Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Групповые политики (Group Policy, GPO): документация, ссылки

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123

Открыть новую тему     Написать ответ в эту тему

lynx



Advanced lynx
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Групповые политики (Group Policy)


  • Групповые политики Active Directory
  • Структура объекта групповой политик
  • http://www.gpanswers.com/  
  • Windows Server Group Policy Home

    См. также Общие вопросы по Active Directory (AD)

    FAQ

  • Не работают групповые политики
  • Безопасность
  • Восстановление политик
  • Групповые политики + Internet Explorer (IE)
  • Windows Vista & Windows Server 2008
  • Другие вопросы по групповым политикам

    Документация

  • Англоязычная:
  • Русскоязычная:


    Пост подготовлен: G14

  • Всего записей: 11712 | Зарегистр. 08-05-2001 | Отправлено: 19:33 13-12-2004 | Исправлено: Paromshick, 10:25 23-09-2016
    serik1986



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    ursulus
    присоединяюсь, раздражает порой.

    Всего записей: 253 | Зарегистр. 29-06-2009 | Отправлено: 16:08 04-10-2013
    sergeyrambler

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Подскажите,  
    на контроллере домена хочу расшарить папку.  
    Создаю нового юзера, назначаю ему права на папку.  
    Захожу с другого компа(не из домена) в расшареную папку на контролере домена - просит ввести имя и пароль - ввожу нового юзера,но в папку не дает зайти.  
    Если на папку дать все права - то заходит.  
    В чем может быть проблема?  
     
    заранее спасибо

    Всего записей: 8 | Зарегистр. 28-10-2009 | Отправлено: 17:26 04-10-2013
    Acid gh0st



    Junior Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    serik1986

    Цитата:
    группа локальных администраторов это BUILTIN\Administrators? так выглядит эта группа в домене?

    Если использовать эту учетку, то туда входят вообще все администраторы (в том числе и администраторы домена) и такое не аккуратное действие вообще может лишить вас контроля над этой рабочей станцией.
    Я вижу решение этой проблемы по-другому: надо отнести группу локальных администраторов на целевой рабочей станции (в вашем случае это VideoServers) в созданную нами группу (к примеру, VideoServers_admin), для дальнейшего ее ограничения. Это можно сделать через GPO с помощью "Групп с ограниченным доступом". Находятся они в Конфигурация компьютера -> Конфигурация Windows -> Параметры безопасности -> Группы с ограниченным доступом, затем ПКМ добавить группу, там выбираем Администратор и включаем в нужную нам группу VideoServers_admin. Правда с таким подходом для НачальникаОхраны и Группы Администраторов домена прописывать вообще все разрешения с нуля, так как группу для группы Администраторов вход на рабочие станции будет запрещен. Есть менее трудоемкий способ, но его легче обойти, это отнести в ограниченную учетную запись (VideoServers_admin) только конкретных локальных Администраторов, допустим есть только встроенные, для того чтобы отнести их нужно зайти на локальную рабочую станцию и определить пользователя в ограниченную группу. Это можно сделать как локально, подойдя и этой рабочей станции и залогинется, так и удаленно заходим в Управление компьютером -> действия -> подключиться к другому компьютеру, дальше все просто.
     
    p.s. Привычки кидать помидорами в кого либо не имею )), да и до гуру мне далеко, из книг по AD читал много отрывочно, но полностью прочитал книгу «Шетка Петр Microsoft Windows Server 2003 Практическое руководство по настройке сети» очень рекомендую начинать с нее.
     
    ursulus ты имеешь в виду, что автоматически не известную сеть относит к Общественной, а ты хочешь к Частной или что-то другое?
     
    sergeyrambler, если для нового пользователя, то нужно вначале перезагрузить Контролер домена, а потом разрешения начнут работать верно, если перезагружать Контролер не вариант, то погугли думаю можно и какие-то службы перезапустить.

    Всего записей: 41 | Зарегистр. 31-01-2010 | Отправлено: 19:56 04-10-2013 | Исправлено: Acid gh0st, 20:10 04-10-2013
    sergentum

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Уважаемые подскажите.
    после перезагрузки компьютера на логон экране видна иконка только последнего пользователя, несмотря на то что на этом компе есть и локальных куча пользователей и работал другой доменный пользователь, этих пользователей на логон экране нет. Т.е. если ты свою домен\учетку (или имя_компьютера\учетка) не знаешь то залогиниться не сможешь, что есть весьма неудобно для пользователей. Можно как то починить? например чтобы видно было всех локальных пользователей (как обычно) и еще тех кто логинился доменной учеткой?

    Всего записей: 23 | Зарегистр. 14-03-2011 | Отправлено: 14:03 06-10-2013 | Исправлено: sergentum, 14:08 06-10-2013
    ursulus

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Acid gh0st
    Хочу что бы всегда, при подключении к домену не выскакивал запрос о расположении в сети, а определялся автоматически средствами гпо, что бы автоматически назначалась "сеть предприятия".

    Всего записей: 18 | Зарегистр. 29-05-2012 | Отправлено: 08:08 07-10-2013
    Acid gh0st



    Junior Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

    Цитата:
    Acid gh0st  
    Хочу что бы всегда, при подключении к домену не выскакивал запрос о расположении в сети, а определялся автоматически средствами гпо, что бы автоматически назначалась "сеть предприятия".

    http://serverfault.com/questions/219508/how-to-set-the-network-profile-of-windows-7-via-group-policy - тут есть ответ, но я таким решением не разу не пользовался.
     
    У меня с расположением была другая проблема, на виртуальном сервере настроил внутреннюю сеть, но не хотел для нее настраивать DNS и при каждой перезагрузке, компьютеры соединенные этой сеткой определяли сеть как "Общую" и соответственно пропадали из сетевого обнаружения, эта проблема решается через GPO, назначением всем Неопознанным сетям Тип расположения как Частное.

    Всего записей: 41 | Зарегистр. 31-01-2010 | Отправлено: 10:47 09-10-2013
    jey_str

    Full Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    подскажите можно ли дать одному пользователю права на запуск одной службы

    Всего записей: 565 | Зарегистр. 02-09-2009 | Отправлено: 12:45 09-10-2013
    lordsharks

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    День добрый.  сразу к делу
    домен Windows server 2003  
    1000 пользователей подключено к домену
     
    До недавнего времени не было запрещено пользоваться  3g модемами.  Выпустили приказ запрета, но мое предприятие занимает очень большую территорию примерно 10 на 5 км и всех не проконтролировать. как через GPO  запретить пользоваться любим модемом но в тоже время чтоб мышка, клавиатура, веб камер, принтера и сканеры работали??
     
     

    Всего записей: 17 | Зарегистр. 31-08-2013 | Отправлено: 10:28 16-10-2013
    ipmanyak



    Platinum Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    lordsharks Поиск отменили? Прочтите все страницы ветки
    http://forum.ru-board.com/topic.cgi?forum=8&topic=4998
    и статью  
    http://dimanb.wordpress.com/2012/07/02/usb-and-gpo/


    ----------
    В сортире лучше быть юзером, чем админом...

    Всего записей: 10007 | Зарегистр. 10-12-2003 | Отправлено: 11:13 16-10-2013 | Исправлено: ipmanyak, 11:14 16-10-2013
    borin

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    lordsharks

     
    если есть бюджет, смотрите devicelock
     

    Всего записей: 32 | Зарегистр. 27-03-2006 | Отправлено: 16:08 16-10-2013
    Acid gh0st



    Junior Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    lordsharks

    Цитата:
    домен Windows server 2003  

    насколько я знаю гибкое управление USB устройствами (как в статье данной ipmanyak) через GPO появилось только в w2k8.  
     
    Если миграция не приемлема, то подумайте надо этим вариантом:
    заменить на клиентских машинах раздел реестра HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Modem (чтобы удалить ранее установленные модемы) и изменить разрешения на эту ветку для блокирования от изменения для всех пользователей кому запрещено пользоваться модемами.  
    Но на мой взгляд - это костыль и лучше мигрировать (раз начальство ввело новые правила, то у вас появился шанс обосновать апгрейд, так как это далеко не единственное преимущество над win2k3)

    Всего записей: 41 | Зарегистр. 31-01-2010 | Отправлено: 09:57 17-10-2013 | Исправлено: Acid gh0st, 10:00 17-10-2013
    lordsharks

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
     
    насколько я знаю гибкое управление USB устройствами (как в статье данной ipmanyak) через GPO появилось только в w2k8.  
     
    Если миграция не приемлема, то подумайте надо этим вариантом:  
    заменить на клиентских машинах раздел реестра HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Modem (чтобы удалить ранее установленные модемы) и изменить разрешения на эту ветку для блокирования от изменения для всех пользователей кому запрещено пользоваться модемами.  
    Но на мой взгляд - это костыль и лучше мигрировать (раз начальство ввело новые правила, то у вас появился шанс обосновать апгрейд, так как это далеко не единственное преимущество над win2k3)

     
     
    Как рас жду новый сервер и собираюсь ставить 2008. спасибо за подсказку

    Всего записей: 17 | Зарегистр. 31-08-2013 | Отправлено: 18:44 21-10-2013
    lordsharks

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    http://forum.ru-board.com/topic.cgi?forum=8&topic=4998 [?]  
    и статью  
    http://dimanb.wordpress.com/2012/07/02/usb-and-gpo/  

     
    В этой статье указано как отключить устройства если я знаю GUID-идентификатор  каждого модема, а что делать если у меня предприятие  5км на 3км. по всей территории стоят цеха я  ж не могу бегать год по предприятии и вылавливать у кого есть модем у кого нету чтоб посмотреть их GUID-идентификатор и забанить его.

    Всего записей: 17 | Зарегистр. 31-08-2013 | Отправлено: 10:54 22-10-2013
    borin

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    lordsharks

    Цитата:
    не могу бегать год по предприятии и вылавливать у кого есть модем у кого нету чтоб посмотреть их GUID-идентификатор и забанить его

     
    вставьте в стартовый (или в shutdown) скрипт получение GUID'ов  
     
     

    Всего записей: 32 | Зарегистр. 27-03-2006 | Отправлено: 13:15 22-10-2013
    Eye_Bass

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Добрый день, поиском пробежался и не нашел.
    Вопрос теоретический: почему нельзя применять gp напрямую на пользователей, компьютеры и контейнеры (builtin)?
    Чисто технически понятно: у этих объектов нет атрибута gpLink, но что мешает реализовать...

    Всего записей: 60 | Зарегистр. 10-03-2005 | Отправлено: 17:23 22-10-2013
    lordsharks

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    вставьте в стартовый (или в shutdown) скрипт получение GUID'ов  

     
    У Вас случено нету такого скрипта? А то что то у меня не хочет собирать.((

    Всего записей: 17 | Зарегистр. 31-08-2013 | Отправлено: 09:42 23-10-2013 | Исправлено: lordsharks, 09:42 23-10-2013
    OOD

    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    После установки IE 10 на сервер нет вкладки настроек прокси :
       
    так было раньше вкладка присутствовала:
       
     
    Добавлено:
    Спасибо оказывается у неё новое место:
     

    Всего записей: 3304 | Зарегистр. 20-05-2006 | Отправлено: 11:18 23-10-2013
    DieMaN



    Junior Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Подскажите пожалуйста как реализовать такую задачу. В домене 2 подсети - 10.63.1.x и 10.63.2.x, пользователь может работать в обоих на разных компьютерах под своей учетной записью. На пользователей домена распространяется политика, которая прописывает прокси в браузере. Как сделать так, чтобы при входе в первую подсеть на пользователя распространялась эта политика, а при входе во вторую не распространялась? Пробовал вариант с нацеливанием, но не очень понятно как оно действует.

    Всего записей: 169 | Зарегистр. 28-12-2003 | Отправлено: 19:27 28-10-2013
    borin

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    DieMaN
    политики не site навесьте

    Всего записей: 32 | Зарегистр. 27-03-2006 | Отправлено: 19:52 28-10-2013
    lordsharks

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Всем привет помогите решить пару вопросов
     
    1) подключили к себе филиал 150 машин, всех ввели домен но выдали все группу АДМИНИСТРАТОРОВ вместо обычного пользователя есть у кого скрипт который бы изменил всем групп??
     
    2) Как создать учетную запись которая разрешала бы производить установку программ на те машины где запрещено  это делать обычному пользователю , но в тоже время у этой учетки не было доступа к серверам??  
     

    Всего записей: 17 | Зарегистр. 31-08-2013 | Отправлено: 13:34 29-10-2013
    Открыть новую тему     Написать ответ в эту тему

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Групповые политики (Group Policy, GPO): документация, ссылки

    Имя:
    Пароль:
    Сообщение

    Для вставки имени, кликните на нем.

    Опции сообщенияДобавить свою подпись
    Подписаться на получение ответов по e-mail
    Добавить тему в личные закладки
    Разрешить смайлики?
    Запретить коды


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.Board
    © Ru.Board 2000-2018

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru