Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Групповые политики (Group Policy, GPO): документация, ссылки

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126

Открыть новую тему     Написать ответ в эту тему

lynx



Advanced lynx
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Групповые политики (Group Policy)


  • Групповые политики Active Directory
  • Структура объекта групповой политик
  • Group Policy Administrative Templates Catalog
  • http://www.gpanswers.com/  
  • Windows Server Group Policy Home

    См. также Общие вопросы по Active Directory (AD)

    FAQ

  • Не работают групповые политики
  • Безопасность
  • Восстановление политик
  • Групповые политики + Internet Explorer (IE)
  • Windows Vista & Windows Server 2008
  • Другие вопросы по групповым политикам

    Документация

  • Англоязычная:
  • Русскоязычная:


    Пост подготовлен: G14

  • Всего записей: 11712 | Зарегистр. 08-05-2001 | Отправлено: 19:33 13-12-2004 | Исправлено: Paromshick, 20:16 03-06-2020
    nivasoft

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    нет прав, нет и разговора.  

    смешной совет. Нет прав админа в АД? Я могу его получить по заявке, которую я сам и согласую, по своей должности, как и все остальные которые пользователи несут ко мне, прежде чем получить учетку )
    просто для себя я не хочу официально иметь права админа в Ад, хотя пароль его знаю.
    Спс за совет, уже и сам разобрался.  

    Всего записей: 50 | Зарегистр. 28-02-2008 | Отправлено: 06:36 10-07-2017
    dkmn

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Подскажите плиз что я делаю не так.
    Проблема с замыканием групповой политики.
    Исходные данные  
    Win2016 Server  - Контроллер домена (DC.my.domain)
    Win2016 Server - Терминальный сервак (Win2016TS.my.domain)
    Win2016 Server - Сервер 1С (Win2016.my.domain)
     
    Задача -  
     
    1.запретить запуск браузеров на всех компах, для всех пользователей, кроме определенных
    2.разрешить запуск chrome.exe на Сервере 1С  
     
    Структура AD

     
    Настройки Loopback

     
    Настройки политики запрета для всех пользователей

     
    Настройки политики с LoopBack и разрешения на запуск chrome.exe примененной к нужному компу

     
    После применения в результирующей политике видно что LoopBack применился к компьютеру

     
    И наблюдаем такую картину в политике пользователя (((

     
    Естественно если имеется 2 одинаковых правила, то приоритет у запретного...
    Подскажите плиз в чем грабли (((
     
     

    Всего записей: 27 | Зарегистр. 23-04-2009 | Отправлено: 12:10 28-07-2017 | Исправлено: dkmn, 12:16 28-07-2017
    drsmoll



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    dkmn
    не у запретного правила выше, а в OU есть приоритет обработки политик, еще есть фильтрация GPO и вспомните про порядок обработки GPO в дереве

    Всего записей: 279 | Зарегистр. 13-04-2006 | Отправлено: 12:14 28-07-2017 | Исправлено: drsmoll, 12:16 28-07-2017
    dkmn

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    dkmn
    не у запретного правила выше, а в OU есть приоритет обработки политик, еще есть фильтрация GPO и вспомните про порядок обработки GPO в дереве

     
    так в loopback установлено replace - оно вообще не должно применяться...
     
    Добавлено:
    Если кому интересно - сделал через Ж...
    Отключил наследование и прилинковал все, кроме запрета на запуск браузеров...
    ну и соответственно включен лупбэк и запрет на запуск браузеров (кроме хром)

    Всего записей: 27 | Зарегистр. 23-04-2009 | Отправлено: 12:18 28-07-2017
    DevOpsEngineer

    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Excel файлик от Некрософт
    со ссылками на ветки/ключи реестра,
    в которых хранятся настройки,
    изменяемые через групповые политики:
     
    Version:
    October 2016
     
    File Name:
    Windows10andWindowsServer2016PolicySettings.xlsx
     
    Date Published:
    4/17/2017
     
    File Size:
    698 KB
     
    https://www.microsoft.com/en-us/download/details.aspx?id=25250
     
    https://yadi.sk/i/tyVUl9SN3MucqJ
     
     
    добавьте в шапку пожалуйста
     
    4119 настроек 119 политиках
    Подробнее...

    Всего записей: 217 | Зарегистр. 29-10-2014 | Отправлено: 11:49 15-09-2017 | Исправлено: DevOpsEngineer, 11:52 15-09-2017
    Ridddick

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Коллеги-админы, подскажите решение следующей задачи. Есть КД на WinSrv 2003 и 80 ПК. Массово практикуется удаленная работа сотрудников по RDP на своих ПК, так что нужно отрегулировать это с помощью групповых политик, чтобы каждый юзер мог подключаться только к своему ПК. Теоретически я мог бы создать 80 доменных групп "Доступ к RDP PC1" и т.д. и каждую группу добавить в локальную группу "Пользователи RDP" на каждом ПК, а пользователей раскидывать уже по ним. Но это как-то адово. Сложнее всего руками на каждом ПК добавлять эти группы. Может можно как-то прописать эти группы на основе имени ПК, типа, для PC1 добавить группу "Доступ к RDP PC1" и т.д. Причем все это желательно одной политикой. Не создавать же 80 политик для каждого ПК.

    Всего записей: 90 | Зарегистр. 21-02-2010 | Отправлено: 13:53 27-09-2017
    EjikNET



    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    А зачем так усложнять? Чем плох метод настройки rdp на рабочем месте - разрешить доступ только одному пользователю + тебе как админу?

    Всего записей: 22 | Зарегистр. 14-08-2012 | Отправлено: 14:17 27-09-2017
    Ridddick

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Неудобство администрирования. Каждый раз придется лезть руками на комп и плодить там пользователей RDP. Юзеры они же не постоянные. А в группу можно оперативно добавлять или исключать.

    Всего записей: 90 | Зарегистр. 21-02-2010 | Отправлено: 15:46 27-09-2017
    PhoenixUA



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Ridddick
    Почему бы просто не поднять терминальный сервер? Контора на 80 человек может себе позволить.

    Всего записей: 2184 | Зарегистр. 17-11-2005 | Отправлено: 17:36 27-09-2017
    Ridddick

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Зачем мне один терминальный сервер, когда у меня есть 80 машин? Нерациональное использование ресурсов =) шутка.
    В итоге написал скрипт, который создает задачу, при выполнении которой в локальную группу ПК доступа по RDP добавляются доменные группы, для каждого ПК своя. 80 доменных групп создавал через CSV.

    Всего записей: 90 | Зарегистр. 21-02-2010 | Отправлено: 12:35 29-09-2017
    Vsevolod



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    А такой вопрос.  
    Когда-то давно стоял 2003 сервер и там была прописана домашняя страница IE. Теперь уже стоит 2012 и там нет такого пункта, а вынесли в настройки - параметры панели - сетевые настройки. Там сейчас пусто, но на компьютерах домена всё ещё прописывается та домашняя страница. Как бы её изменить?

    Всего записей: 2364 | Зарегистр. 13-06-2001 | Отправлено: 17:58 10-12-2017
    Vsevolod



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Всё сработало
    Конфигурация пользователя-Политики-Административные шаблоны-Компоненты Windows-Internet Explorer-Отключить изменение параметров домашней страницы.  
    сорри за беспокойство

    Всего записей: 2364 | Зарегистр. 13-06-2001 | Отправлено: 20:05 10-12-2017
    s800



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    dragovich01
    https://social.technet.microsoft.com/Forums/ru-RU/ee020f1f-4fb5-41a6-90c7-ac19638f8930/-?forum=vistaru

    ----------
    Самый хороший учитель в жизни — опыт. Берет, правда, дорого, но объясняет доходчиво.

    Всего записей: 1684 | Зарегистр. 21-02-2005 | Отправлено: 10:18 11-12-2017
    dragovich01

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Доброго всем, закрыл доступ к USB всем пользователям через политики "Съемные запоминающие устройства всех классов: Запретить любой доступ", далее в некоторых контейнерах отменил данную политику чтоб открыть избранным пользователям USB. Но появилась проблема с устройствами(смартфоны, терминалы на windows CE, фотоаппараты), к ним доступ никак не открывается.  
    Такое ощущение что данная настройка GPO добавила какой-то параметр в реестре для этих устройств, но при ее отключении параметр обратно не возвращается.  
     
    Причем если зайти на машину под новым пользователем эти устройства у него работают как надо. Но всех пользователей пересоздавать плохой вариант.  
    AD поднято на Windows 2008 R2  
    Подскажите что в реестре поменять чтоб открыть доступ к устройствам?

    Всего записей: 104 | Зарегистр. 03-09-2014 | Отправлено: 11:31 11-12-2017
    Vsevolod



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Что-то я сегодня пообщался с товарищем из тех. поддержки и усомнился...
     
    Предположим я хочу поставить офис, Для установки нужен админ. Я в групповых политиках компьютера в автозагрузку прописываю cmd-ire на запуск и у меня он ставиться.
     
    Ведь я правильно понимаю, что мне больше негде прописать, чтобы поставился офис?
     
    Просто часть компьютеров подключается к wi-fi в момент захода пользователя в систему и эта часть политики пропускает политику компьютера. Но ведь нельзя запустить из под пользователя установку, т.к. он не админ?

    Всего записей: 2364 | Зарегистр. 13-06-2001 | Отправлено: 17:11 13-12-2017
    Vsevolod



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    А не кто не пытался в пользователе запускать runas?

    Всего записей: 2364 | Зарегистр. 13-06-2001 | Отправлено: 21:19 13-12-2017
    artclub

    Full Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Добрый день!
     
    Подскажите где нужно настроить чтоб пользователь домена на определенной группе мог администрировать!?
     
    Изменять  настройки сети, управления компьютером .

    Всего записей: 407 | Зарегистр. 07-02-2008 | Отправлено: 13:28 09-03-2018
    Paromshick



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    http://www.ekzorchik.ru/2012/12/server-2008-gpo-local-administrators/
    https://social.technet.microsoft.com/Forums/ru-RU/ee648e85-fbc2-4535-8570-09583188f86c/-?forum=ws2008r2ru
    и тому подобное, по запросу "локальный администратор групповыми политиками" или local admin by restricted groups
    Наконец
    http://forum.ru-board.com/topic.cgi?forum=8&topic=6845


    ----------
    Скучно

    Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 14:51 09-03-2018
    artclub

    Full Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Paromshick
     
    Спасибо настроил по вашим ссылкам!
     
    Все работает на Windows 7,  а  как сделать чтоб и на Windows 10 политика применялась?!

    Всего записей: 407 | Зарегистр. 07-02-2008 | Отправлено: 08:26 13-03-2018
    artclub

    Full Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    ошибку выдает  
     
    приведенная ниже оснастка,указанная в данном документе, ограничена политикой.  
     
     
    Где копать?
     
    Добавлено:
    Это ошибка выходит только  управления компьютером,  остальное все работает!
     
    На все права есть кроме  управления компьютером
     
    Кто знает от чего может это быть?

    Всего записей: 407 | Зарегистр. 07-02-2008 | Отправлено: 11:28 13-03-2018
    Открыть новую тему     Написать ответ в эту тему

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Групповые политики (Group Policy, GPO): документация, ссылки


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.B0ard
    © Ru.B0ard 2000-2024

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru