Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Групповые политики (Group Policy, GPO): документация, ссылки

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126

Открыть новую тему     Написать ответ в эту тему

lynx



Advanced lynx
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Групповые политики (Group Policy)


  • Групповые политики Active Directory
  • Структура объекта групповой политик
  • Group Policy Administrative Templates Catalog
  • http://www.gpanswers.com/  
  • Windows Server Group Policy Home

    См. также Общие вопросы по Active Directory (AD)

    FAQ

  • Не работают групповые политики
  • Безопасность
  • Восстановление политик
  • Групповые политики + Internet Explorer (IE)
  • Windows Vista & Windows Server 2008
  • Другие вопросы по групповым политикам

    Документация

  • Англоязычная:
  • Русскоязычная:


    Пост подготовлен: G14

  • Всего записей: 11712 | Зарегистр. 08-05-2001 | Отправлено: 19:33 13-12-2004 | Исправлено: Paromshick, 20:16 03-06-2020
    GREENcode

    Full Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

     
    Здесь написано: Конфигурация пользователя. Какого именно пользователя? На компьютере их может быть несколько.

    Всего записей: 455 | Зарегистр. 03-10-2015 | Отправлено: 17:47 28-06-2016
    Alexandr0112

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    GREENcode
    Для локальных политик:
    Если запускать оснастку через выполнить->gpedit.msc, то политики применятся ко всем пользователям. Если сначала запустить mmc и добавить оснастку "Редактор объектов групповой политики", то используя кнопку "обзор"можно будет выбрать конкретного пользователя или группу, к которым применить политики. При этом локальные политики могут быть переопределены политиками домена.
    Для политик домена:
    Список пользователей, к которым применяется политика, определяется через фильтры безопасности на вкладке область.

    Всего записей: 15 | Зарегистр. 03-11-2012 | Отправлено: 21:36 28-06-2016 | Исправлено: Alexandr0112, 21:49 28-06-2016
    GREENcode

    Full Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Alexandr0112

    Цитата:
    Если запускать оснастку через выполнить->gpedit.msc, то политики применятся ко всем пользователям.

    То есть и к Администратору, и к Гостю, и ко всем пользователям, которые создаются после изменения настроек в gpedit.msc?

    Всего записей: 455 | Зарегистр. 03-10-2015 | Отправлено: 18:32 30-06-2016
    Alexandr0112

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    То есть и к Администратору, и к Гостю, и ко всем пользователям, которые создаются после изменения настроек в gpedit.msc?

    Да, политика применится к любой учётке в момент её входа в систему.

    Всего записей: 15 | Зарегистр. 03-11-2012 | Отправлено: 15:31 02-07-2016
    Hunt0rr



    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    Коллеги всем привет, выручайте.  
    Какие то чудеса происходят при вводе компа в домен.
    В общем при вводе компа (win7_x32_pro) в домен (Win 2003) подумав выдает следующую ошибку -  
    Не удалось изменить DNS-имя основного контроллера домена на "" для этого компьютера. Будет использоваться прежнее имя "domain.local ". Ошибка:
    Указанный сервер не может выполнить требуемую операцию.
     
    Нажимаю ОК. Пишет добро пожаловать в домен. Перезагрузитесь.
    Перезагружаюсь, машина без всяких проблем просит доменную учетку, все нормально заходит, сеть видит, домен видит, вобщем с виду все ОК. Только есть одно НО! Не применяются 2 политики с домена, точнее по результатам команды gpresult /r этих политик как будто бы и не существует. Команда показывает что часть политик применяется, часть не применяется.  
    Сразу скажу что домен существует давно, разные машины и XP и семерки, проблем никогда не было. На других машинах все отрабатывает как часы.  
    Пробовал: выводить/вводить в домен, удалять учетку в домене, пробовал зайти под другими учетками.
     
    На что грешу, но не знаю куда копать..
    1. На указанную ошибку при вводе в домен.
    2. На то, что это была экспериментальная винда, в плане того, что развернул ранее созданный образ свежеустановленной машины в другом месте. Провел процедуру sysprep для очистки от всех признаков привязки к старому железу. Ранее данная установка в данном домене не разворачивалась. Все настроил как мне нужно, активировал и ввел в домен. Винда лицензия.
     
    В общем уже не знаю куда копать, может кто сталкивался....

     
    В продолжении своей проблемы... вот значит к чему пришел.
    Решил поставить чистую винду. Сразу же ввел ее в домен. Вошла без проблем, все политики применились как надо. Обрадовался,  начал ставить обновления к винде. Не подумав решил поставить сразу пачку обновлений. В общем пришел к тому с чего и начинал - часть политик перестала применяться.
    Получается есть какое то обновление нехорошее, которое непонятным образом портит жизнь. Может кто сталкивался с этим?

    Всего записей: 42 | Зарегистр. 18-09-2009 | Отправлено: 09:11 06-07-2016
    vertex4

    Moderator
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Hunt0rr
    оно?

    Всего записей: 10393 | Зарегистр. 29-01-2006 | Отправлено: 09:20 06-07-2016
    Hunt0rr



    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    Hunt0rr
    оно?

     
    Спасибо тебе vertex4, оно
     
    Мне конечно уже писал  про это обновление borin

    Цитата:
    это не стоит? kb3163622

     
    Только вот забыл упомянуть что у данного обновления для различных ОС разный номер KB.
     
     
    Выдержка с хабра..

    Цитата:
    «Виновником» такого поведения стало обновление безопасности из статьи KB3163622 (бюллетень безопасности MS16-072, номер KB для различных ОС: KB3159398, KB3163017, KB3163018, KB3163016)

     
    В моем случае этого обновления не было KB3163622, а вот виновником стало - KB3159398.
     
    В общем всем спасибо за помощь.

    Всего записей: 42 | Зарегистр. 18-09-2009 | Отправлено: 10:46 06-07-2016 | Исправлено: Hunt0rr, 10:52 06-07-2016
    Paromshick



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    onedigger

    Цитата:
    Доброго всем дня, коллеги! Беда такая случилась, не приложу умища куда копать. Хочу настроить PDC Windows server 2008R2 как сервер времени в домене. Создаю политику. При настройке синхронизации времени и нажатии применить в GPO появляется такая ошибка:
     
    Необрабатываемое исключение в компоненте приложения. При нажатии кнопки "продолжить" приложение проигнорирует ошибку и попытается продолжить работу.  
    Подробнее:  
     
    Подробная информация об использовании оперативной  
    (JIT) отладки вместо данного диалогового  
    окна содержится в конце этого сообщения.

     
    Добавлено:
       

    Вы с другого компьютера пробовали запустить оснастку?
    Что если создать пустую политику?

    ----------
    Скучно

    Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 13:22 22-09-2016 | Исправлено: Paromshick, 13:29 22-09-2016
    onedigger

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Приветствую всех! Искал свою проблему, но поиск не дал результатов. Может быть здесь светлые головы найдутся? Проблема такая: при изменении параметров групповой политики появляется окошко с ошибкой: и политика не изменяется. В частности пытаюсь настроить простейшее и основное - синхронизацию времени всех компов с контроллером домена.  
    Подробнее здесь Подробная информация об использовании оперативной   (JIT) отладки вместо данного диалогового   окна содержится в конце этого сообщения.
    С другого компа запустить пока нет возможности, запускаю с самого контроллера домена. Пустые политики создаются, но при изменении параметров снова возникает эта ошибка.

    Всего записей: 34 | Зарегистр. 26-05-2014 | Отправлено: 07:46 23-09-2016
    Paromshick



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    onedigger
    Возможно, кто-то поковырял схему и сделал

    Цитата:
    7.Paste the following string into the value to remove write permissions for domain administrators so that only enterprise administrators would have write permissions:
    То есть создать объект можно, но когда он поучит разрешения от схемы

    Цитата:
    When a new Active Directory object is created, the permissions that are specified in the DefaultSecurityDescriptor attribute of its classSchema object in the schema are applied to it. Because of this, when a GPO is created, its groupPolicyContainer object receives its ACL from the DefaultSecurityDescriptor attribute in the CN=Group-Policy-Container,CN=Schema,CN=Configuration,DC=forestroot... object. The Group Policy editor also applies these permissions to the folder, subfolders and files in the Group Policy's template (SYSVOL\Policies\{GPO_GUID}).
    то модифицировать его нельзя.
    Проверьте, что с разрешениями в данной папке. Не правьте их руками, если что, они опять съедут. Правьте через ADSEdit, но придется слегка вникнуть в Security Descriptor Definition Language. На самом деле, видимо просто вставить GUID Domain Admins в соответствующи запрос.
    Источник цитат How to change the default permissions on GPOs in Windows Server 2008 R2, Windows Server 2008, Windows Server 2003, and Windows 2000 Server
    И еще. МС МСом, но не проще ли добавлять себя в нужную группу, на время правки GPO? И удалять после. И правка возможна, и повышенная секьюреность цела...

    ----------
    Скучно

    Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 08:17 23-09-2016
    onedigger

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    [/q]
    [q]Цитата:
    7.Paste the following string into the value to remove write permissions for domain administrators so that only enterprise administrators would have write permissions:
    То есть создать объект можно, но когда он поучит разрешения от схемы  
     
    Цитата:
    When a new Active Directory object is created, the permissions that are specified in the DefaultSecurityDescriptor attribute of its classSchema object in the schema are applied to it. Because of this, when a GPO is created, its groupPolicyContainer object receives its ACL from the DefaultSecurityDescriptor attribute in the CN=Group-Policy-Container,CN=Schema,CN=Configuration,DC=forestroot... object. The Group Policy editor also applies these permissions to the folder, subfolders and files in the Group Policy's template (SYSVOL\Policies\{GPO_GUID}).
    то модифицировать его нельзя.  
    Проверьте, что с разрешениями в данной папке. Не правьте их руками, если что, они опять съедут. Правьте через ADSEdit, но придется слегка вникнуть в Security Descriptor Definition Language. На самом деле, видимо просто вставить GUID Domain Admins в соответствующи запрос.  
    Источник цитат How to change the default permissions on GPOs in Windows Server 2008 R2, Windows Server 2008, Windows Server 2003, and Windows 2000 Server  
    И еще. МС МСом, но не проще ли добавлять себя в нужную группу, на время правки GPO? И удалять после. И правка возможна, и повышенная секьюреность цела...

     
    Редактирование и создание всех политик доступно, остальные я могу изменять, добавлять и удаять. Думаю что дело тут не в доступе. В любом случае спасибо за ответ, я почитаю, попробую.
     
    Кстати, я на PDC под пользователем из группы Администратор схемы. Все права уж точно должны быть

    Всего записей: 34 | Зарегистр. 26-05-2014 | Отправлено: 09:00 23-09-2016 | Исправлено: onedigger, 09:05 23-09-2016
    Paromshick



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    onedigger

    Цитата:
    остальные я могу изменять, добавлять и удаять

    Видимо я не так понял это

    Цитата:
    Пустые политики создаются, но при изменении параметров снова возникает эта ошибка.




    Цитата:
    Все права уж точно должны быть

    Не факт. Мало ли там кто и где порылся. Так например в статье рассматривается разнесение прав Enterprise Admins и Domain Admins на редактирование GPO
    Shema Admins вообще другая песня. Они могут править схему, но при этом не быть админами предприятия или домена. Если я ничего незнаемого не забыл


    Бэкап старой версии шапки под [#]
     


    ----------
    Скучно

    Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 10:32 23-09-2016 | Исправлено: Paromshick, 10:35 23-09-2016
    Xrobak

    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    AD на Windows Server 2012 R2 Standard. В Default Domain Policy по пути Конфигурация компьютера ->  
    Конфигурация Windows -> Параметры безопасности -> Политики учетных записей/Политика паролей
    для политики Максимальный срок действия пароля установлено значение 300 дней. В результирующей политике на компах домена показывает тоже цифру 300 дней, но в реальности каждый месяц юзерам выскакивает сообщение о смене пароля. Как такое может быть?
    Политика домена применяется без проблем.
     
    PS: через net user username так же видно, что пароль приблизительно "живет" целый год, т.е. политики корректно работают.. мистика какая-то.

    Всего записей: 939 | Зарегистр. 16-08-2004 | Отправлено: 15:25 04-10-2016 | Исправлено: Xrobak, 15:48 04-10-2016
    vacs8

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Здравсвуйте.
    Домены lom25, lom26, lom27 и т. д являются дочерними домена «master.local» и объединены в сайт «Lombard policy». В домене «master.local» создана групповая политика с параметрами компьютера и пользователя и применена к сайту «Lombard policy». Компьютер находящийся в домене lom25 игнорирует все настройки и групповые политики не применяются.

    Всего записей: 12 | Зарегистр. 04-09-2013 | Отправлено: 09:20 05-10-2016
    Nand



    Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Xrobak
    vacs8
    GPRESULT /H GPReport.html c проблемных машин в студию...

    Всего записей: 209 | Зарегистр. 27-03-2004 | Отправлено: 07:05 07-10-2016
    vacs8

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    получается что не пк проблемные а что то в домене в настройках, так как gpo которые применены к доменам работают нормально, а вот с сайтом не хотят.
     
     
     
     
     
     
    Программа формирования отчета групповой политики операционной системы
    Microsoft (R) Windows (R) XP версии 2.0
    (С) Корпорация Майкрософт, 1981-2001
     
    Создано на 07.10.2016 в 15:54:00
     
     
     
    RSOP-результаты для LOM25\lom25kassa1 на TEMPGPO : Режим журналирования
    ------------------------------------------------------------------------
     
    Тип ОС:                     Microsoft Windows XP Professional
    Конфигурация ОС:            Рядовая рабочая станция
    Версия ОС:                  5.1.2600
    Имя домена:                 LOM25
    Тип домена:                 Windows 2000
    Имя сайта:                  Lombard-first
    Перемещаемый профиль:                      
    Локальный профиль:          C:\Documents and Settings\lom25kassa1
    Подключение по медленному каналу?:        Нет
     
     
    Конфигурация компьютера
    ------------------------
        CN=TEMPGPO,OU=testgpo,DC=lom25,DC=master,DC=local
        Последнее применение групповой политики:  07.10.2016 at 15:52:07
        Групповая политика была применена с:      lom25dc1.lom25.master.local
        Порог медленной связи групповой политики: 500 kbps
     
        Примененные объекты групповой политики
        ---------------------------------------
            Н/Д
     
        Следующие политики GPO не были приняты, поскольку они отфильтрованы
        --------------------------------------------------------------------
            Политика локальной группы
                Фильтрация:  Не применяется (пусто)
     
        Компьютер является членом следующих групп безопасности:
        -------------------------------------------------------
            Администраторы
            Все
            Пользователи
            СЕТЬ
            Прошедшие проверку
            TEMPGPO$
            Компьютеры домена
             
     
    Конфигурация пользователя
    --------------------------
        CN=Волжский\, Мира 74А,OU=lom25_user,DC=lom25,DC=master,DC=local
        Последнее применение групповой политики:  07.10.2016 at 15:52:07
        Групповая политика была применена с:      lom25dc1.lom25.master.local
        Порог медленной связи групповой политики: 500 kbps
     
        Примененные объекты групповой политики
        ---------------------------------------
            Default Domain Policy
     
        Следующие политики GPO не были приняты, поскольку они отфильтрованы
        --------------------------------------------------------------------
            Политика локальной группы
                Фильтрация:  Не применяется (пусто)
     
        Пользователь является членом следующих групп безопасности:
        ----------------------------------------------------------
            Пользователи домена
            Все
            Пользователи
            ИНТЕРАКТИВНЫЕ
            Прошедшие проверку
            ЛОКАЛЬНЫЕ
            Пользователи терминала 1
            Все Пользователи1
            Пользователи терминала 1-2
           

    Всего записей: 12 | Зарегистр. 04-09-2013 | Отправлено: 15:38 07-10-2016 | Исправлено: vacs8, 16:09 07-10-2016
    obtim



    Gold Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Как настроитьMicrosoft Outlook 2010 так, чтобы в рамках домена подхватывал данные из AD в качестве адресной книги по определенному шаблону для новых пользователей?

    ----------
    Дьявол коварен - он может явиться к нам просто в образе дьявола

    Всего записей: 8928 | Зарегистр. 03-03-2002 | Отправлено: 10:25 10-10-2016
    obtim



    Gold Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Настраиваю FrontmotionFirefox. Политика применяется к машине. Изменения видны, но они доступны для редактирования пользователем. Почему?

    Всего записей: 8928 | Зарегистр. 03-03-2002 | Отправлено: 11:34 11-10-2016
    drsmoll



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    obtim, все верно, в admx прописана область действия class=machine

    Всего записей: 279 | Зарегистр. 13-04-2006 | Отправлено: 16:13 11-10-2016
    obtim



    Gold Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    drsmoll
    Просто на тестовой машине через gpedit на локальной машине, у пользователя нет прав для редактирования настроек Frontmotion, после их применения. А вот если применять через доменные, то тогда есть возможность редактировать.

    Всего записей: 8928 | Зарегистр. 03-03-2002 | Отправлено: 16:20 11-10-2016
    Открыть новую тему     Написать ответ в эту тему

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Групповые политики (Group Policy, GPO): документация, ссылки


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.B0ard
    © Ru.B0ard 2000-2024

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru