#
Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Групповые политики (Group Policy, GPO): документация, ссылки

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123

Открыть новую тему     Написать ответ в эту тему

lynx



Advanced lynx
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Групповые политики (Group Policy)


  • Групповые политики Active Directory
  • Структура объекта групповой политик
  • http://www.gpanswers.com/  
  • Windows Server Group Policy Home

    См. также Общие вопросы по Active Directory (AD)

    FAQ

  • Не работают групповые политики
  • Безопасность
  • Восстановление политик
  • Групповые политики + Internet Explorer (IE)
  • Windows Vista & Windows Server 2008
  • Другие вопросы по групповым политикам

    Документация

  • Англоязычная:
  • Русскоязычная:


    Пост подготовлен: G14

  • Всего записей: 11712 | Зарегистр. 08-05-2001 | Отправлено: 19:33 13-12-2004 | Исправлено: Paromshick, 10:25 23-09-2016
    OOD

    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Подскажите DC 2008R2 на нем установлен IE10, как вносить изменения через GPO в IE10?Есть только настройки на 6-7-8 IE

    Всего записей: 3308 | Зарегистр. 20-05-2006 | Отправлено: 13:55 29-10-2013 | Исправлено: OOD, 13:56 29-10-2013
    ddiman



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Здравствуйте, нужна помощь гуру!  
    Ситуация такая: есть контролер домена на Windows Server 2012, нужно с помощью групповых политик управлять запуском системных служб у клиентов на Windows XP.
    Дело в том, что я не могу найти даже названия некоторых XP-шных служб в редакторе групповых политик на сервере! Речь, например, о службах "Справка и поддержка" или "Служба сообщений".
    (Ищу здесь: Конфигурация компьютера-Комфигурация Windows-Параметры безопасности-Системные службы)  
    Подскажите куда копать, очень нужно!

    Всего записей: 207 | Зарегистр. 27-05-2004 | Отправлено: 20:37 30-10-2013
    obtim



    Gold Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Есть сертификат .pfx(с паролем), который надо поставить в личные всем пользователям двух терминальный серверов. Как это сделать через GPO?
    Ответ на свой вопрос: В моем случае через:
    importpfx.exe -f cc.pfx -p 1 -t USER -s My  
     


    ----------
    Дьявол коварен - он может явиться к нам просто в образе дьявола

    Всего записей: 8416 | Зарегистр. 03-03-2002 | Отправлено: 10:58 12-11-2013 | Исправлено: obtim, 14:45 13-11-2013
    Dasky



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    добрый...
    извиняюсь за избитый вопрос, наверняка уже не раз обсуждалось...
    в шапке и теме еще не нашел, поетому побуду чукчей-писителем, извиняюсь еще раз...
     
    есть домен под Win2008 r2 и пользовательские машинки на Xp и Win7...
    в ГПО есть отдельная политика перемещения папок Dektop, Documents по пути \\server\user_dektop, \\server\user_documents...
    политика применяется для Проверенных пользователей (Authenticated Users)...
    возникла необходимость в организации удаленного помещения, где будут находиться порядка 5 человек...канал будет слабенький, поетому необходимо выключить применение данной политики для определенного круга лиц...
    и вот тут я затупил, т.к. с ГПО уже признаться давно не работал...
    как лучше/отпимальнее организовать подобное?
    1. вынести всех пользователей, кроме 5 человек в отдельную группу и вместо Проверенных пользователей (Authenticated Users) задать применение к созданной группе (но как-то не очень логично)
    2. вынести 5 человек в отдельную группу и указать, чтоб к данной группе политика не применялась? (как бы логично, но не помню, чтоб в ГПО было такое)
     
    возможно есть какие-то еще более кошерные способы о которых я не помню/не знаю...
    сейчас конечно, продолжу гуглить, но если кому будет не затруднительно/кто-то уже делал такое, большая просьба подсказать наилучший способ организации/возможно есть какие-то нюансы...
    спс...

    ----------
    женский алкоголизм неизлечим, мужской - неизбежен...

    Всего записей: 1232 | Зарегистр. 08-03-2006 | Отправлено: 20:15 12-11-2013
    BW4ever

    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    вынести 5 человек в отдельную группу и указать, чтоб к данной группе политика не применялась? (как бы логично, но не помню, чтоб в ГПО было такое)

    Вынести их в группу, и в разрешениях GPO редиректящего папки указать явный запрет на чтение.

    Всего записей: 262 | Зарегистр. 18-05-2006 | Отправлено: 20:47 12-11-2013 | Исправлено: BW4ever, 20:47 12-11-2013
    Dasky



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    BW4ever
    спасибо за отклик, еще пара тупых вопросов, т.к. сделать пока не получилось...
    объект ГП folder_redirection прилинкован к OU_name (размешение) и фильтры безопасности - прошедшие проверку
    делегирование: прошедшие проверку - чтение (с учетом фильтрации ограничений безопасности)
    если нажать дополнительно здесь же в делегировании, то на прошедших проверку выставлены права разрешить чтение и применить ГПолитику
     
    добавляю тестового пользователя user_test в делегирование и на вкладке дополнительно меняю галки разрешения с чтения и применения ГПолитики на запретить
    залогиниваюсь под user_test на машине, выполняю gpresult /h report.html и вижу, что папки перемещены, т.е. запрет не сработал для тестового юзера...
     
    не там делаю? или же необходимо еще изменить политику - конфигурация пользователя - политики - конфигурация Windows - перенаправление папки - рабочий стол - свойства - выставить Указать различные расположения для разных групп пользователей?
    спс...

    ----------
    женский алкоголизм неизлечим, мужской - неизбежен...

    Всего записей: 1232 | Зарегистр. 08-03-2006 | Отправлено: 13:14 13-11-2013
    BW4ever

    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Да вроде все правильно. А в OU_name лежат пользователи или компьютеры?

    Всего записей: 262 | Зарегистр. 18-05-2006 | Отправлено: 13:44 13-11-2013
    Dasky



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    BW4ever
    гм, OU_name лежат и пользователи и компьютеры
    честно, не знаю почему так было сделано...делалось до меня
     
    Добавлено:
    выносить компьютеры в отдельную OU?
    или же убрать из фильтров безопасности - Прошедшие проверку, заменив их на Domain Users? а в делегировании-дополнительно поставить запрет на применение политики для тестового пользователя?

    Всего записей: 1232 | Зарегистр. 08-03-2006 | Отправлено: 13:56 13-11-2013
    BW4ever

    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Насчет содержимого OU_name я спросил потому, что думал там лежат только компьютеры, а пользователи например, в контейнере users. Это в принципе объяснило бы, почему политика не применилась.
    Попробуй создать тестового пользователя в этом OU, после этого на компьютере выполни gpupdate /force И после этого зайди этим тестовым пользователем, глянь что gpresult покажет.
     
    Добавлено:

    Цитата:
    выносить компьютеры в отдельную OU?  

    Это не имеет значения.

    Всего записей: 262 | Зарегистр. 18-05-2006 | Отправлено: 15:32 13-11-2013
    Dasky



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    BW4ever
    в общем сделал следующим образом...
    в OU_name создал OU_name_dop_office, выставил для него блокировать наследование...
    создал политику, в настройках которой указал, чтоб папки редиректились в расположение, определяемое локальным пользователем и прилинковал ее к OU_name_dop_office
    насколько понимаю, папки вновь созданных пользователей в OU_name_dop_office будут иметь стандартный путь, а пути папок пользователей, которые переедут из головного офиса в доп. будут изменены на локальное сохранение...
    решение как мне кажется несколько кривоватое, но иначе сделать не получилось
    спс Вам за подсказки

    ----------
    женский алкоголизм неизлечим, мужской - неизбежен...

    Всего записей: 1232 | Зарегистр. 08-03-2006 | Отправлено: 09:57 14-11-2013
    Acid gh0st



    Junior Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

    Цитата:
    в OU_name создал OU_name_dop_office, выставил для него блокировать наследование...  

    Dasky, а вот это зачем? ведь у Вас как я понимаю политики одинаковые для всех пользователей, отличаясь лишь редиректом личных папок?
    Просто таким образом вы отказались от наследования всех политик и их придется настраивать заново и не совсем правильно, ведь если вы поменяете глобальную политику, Вы (ну или тот кто будет после Вас) можете не обратить внимание, что она не применится на работников дополнительного офиса.
     
    Если еще не поздно предложу свое решение:
     
    пользователи в основном офисе (А) будут в подразделении OU_name
    дополнительного во вложенном подразделении  OU_name_dop_office (D) - вы все так и сделали и теперь создаете в D политику block_redir, и в политике премещения указываете необходимую настройку, кроме "Не задана", так как при этом значении редирект будет наследоваться. Если хотите чтобы профили в офисе D хранились на локальных компах укажите "Перенаправлять всех пользователей в одно место"->"перенаправлять в следующие расположение" и укажите "C:\Users\" к примеру. (можно в принципе вместо для всех пользователей использовать различные расположения по группам и также указать для прошедших проверку локальный путь)

    Всего записей: 41 | Зарегистр. 31-01-2010 | Отправлено: 12:52 14-11-2013 | Исправлено: Acid gh0st, 12:55 14-11-2013
    Dasky



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Acid gh0st

    Цитата:
    а вот это зачем? ведь у Вас как я понимаю политики одинаковые для всех пользователей, отличаясь лишь редиректом личных папок?  

    временное решение, т.к. с политиками буду еще разбираться...
    дело в том, что на данный момент создано несколько политик (не мной), которые задают некоторые совсем несущественные для доп.офиса параметры (например указание адреса сервера ВСУС и мапинг сетевого диска)
    больше, можно сказать, ничего не настроено...

    Всего записей: 1232 | Зарегистр. 08-03-2006 | Отправлено: 13:11 14-11-2013 | Исправлено: Dasky, 13:13 14-11-2013
    OverDope



    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Добрый день уважаемые форумчане!
    Подскажите, пожалуйста как при помощи Group Policy Preferences создать ярлык в папке "Мои документы"?
    Папки "Мои документы" нет в списке.
     
       
     
    Если нажать f3 в поле имя и посмотреть список переменных папки "Мои документы" там тоже нет.
     
       
     
    У пользователей используется перенаправление папки "Мои документы" на сервер по unc пути вида: \\server\users$\username\Мои документы
    Вопрос: Каким образом можно создавать ярлыки в папке "Мои документы" с помощью "Предпочтений групповой политики"?
    Спасибо.

    Всего записей: 44 | Зарегистр. 26-05-2006 | Отправлено: 12:19 04-12-2013 | Исправлено: OverDope, 12:22 04-12-2013
    77599073587



    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Вообщем такая проблема, имеется домен на Servere  2008 R2, в Active Directory в свойствах компьютера есть вкладка безопасность, случайно поставил галку на полный доступ - запретить, выдало сообщение ---------------------------
    Безопасность Windows
    ---------------------------
    Вы запретили доступ к "USER" для членов группы "Все". Никто не сможет получить доступ к "USER", и только владелец сможет изменить разрешения.
     
     
     
    Продолжить выполнение операции?
    ---------------------------
    Да   Нет    
    ---------------------------
     
    Нажал на да, после этого не входит в общий доступ на компьютер USER,  
    [Window Title]
    Открыть папку
     
    [Content]
    Нет доступа к \\USER. Возможно, у вас нет прав на использование этого сетевого ресурса. Обратитесь к администратору этого сервера для получения соответствующих прав доступа.
     
    Вход в систему не произведен: выбранный режим входа для данного пользователя на этом компьютере не предусмотрен.
     
     
    [ОК]
     
     
     
    В локальной политике безопасности на компе USER нельзя поменять настройки в  
     
    Назначение прав пользователя - Доступ к компьютеру из сети
                                           и       - Отказать в доступе к этому компьютеру из сети
     
     
    Помогите разобраться с этим, нужно обратно все вернуть, что б к USER можно было подключиться

    Всего записей: 29 | Зарегистр. 12-02-2013 | Отправлено: 16:03 04-12-2013
    OverDope



    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    77599073587

      1 - Удалить группу "Все" из свойств безопасности компьютера. Затем добавить с разрешениями по умолчанию.
      2 - Вывести компьютер из домена, предварительно убедившись что пароль локального администратора известен и работает. Удалить учетку компьютера из домена. Ввести компьютер в домен.

    P.S. И забудь про локальные политики - используй доменные.

    Всего записей: 44 | Зарегистр. 26-05-2006 | Отправлено: 16:38 04-12-2013 | Исправлено: OverDope, 16:43 04-12-2013
    Acid gh0st



    Junior Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    OverDope
    у самого Group Policy Preferences на AD не стоит, поэтому точно подсказать не смогу, но может оно лежит не в "Объектах файловой системы", может чушь говорю...
     
    но вот есть способ как сделать ярлык на рабочем столе "Моих документов" без GPP.
     
    через GPO прописать всем машинам этот ключик реестра
    "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel:{450D8FBA-AD25-11D0-98A8-0800361B1103} [DWORD} = 0".

    Всего записей: 41 | Зарегистр. 31-01-2010 | Отправлено: 20:17 04-12-2013 | Исправлено: Acid gh0st, 20:17 04-12-2013
    77599073587



    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Спасибо за помощь -OverDope, 1) действие сделал вчера ещё, но после перезагрузки залогиневшись не помогло, придя сегодня ничего не меняя доступ к компу USER появился, пока не понял в чем проблема, почему вчера не пускал на комп USER с сервака.  
     
    Добавлено:
    ЕСть ещё такой вопрос, домен находится в локальной сети, тоесть наш домен и пользователи которые находятся вне домена, хочу сделать так что бы  пользователь из локалки не мог зайти в комп который в домене, что б выходило сообщение типа
     
    Открыть папку
     
    [Content]
    Нет доступа к \\USER. Возможно, у вас нет прав на использование этого сетевого ресурса. Обратитесь к администратору этого сервера для получения соответствующих прав доступа.
     
    Вход в систему не произведен: выбранный режим входа для данного пользователя на этом компьютере не предусмотрен.
     
     
    [ОК]

    Всего записей: 29 | Зарегистр. 12-02-2013 | Отправлено: 07:38 05-12-2013
    OverDope



    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    77599073587

    Если я правильно понял то нужно разрешить доступ к компьютеру только доменным пользователям.
    В таком случае создай групповую политику и определи в ней следующие параметры:
     

     
    Доступ к компьютеру из сети - укажи группы Domain Users и Domain Administrators
    Локальный вход в систему - укажи группы Domain Users, Domain Administrators и локальных (не доменных) Администраторов.
    Разрешать вход в систему через службы удаленных рабочих столов - укажи группу Domain Administrators
    После этого примени эту политику к учетным записям компьютеров домена. Желательно сначала к какому-нить одному для тестирования. И если все пройдет хорошо - вводи эту политику в домене.
    Внимание - применять её к серверам не желательно! Только к рабочим станциям пользователей.
    P.S. После назначения политики какому-нить компьютеру, для того, что бы политика применилась быстрее  
    выполни в командной строке от имени Администратора на этом компьютере gpupdate /force
    Кстати именно по этому у тебя комп User заработал после перезагрузки - он обновил политику.
    P.P.S. А вообще в идеале - в локалке домена нечего делать не доменным пользователям.
     
     

    Всего записей: 44 | Зарегистр. 26-05-2006 | Отправлено: 10:31 05-12-2013 | Исправлено: OverDope, 10:40 05-12-2013
    77599073587



    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
     ----------   OverDope
     
    то что нужно , Спасибо за помощь.
     
    Добавлено:
    ну и последний вопрос, думаю вы тоже знаете как его решить. Наша компания переходит с локальной сети на доменную сеть. Вопрос в чем, при помощи программки Profwiz3 я перевел всех локальных пользователей в домен, сохранив все настройки, рабочий стол и так далее, но при этом профиль в домене старый и остался, под именем User, C:\Users\user  , хотя учетка наприер ivanov, каким образом можно заменить это имя - вместо C:\Users\user -> C:\Users\ivanov, в командной строке  что б тоже было C:\Users\ivanov
     
    Добавлено:
    при этом ничего не копируя, может как то можно просто переименовать это имя ?

    Всего записей: 29 | Зарегистр. 12-02-2013 | Отправлено: 12:14 05-12-2013
    OverDope



    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    77599073587

    На контроллере домена запустите консоль "Пользователи и компьютеры Active Directory"
    Найдите нужного вам пользователя и проверьте что указано в полях "Имя входа пользователя" и "Имя входа пользователя (пред-Windows 2000)". Имя которое указано в этих полях и будет именем профиля при входе пользователя.
     
     

    Всего записей: 44 | Зарегистр. 26-05-2006 | Отправлено: 13:34 05-12-2013 | Исправлено: OverDope, 13:39 05-12-2013
    Открыть новую тему     Написать ответ в эту тему

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Групповые политики (Group Policy, GPO): документация, ссылки

    Имя:
    Пароль:
    Сообщение

    Для вставки имени, кликните на нем.

    Опции сообщенияДобавить свою подпись
    Подписаться на получение ответов по e-mail
    Добавить тему в личные закладки
    Разрешить смайлики?
    Запретить коды


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.Board
    © Ru.Board 2000-2020

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru

    Рейтинг.ru