Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Групповые политики (Group Policy, GPO): документация, ссылки

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126

Открыть новую тему     Написать ответ в эту тему

lynx



Advanced lynx
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Групповые политики (Group Policy)


  • Групповые политики Active Directory
  • Структура объекта групповой политик
  • Group Policy Administrative Templates Catalog
  • http://www.gpanswers.com/  
  • Windows Server Group Policy Home

    См. также Общие вопросы по Active Directory (AD)

    FAQ

  • Не работают групповые политики
  • Безопасность
  • Восстановление политик
  • Групповые политики + Internet Explorer (IE)
  • Windows Vista & Windows Server 2008
  • Другие вопросы по групповым политикам

    Документация

  • Англоязычная:
  • Русскоязычная:


    Пост подготовлен: G14

  • Всего записей: 11712 | Зарегистр. 08-05-2001 | Отправлено: 19:33 13-12-2004 | Исправлено: Paromshick, 20:16 03-06-2020
    serik1986



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    ursulus
    присоединяюсь, раздражает порой.

    Всего записей: 267 | Зарегистр. 29-06-2009 | Отправлено: 16:08 04-10-2013
    sergeyrambler

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Подскажите,  
    на контроллере домена хочу расшарить папку.  
    Создаю нового юзера, назначаю ему права на папку.  
    Захожу с другого компа(не из домена) в расшареную папку на контролере домена - просит ввести имя и пароль - ввожу нового юзера,но в папку не дает зайти.  
    Если на папку дать все права - то заходит.  
    В чем может быть проблема?  
     
    заранее спасибо

    Всего записей: 8 | Зарегистр. 28-10-2009 | Отправлено: 17:26 04-10-2013
    Acid gh0st



    Junior Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    serik1986

    Цитата:
    группа локальных администраторов это BUILTIN\Administrators? так выглядит эта группа в домене?

    Если использовать эту учетку, то туда входят вообще все администраторы (в том числе и администраторы домена) и такое не аккуратное действие вообще может лишить вас контроля над этой рабочей станцией.
    Я вижу решение этой проблемы по-другому: надо отнести группу локальных администраторов на целевой рабочей станции (в вашем случае это VideoServers) в созданную нами группу (к примеру, VideoServers_admin), для дальнейшего ее ограничения. Это можно сделать через GPO с помощью "Групп с ограниченным доступом". Находятся они в Конфигурация компьютера -> Конфигурация Windows -> Параметры безопасности -> Группы с ограниченным доступом, затем ПКМ добавить группу, там выбираем Администратор и включаем в нужную нам группу VideoServers_admin. Правда с таким подходом для НачальникаОхраны и Группы Администраторов домена прописывать вообще все разрешения с нуля, так как группу для группы Администраторов вход на рабочие станции будет запрещен. Есть менее трудоемкий способ, но его легче обойти, это отнести в ограниченную учетную запись (VideoServers_admin) только конкретных локальных Администраторов, допустим есть только встроенные, для того чтобы отнести их нужно зайти на локальную рабочую станцию и определить пользователя в ограниченную группу. Это можно сделать как локально, подойдя и этой рабочей станции и залогинется, так и удаленно заходим в Управление компьютером -> действия -> подключиться к другому компьютеру, дальше все просто.
     
    p.s. Привычки кидать помидорами в кого либо не имею )), да и до гуру мне далеко, из книг по AD читал много отрывочно, но полностью прочитал книгу «Шетка Петр Microsoft Windows Server 2003 Практическое руководство по настройке сети» очень рекомендую начинать с нее.
     
    ursulus ты имеешь в виду, что автоматически не известную сеть относит к Общественной, а ты хочешь к Частной или что-то другое?
     
    sergeyrambler, если для нового пользователя, то нужно вначале перезагрузить Контролер домена, а потом разрешения начнут работать верно, если перезагружать Контролер не вариант, то погугли думаю можно и какие-то службы перезапустить.

    Всего записей: 41 | Зарегистр. 31-01-2010 | Отправлено: 19:56 04-10-2013 | Исправлено: Acid gh0st, 20:10 04-10-2013
    sergentum

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Уважаемые подскажите.
    после перезагрузки компьютера на логон экране видна иконка только последнего пользователя, несмотря на то что на этом компе есть и локальных куча пользователей и работал другой доменный пользователь, этих пользователей на логон экране нет. Т.е. если ты свою домен\учетку (или имя_компьютера\учетка) не знаешь то залогиниться не сможешь, что есть весьма неудобно для пользователей. Можно как то починить? например чтобы видно было всех локальных пользователей (как обычно) и еще тех кто логинился доменной учеткой?

    Всего записей: 26 | Зарегистр. 14-03-2011 | Отправлено: 14:03 06-10-2013 | Исправлено: sergentum, 14:08 06-10-2013
    ursulus

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Acid gh0st
    Хочу что бы всегда, при подключении к домену не выскакивал запрос о расположении в сети, а определялся автоматически средствами гпо, что бы автоматически назначалась "сеть предприятия".

    Всего записей: 18 | Зарегистр. 29-05-2012 | Отправлено: 08:08 07-10-2013
    Acid gh0st



    Junior Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

    Цитата:
    Acid gh0st  
    Хочу что бы всегда, при подключении к домену не выскакивал запрос о расположении в сети, а определялся автоматически средствами гпо, что бы автоматически назначалась "сеть предприятия".

    http://serverfault.com/questions/219508/how-to-set-the-network-profile-of-windows-7-via-group-policy - тут есть ответ, но я таким решением не разу не пользовался.
     
    У меня с расположением была другая проблема, на виртуальном сервере настроил внутреннюю сеть, но не хотел для нее настраивать DNS и при каждой перезагрузке, компьютеры соединенные этой сеткой определяли сеть как "Общую" и соответственно пропадали из сетевого обнаружения, эта проблема решается через GPO, назначением всем Неопознанным сетям Тип расположения как Частное.

    Всего записей: 41 | Зарегистр. 31-01-2010 | Отправлено: 10:47 09-10-2013
    jey_str

    Full Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    подскажите можно ли дать одному пользователю права на запуск одной службы

    Всего записей: 566 | Зарегистр. 02-09-2009 | Отправлено: 12:45 09-10-2013
    lordsharks

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    День добрый.  сразу к делу
    домен Windows server 2003  
    1000 пользователей подключено к домену
     
    До недавнего времени не было запрещено пользоваться  3g модемами.  Выпустили приказ запрета, но мое предприятие занимает очень большую территорию примерно 10 на 5 км и всех не проконтролировать. как через GPO  запретить пользоваться любим модемом но в тоже время чтоб мышка, клавиатура, веб камер, принтера и сканеры работали??
     
     

    Всего записей: 17 | Зарегистр. 31-08-2013 | Отправлено: 10:28 16-10-2013
    ipmanyak



    Platinum Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    lordsharks Поиск отменили? Прочтите все страницы ветки
    http://forum.ru-board.com/topic.cgi?forum=8&topic=4998
    и статью  
    http://dimanb.wordpress.com/2012/07/02/usb-and-gpo/


    ----------
    В сортире лучше быть юзером, чем админом...

    Всего записей: 11724 | Зарегистр. 10-12-2003 | Отправлено: 11:13 16-10-2013 | Исправлено: ipmanyak, 11:14 16-10-2013
    borin

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    lordsharks

     
    если есть бюджет, смотрите devicelock
     

    Всего записей: 32 | Зарегистр. 27-03-2006 | Отправлено: 16:08 16-10-2013
    Acid gh0st



    Junior Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    lordsharks

    Цитата:
    домен Windows server 2003  

    насколько я знаю гибкое управление USB устройствами (как в статье данной ipmanyak) через GPO появилось только в w2k8.  
     
    Если миграция не приемлема, то подумайте надо этим вариантом:
    заменить на клиентских машинах раздел реестра HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Modem (чтобы удалить ранее установленные модемы) и изменить разрешения на эту ветку для блокирования от изменения для всех пользователей кому запрещено пользоваться модемами.  
    Но на мой взгляд - это костыль и лучше мигрировать (раз начальство ввело новые правила, то у вас появился шанс обосновать апгрейд, так как это далеко не единственное преимущество над win2k3)

    Всего записей: 41 | Зарегистр. 31-01-2010 | Отправлено: 09:57 17-10-2013 | Исправлено: Acid gh0st, 10:00 17-10-2013
    lordsharks

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
     
    насколько я знаю гибкое управление USB устройствами (как в статье данной ipmanyak) через GPO появилось только в w2k8.  
     
    Если миграция не приемлема, то подумайте надо этим вариантом:  
    заменить на клиентских машинах раздел реестра HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Modem (чтобы удалить ранее установленные модемы) и изменить разрешения на эту ветку для блокирования от изменения для всех пользователей кому запрещено пользоваться модемами.  
    Но на мой взгляд - это костыль и лучше мигрировать (раз начальство ввело новые правила, то у вас появился шанс обосновать апгрейд, так как это далеко не единственное преимущество над win2k3)

     
     
    Как рас жду новый сервер и собираюсь ставить 2008. спасибо за подсказку

    Всего записей: 17 | Зарегистр. 31-08-2013 | Отправлено: 18:44 21-10-2013
    lordsharks

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    http://forum.ru-board.com/topic.cgi?forum=8&topic=4998 [?]  
    и статью  
    http://dimanb.wordpress.com/2012/07/02/usb-and-gpo/  

     
    В этой статье указано как отключить устройства если я знаю GUID-идентификатор  каждого модема, а что делать если у меня предприятие  5км на 3км. по всей территории стоят цеха я  ж не могу бегать год по предприятии и вылавливать у кого есть модем у кого нету чтоб посмотреть их GUID-идентификатор и забанить его.

    Всего записей: 17 | Зарегистр. 31-08-2013 | Отправлено: 10:54 22-10-2013
    borin

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    lordsharks

    Цитата:
    не могу бегать год по предприятии и вылавливать у кого есть модем у кого нету чтоб посмотреть их GUID-идентификатор и забанить его

     
    вставьте в стартовый (или в shutdown) скрипт получение GUID'ов  
     
     

    Всего записей: 32 | Зарегистр. 27-03-2006 | Отправлено: 13:15 22-10-2013
    Eye_Bass

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Добрый день, поиском пробежался и не нашел.
    Вопрос теоретический: почему нельзя применять gp напрямую на пользователей, компьютеры и контейнеры (builtin)?
    Чисто технически понятно: у этих объектов нет атрибута gpLink, но что мешает реализовать...

    Всего записей: 60 | Зарегистр. 10-03-2005 | Отправлено: 17:23 22-10-2013
    lordsharks

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    вставьте в стартовый (или в shutdown) скрипт получение GUID'ов  

     
    У Вас случено нету такого скрипта? А то что то у меня не хочет собирать.((

    Всего записей: 17 | Зарегистр. 31-08-2013 | Отправлено: 09:42 23-10-2013 | Исправлено: lordsharks, 09:42 23-10-2013
    OOD

    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    После установки IE 10 на сервер нет вкладки настроек прокси :
       
    так было раньше вкладка присутствовала:
       
     
    Добавлено:
    Спасибо оказывается у неё новое место:
     

    Всего записей: 3378 | Зарегистр. 20-05-2006 | Отправлено: 11:18 23-10-2013
    DieMaN



    Junior Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Подскажите пожалуйста как реализовать такую задачу. В домене 2 подсети - 10.63.1.x и 10.63.2.x, пользователь может работать в обоих на разных компьютерах под своей учетной записью. На пользователей домена распространяется политика, которая прописывает прокси в браузере. Как сделать так, чтобы при входе в первую подсеть на пользователя распространялась эта политика, а при входе во вторую не распространялась? Пробовал вариант с нацеливанием, но не очень понятно как оно действует.

    Всего записей: 169 | Зарегистр. 28-12-2003 | Отправлено: 19:27 28-10-2013
    borin

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    DieMaN
    политики не site навесьте

    Всего записей: 32 | Зарегистр. 27-03-2006 | Отправлено: 19:52 28-10-2013
    lordsharks

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Всем привет помогите решить пару вопросов
     
    1) подключили к себе филиал 150 машин, всех ввели домен но выдали все группу АДМИНИСТРАТОРОВ вместо обычного пользователя есть у кого скрипт который бы изменил всем групп??
     
    2) Как создать учетную запись которая разрешала бы производить установку программ на те машины где запрещено  это делать обычному пользователю , но в тоже время у этой учетки не было доступа к серверам??  
     

    Всего записей: 17 | Зарегистр. 31-08-2013 | Отправлено: 13:34 29-10-2013
    Открыть новую тему     Написать ответ в эту тему

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Групповые политики (Group Policy, GPO): документация, ссылки


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.B0ard
    © Ru.B0ard 2000-2024

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru