Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Групповые политики (Group Policy, GPO): документация, ссылки

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123

Открыть новую тему     Написать ответ в эту тему

lynx



Advanced lynx
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Групповые политики (Group Policy)


  • Групповые политики Active Directory
  • Структура объекта групповой политик
  • http://www.gpanswers.com/  
  • Windows Server Group Policy Home

    См. также Общие вопросы по Active Directory (AD)

    FAQ

  • Не работают групповые политики
  • Безопасность
  • Восстановление политик
  • Групповые политики + Internet Explorer (IE)
  • Windows Vista & Windows Server 2008
  • Другие вопросы по групповым политикам

    Документация

  • Англоязычная:
  • Русскоязычная:


    Пост подготовлен: G14

  • Всего записей: 11712 | Зарегистр. 08-05-2001 | Отправлено: 19:33 13-12-2004 | Исправлено: Paromshick, 10:25 23-09-2016
    Paromshick



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Xrobak
    Замечательный скриншот. Вопрос-то в чём?

    Всего записей: 2522 | Зарегистр. 12-04-2013 | Отправлено: 09:16 27-06-2014
    Xrobak

    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    А под скриншотом вопрос прочитать сложно? Или мне еще раз его повторить?

    Всего записей: 926 | Зарегистр. 16-08-2004 | Отправлено: 11:53 27-06-2014
    Paromshick



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Не разглядел - сливается.
    Случаем, не разные политики паролей в домене? В таком случае - предыдущая данная мной ссылка. Говорят - работает.
    Если нет, то вот здесь случаем нет напоминания дней так за 330?


    ----------
    Всё что угодно можно наладить, если достаточно долго вертеть в руках

    Всего записей: 2522 | Зарегистр. 12-04-2013 | Отправлено: 12:05 27-06-2014 | Исправлено: Paromshick, 12:07 27-06-2014
    Xrobak

    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Политика одна для всех. По указанному скриншоту все так же как у вас, т.е. не указано там кол-во дней, и в результирующей политике данное поле тоже пустое.
    Но раз уж просит менять раз в месяц, значит откуда-то это берется, хотя почему-то в результирующей политике и не отображается.

    Всего записей: 926 | Зарегистр. 16-08-2004 | Отправлено: 13:18 27-06-2014
    Paromshick



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Просит у всех пользователей, или в одной\нескольких OU? Это я к тому, что политики могут быть разными. Это же не политика учетных записей, а политика безопасности. Следовательно, политика настроенная на локальном сервере может влезать.
     
    Пока все мысли. Как правильно замечено, если оно есть, значит откуда-то берется. Не так много источников. Дефолтные политики домена\контроллеров, политики настроенные юзером в AD, политики локальной машины. Наконец тупая правка реестра на лок машине.
     
    Ну и неизвестное - а можно вообще такой срок пароля устанавливать? Не проще ли (для чистоты) Password never expires. Наткнулся по ходу http://technet.microsoft.com/ru-ru/library/bb418799.aspx

    ----------
    Всё что угодно можно наладить, если достаточно долго вертеть в руках

    Всего записей: 2522 | Зарегистр. 12-04-2013 | Отправлено: 13:59 27-06-2014
    EjikNET



    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Ребят, помогите пожалуйста...
     
    Есть небольшой парк компьютеров в конторе с БОЛЬШИМ потоком кадров.. В связи с чем постоянно приходится настраивать сотрудникам определенных отделов определенные настройки.. Принтеры например.. Да и хотелось с программным обеспечением поиграться.. Но суть не в этом...
    Что бы не полагаться на свой небольшой опыт, прочитал несколько статей по поводу групповых политик и решил реализовать задуманное..
     
    Имеется:
    1. КД (один со всеми ролями - на днях привезут еще один, тогда будет двое)
    2. Терминал под 1С
    3. Терминал под офисые приложения + на нем гипервизор с фтп и oprnvpn
    !ВСЕ на Windows Server 2008 R2 x64!
     
    Настроил ГП на КД (для начала пользователям (подразделениям) распределил принтеры) и.. НИЧЕГО.. Ни какой реакции у пользователей.. Вообще.. Без ошибок или хоть каких нибудь сообщений что на компах, что на серваке...
     
    Причем gpresult /z показывает, что политика применяется, но толку шиш...
     
    Все работы проводил под учеткой НЕ Администратора, а добавленного пользователя со всеми нужными правами -администратор домена, администратор предприятия, владелец-создатель объектов групповой политики и т.д...
     
    Что делать и в какую сторону смотреть ума не приложу..
     
    Если у кого была подобная история или просто подкованный спец в этой области - помогите.. Очень надо...

    Всего записей: 22 | Зарегистр. 14-08-2012 | Отправлено: 17:22 05-08-2014 | Исправлено: EjikNET, 10:20 06-08-2014
    anton04



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    EjikNET
     

    Цитата:
    Настроил ГП на КД (для начала пользователям (подразделениям) распределил принтеры) и.. НИЧЕГО.. Ни какой реакции у пользователей..

     
    Всё зависит от того:
     
    1. какие стоят клиенты (версии Windows) у пользователей?
    2. как устанавливаются принтера, принтер расшарен или же происходит установка его как сетевого принтера (в последнем случае политику надо применять не к пользователям, а к ПК, т.к. запись идёт в HKLM).
     

    Цитата:
    Причем gpresult /z показывает, что политика применяется, но толку шиш...

     
    Есть в GPO такая штука как эмуляция применения любой политики с выводом результатов, пользуйтесь, очень помогает.
     
    P.S. Между прочим установка софта (через GPO) то же должна производится на ПК (политика должна быть прилинкована именно к компьютерам), а не на юзера.

    Всего записей: 2716 | Зарегистр. 14-06-2006 | Отправлено: 00:45 07-08-2014 | Исправлено: anton04, 00:47 07-08-2014
    EjikNET



    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    anton04
     

    Цитата:
    какие стоят клиенты (версии Windows) у пользователей?  

     
    В офисе в основном работают на семерке, но и ХР тоже присутствуют.. Я эксперименты проводил на семерке на физической машине.. Потом замучился ходить и теперь практикуюсь на виртуальной (VMware) семерке...
     

    Цитата:
    как устанавливаются принтера, принтер расшарен или же происходит установка его как сетевого принтера (в последнем случае политику надо применять не к пользователям, а к ПК, т.к. запись идёт в HKLM)

     
    Принтера сетевые.. Сейчас пробовал по вашему совету политику приметить к виртуальной машине - эффекта никакого..
     
    Сейчас с временем напряг.. Чуть попозже попробую эмуляцию применения политики.. Но все же терзают сомнения...

    Всего записей: 22 | Зарегистр. 14-08-2012 | Отправлено: 11:55 07-08-2014
    EjikNET



    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Неа.. Эффекта как и прежде нет...
     
    Есть интересный момент: применяя политику (к пользователю) с принтером к группе пользователей, в которую входит и моя админская учетка, а затем зайдя на рабочий ПК под ней, все работает - принтеры появляются..  
    В этой группе создал 5 учеток с равными правами - на двух принтеры появились на остальных нет..  
     
    Попытался применить политику к компьютеру в сети  - результат нулевой...
     
    Моделирование групповой политики тоже использовал.. Все в порядке - в отчете никаких косяков (если они там должны отображаться)
     
    Ничего не понимаю..

    Всего записей: 22 | Зарегистр. 14-08-2012 | Отправлено: 17:56 07-08-2014
    anton04



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    EjikNET
     

    Цитата:
    Есть интересный момент: применяя политику (к пользователю) с принтером к группе пользователей, в которую входит и моя админская учетка, а затем зайдя на рабочий ПК под ней, все работает - принтеры появляются..  

     
    Это говорит об достаточности Ваших прав для создания принтера.
     

    Цитата:
    Попытался применить политику к компьютеру в сети  - результат нулевой...

     
    Скриншот объектов GPO и содержимое Вашего GPO с установкой принтеров в студию.
     
    P.S. Где то у Вас косяк с правами (на запись или чтения в ту или иную папку)...
    P.P.S. Есть два способов установки принтеров, первый работает только в Vista и выше, а второй работает независимо от системы, какой применяете вы для меня загадка.

    Всего записей: 2716 | Зарегистр. 14-06-2006 | Отправлено: 10:07 08-08-2014 | Исправлено: anton04, 10:10 08-08-2014
    EjikNET



    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Пока я пробую применить политику к рабочим местам на семерке и при работе с ней как я понял, каких то особенных способов применения ГП не нужно (так по крайней мере я понял из прочитанного).. Пока не получится с ними - к ХР даже притрагиваться не буду..
     
    Ссылки на скрины:
     

     

     

     

     
     
    Извините, что так долго отвечаю.. Начальство не часто дает до рабочего места добраться))

    Всего записей: 22 | Зарегистр. 14-08-2012 | Отправлено: 18:08 08-08-2014 | Исправлено: EjikNET, 18:24 08-08-2014
    anton04



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    EjikNET
     
    Ну вот теперь стало яснее.
     
    1. Вы подключаете принтер как шару, поэтому проверьте настройки доступа (разрешения) на шару принтера, а лучше скриншот в студию.
    2. Во вторых шару принтера назовите односложно без пробелов типа "HPdj510" (временно до полного решения проблемы).
    3. В третьих всё же рекомендую навести порядок в AD, а именно, создать следующие организационные единицы:
     
    а) OU_Users
    б) OU_Computers
     
    В а) поместить все созданные вами организационные единицы с пользователями. В б) поместить все созданные вами организационные единицы с компьютерами.
     
    В наименовании OU старайтесь придерживаться предложенного выше шаблона, т.е. в начале каждой организационной единицы добавляете "OU_". Поверьте так будет намного проще читать "код" GPO.
     
    Подчёркиваю, что перемещать и переименовывать организационные единицы созданные AD по умолчанию, как то OU Domain Controllers, не надо.
     
    P.S. Организационные единицы (OU) это все те Ваши названия "папок" как то "Группы пользователей", "Компьютеры организации" и др.
    P.P.S Выделите Вашу текущую OU "Администраторы" и потом первую закладку, сделайте скриншот и предоставьте.

    Всего записей: 2716 | Зарегистр. 14-06-2006 | Отправлено: 10:36 09-08-2014
    EjikNET



    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Если я правильно понял, то вы предлагаете структурировать AD путем переименования "Подразделений" в названия на английском языке и не используя пробелы? Примерно так?:
     
    OU_Users
       OU_Administrators
       OU_Scientists
           OU_Group_1
           OU_Group_2
       OU_Architects
    и т. д.
     
    Ну и относительно ПК по той же схеме? Правильно?
     
    Вот скриншоты:
     
    Касаемо администратора:

     
    Разрешения принтера:

    Всего записей: 22 | Зарегистр. 14-08-2012 | Отправлено: 09:53 11-08-2014 | Исправлено: EjikNET, 16:19 11-08-2014
    anton04



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    EjikNET
    Цитата:
    Если я правильно понял, то вы предлагаете структурировать AD путем переименования "Подразделений" в названия на английском языке и не используя пробелы? Примерно так?:

     
    Да, но пробелы использовать можно, но начало должно быть у всех идентичное OU_ .
     
    Это не я предлагаю, а умные книжки рекомендуют
     

    Цитата:
    Ну и относительно ПК по той же схеме? Правильно?

     
    Да всё верно.
     

    Цитата:
    Вот скриншоты:  
       
    Разрешения принтера:

     
    Хм. всё в принципе верно, единственное нету группы "Прошедшие проверку", но при накатывании политики на пользователя это и не нужно.
    Затрудняюсь так ответить что не так, надо тупо смотреть всё с самого начала (от свойств пользователя и групп в которые он входит и до уровня доступа к КД и папкам), где что-то и должно быть не то....

    Всего записей: 2716 | Зарегистр. 14-06-2006 | Отправлено: 13:37 11-08-2014
    EjikNET



    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    anton04
     

    Цитата:
    ...надо тупо смотреть всё с самого начала (от свойств пользователя и групп в которые он входит и до уровня доступа к КД и папкам), где что-то и должно быть не то....

     
    Ну что ж, спасибо за советы в любом случае.. Буду копаться дальше, попробую разобраться..

    Всего записей: 22 | Зарегистр. 14-08-2012 | Отправлено: 16:23 11-08-2014
    urodliv



    Gold Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Коллеги. Нужно разъяснение.
    Правильно ли я понимаю, что теперь все настройки IE через GPO делаются через пакет IEAK. С его помощью создаём пакет установки IE с нужными параметрами, а затем этот пакет устанавливаем через GPO на нужные компы.
    Допустим у меня сейчас есть "боевой" терминальный сервер и мне нужно сменить начальную страничку у всех пользователей домена. Мои действия:
    1. Выкачиваем IEAK и устанавливаем его на какой-нибудь комп.
    2. Запускаем IEAK и с его помощью получаем установочный файл .msi.
    3. Через GPO устанавливаем этот файл на терминальный сервер.
    4. Если требуется, то перезагружаем сервак.
    5. Ловим возможные глюки.
     
    Я всё правильно понял? Или это экстремальный способ работы с IEAK и есть более правильный?
     
    P.S. Читал официальные документы: написаны хуже юридических загогулин.

    ----------
    Очень скоро еда станет совершенно безвкусной, и тогда этот недостаток придётся компенсировать хорошо развитым воображением.

    Всего записей: 6084 | Зарегистр. 29-04-2009 | Отправлено: 17:28 26-08-2014
    anton04



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    urodliv
     

    Цитата:
    Правильно ли я понимаю, что теперь все настройки IE через GPO делаются через пакет IEAK.

     
    Неправильно понимаете. Всегда все настройки задаются в GPO, в соответствующем разделе.
     

    Цитата:
    Я всё правильно понял? Или это экстремальный способ работы с IEAK и есть более правильный?

     
    Всё вами вышеописанное это способ развёртывания приложения, а не изменение настроек IE. Называется почувствуйте разницу.

    Всего записей: 2716 | Зарегистр. 14-06-2006 | Отправлено: 21:23 26-08-2014
    urodliv



    Gold Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    anton04
    Хорошо. С помощью "золотого пинка" и гугла найдено то, куда они зарыли эти настройки. Только вот теперь вопрос, там всё оканчивается 10 версией ИЕ. Нужна 11. Можно ли их считать идентичными в этом процессе?


    ----------
    Очень скоро еда станет совершенно безвкусной, и тогда этот недостаток придётся компенсировать хорошо развитым воображением.

    Всего записей: 6084 | Зарегистр. 29-04-2009 | Отправлено: 22:25 26-08-2014
    Paromshick



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    urodliv
    По воробью домашней страницы не стоит пулять из пушки всяких AIKов.
    И в "Настройки" тоже смысла я не вижу лезть. Воспользуемся веткой "Политики", а именно:
    Конфигурация пользователя -- Административные шаблоны -- Компоненты Windows -- Internet Explorer -- в корне Отключить изменение параметров домашней страницы -- включено, URL задать.

    Цитата:
    Если этот параметр политики включен, пользователь не может задать свою домашнюю страницу по умолчанию. Следует указать, какая домашняя страница должна загружаться по умолчанию на компьютере пользователя. Для компьютеров с браузером Internet Explorer 7 и более поздних версий домашнюю страницу можно устанавливать в рамках этого параметра политики для переопределения политик других домашних страниц

     
    Добавлено:
    Если, мейби, связано с интранетом, то интересен параметр "Использовать список сайтов IE в режиме предприятия".
    Так же там можно настроить открытие нескольких вкладок с заданными параметрами, но я сейчас не юзаю и позабыл где это. Там, емнип,  две политики связаны как-то, в общем разобраться можно.

    ----------
    Всё что угодно можно наладить, если достаточно долго вертеть в руках

    Всего записей: 2522 | Зарегистр. 12-04-2013 | Отправлено: 08:12 27-08-2014
    anton04



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    urodliv
     

    Цитата:
    С помощью "золотого пинка" и гугла найдено то, куда они зарыли эти настройки.

     
    достаточно было воспользоваться встроенным фильтром в политике GPO.
     

    Цитата:
    Только вот теперь вопрос, там всё оканчивается 10 версией ИЕ. Нужна 11. Можно ли их считать идентичными в этом процессе?

     
    В вопросе установки домашней странице - да.

    Всего записей: 2716 | Зарегистр. 14-06-2006 | Отправлено: 22:51 28-08-2014
    Открыть новую тему     Написать ответ в эту тему

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Групповые политики (Group Policy, GPO): документация, ссылки

    Имя:
    Пароль:
    Сообщение

    Для вставки имени, кликните на нем.

    Опции сообщенияДобавить свою подпись
    Подписаться на получение ответов по e-mail
    Добавить тему в личные закладки
    Разрешить смайлики?
    Запретить коды


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.Board
    © Ru.Board 2000-2018

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru