08 04-10-2013
    ursulus

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Доброго времени суток.
    Вопрос такой: Можно ли средствами GPO всегда считать (автоматически) сеть предприятия, т. е. что бы при инициализации запрос о выборе расположения сети не выскакивал. Если да, то где искать, сам обрыл всю гпо, не нашел, может плохо искал(

    Всего записей: 18 | Зарегистр. 29-05-2012 | Отправлено: 13:19 04-10-2013
    Открыть новую тему     Написать ответ в эту тему

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Групповые политики (Group Policy, GPO): документация, ссылки


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.B0ard
    © Ru.B0ard 2000-2024

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru