Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Групповые политики (Group Policy, GPO): документация, ссылки

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123

Открыть новую тему     Написать ответ в эту тему

lynx



Advanced lynx
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Групповые политики (Group Policy)


  • Групповые политики Active Directory
  • Структура объекта групповой политик
  • http://www.gpanswers.com/  
  • Windows Server Group Policy Home

    См. также Общие вопросы по Active Directory (AD)

    FAQ

  • Не работают групповые политики
  • Безопасность
  • Восстановление политик
  • Групповые политики + Internet Explorer (IE)
  • Windows Vista & Windows Server 2008
  • Другие вопросы по групповым политикам

    Документация

  • Англоязычная:
  • Русскоязычная:


    Пост подготовлен: G14

  • Всего записей: 11712 | Зарегистр. 08-05-2001 | Отправлено: 19:33 13-12-2004 | Исправлено: Paromshick, 10:25 23-09-2016
    artclub

    Full Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Добрый день!
     
    Подскажите как дать права доменному пользователю чтоб он мог создавать нового пользователя менять пароль  и ничего не удалять?
     

    Всего записей: 402 | Зарегистр. 07-02-2008 | Отправлено: 09:53 10-05-2018
    Paromshick



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Простой запрос Делегирование полномочий в Active Directory дает много ссылок

    ----------
    Всё что угодно можно наладить, если достаточно долго вертеть в руках

    Всего записей: 2542 | Зарегистр. 12-04-2013 | Отправлено: 21:36 10-05-2018
    artclub

    Full Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Paromshick
     
    Спасибо, то что искал!

    Всего записей: 402 | Зарегистр. 07-02-2008 | Отправлено: 10:23 11-05-2018
    taekun



    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Добрый день.
    Имеется  WServer 2012 r2, на нем AD, DNS.  
    Появилась нужда в очистке  рабочего стола и  некоторых папок при  выключении компьютера( Рабочей станции) или при Logoff.  Я  создал батник и засунул его в GPO
     (Конфигурация пользователя >>Политики>>Конфигурация Windows>>Сценарии>Выход из системы)
     
    Но после релогина или перезагрузки, батник не отрабатывает.
    (Тестирую на пользователе и потому  правило только в OU с отдельным пользователем, а так же оно  запускается только  для определенной группы пользователей.)
    Почему не отрабатывает батник(точнее сценарий  выхода ). Не могу понять.
     
    Батник

    Всего записей: 64 | Зарегистр. 04-09-2006 | Отправлено: 08:31 09-08-2018 | Исправлено: taekun, 08:35 09-08-2018
    anton04



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    taekun
     
    Для начала я бы все пути заключил в кавычки.
    Потом проанализовал пути и проверил права доступа пользователей к ним. И сразу бы увидел, что каталог "%windir%\temp\" доступен пользователю только для чтения (по умолчанию).
    В остальных путях убрал бы последний слешь \, например:
    было %userprofile%\Downloads\
    стало "%userprofile%\Downloads"
     
    Ну и самое последнее протестировал бы cmd файл в интерактивном режиме (запустил бы его  от пользователя на VM и посмотрел бы на результат (притом после каждой команды поставил бы команду pause и прописал бы вывод информации на экран Echo on.

    Всего записей: 2719 | Зарегистр. 14-06-2006 | Отправлено: 13:50 09-08-2018
    taekun



    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    anton04
     
    Спасибо за  поправки. Но батник работает и  так.  Не отрабатывает политика Logoff.  
    Если же я запускаю батник в ручную, то он отрабатывает все пункты. Про TEMP у меня туда открыт доступ.

    Всего записей: 64 | Зарегистр. 04-09-2006 | Отправлено: 15:58 09-08-2018 | Исправлено: taekun, 15:58 09-08-2018
    Paromshick



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    батник не отрабатывает

    Потому, что детская ошибка присутствует. Должна быть ветка юзера, а не системы.
     
    Добавлено:
    Пардон, ошибся. Увидел почему-то только
    Цитата:
    Конфигурация Windows



    ----------
    Всё что угодно можно наладить, если достаточно долго вертеть в руках

    Всего записей: 2542 | Зарегистр. 12-04-2013 | Отправлено: 21:57 12-08-2018
    taekun



    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Решил проблему другими способами. Но  вопрос так и остался.  Почему не отрабатывает политика?
     
    Кстати решил  проблему, другими ветками и без батника. С одно стороны даже лучше.
     

    Всего записей: 64 | Зарегистр. 04-09-2006 | Отправлено: 14:13 16-08-2018
    Paromshick



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Думаю, что контроллер домена с работающими на нём пользователями, который к которому же выключается, это несколько не стандартное решение.
    Но даже, если всё стандартно. Все телепаты, увы, в отпуске, потому, угадать, как вы у себя и что реализовали, какие диагностики стандартные проводили и с каким результатом - весьма сложно.
    Системное администрирование, это не администрирование ОС. Тут одного лишь кода уже мало. Здесь всё проще. GPRESULT /R к примеру, что-нибудь да скажет, нет?

    ----------
    Всё что угодно можно наладить, если достаточно долго вертеть в руках

    Всего записей: 2542 | Зарегистр. 12-04-2013 | Отправлено: 14:51 16-08-2018
    beladmin



    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Подскажите, есть ли какая то возможность запретить добавление или смену default gateway через GPO? Объясню для чего.
    Есть организация. Ойтишники. Права у всех локального админа. Заказчиков куча. Часто предоставляют свои VPN-клиенты. Так как админам заказчиков лень пошевелить мозгами, они предпочитают никаких конкретных маршрутов предоставлять через их VPN, а тупо роутить всё через них. Как понимаете, секурности в этом чуть менее чем никакой. Более того - работа с нашими ресурсами, доступ к которым ограничен нашими внешними IP-адресами, становится невозможной. Вот и есть мысль тупо убрать такую возможность. Подрубились, не работает - пишем "что бы настроили нормально, подругому у нас секьюрити полиси не позволяет работать". Контролировать каждого заказчика с его ВПН-ом маловероятно.

    Всего записей: 133 | Зарегистр. 02-10-2006 | Отправлено: 10:46 27-08-2018
    Paromshick



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Что-то такое про сеть задвинуто мощное.
    Много раз говорилось, что запретить что-то локальному админу, это пустая трата времени. Вам нужна не политика AD, а корпоративная политика, если нужна, конечно, которая вводила бы некие правила. Насколько я понимаю, все эти вредители вам кусок хлеба зарабатывают. Ну и зачем их ограничивать?
    Запросите еще один канал для ваших опубликованных сервисов. Или разграничьте этот.

    ----------
    Всё что угодно можно наладить, если достаточно долго вертеть в руках

    Всего записей: 2542 | Зарегистр. 12-04-2013 | Отправлено: 16:23 27-08-2018
    beladmin



    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    Вам нужна не политика AD, а корпоративная политика, если нужна, конечно, которая вводила бы некие правила.  

     
    Бесполезно. Тут узаконенное разгильдяйство идущее из администрации. По моему только мне одному тут какой то порядок нужен )
    Я не говорю что они вредители. Большинство тупо не в курсе проблемы, пока не получают отказ в доступе от своих ресурсов. Про безопасность я вообще молчу. Заставить просто так что бы заказчики врубали моск и писали нормальные конфиги на своих впн-серверах - даже сама админстрация будет против пошевелить пятой точкой. К тому же он закащик - он прав. А когда будет "или работаем с нормальной маршрутизацией или не работаем вообще" - будет повод хоть что-то изменить.
     
    Короч похоже ничего с этим не сделать. Думал сам туплю, но походу фиг там. Ну значит будут врубать мозги сами, когда очередной дятел со своего домашнего компа через их ВПН раздаст какой нить новенький кинчик через торренты и заказчику влепят штраф за пиратство.

    Всего записей: 133 | Зарегистр. 02-10-2006 | Отправлено: 17:23 27-08-2018 | Исправлено: beladmin, 17:24 27-08-2018
    Paromshick



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Когда ничего не нужно самой администрации лучше ничего не предлагать и не суетится.
    Просто, предвидя проблему, проработать пути её решения. И предложить, когда администрация вразумится. А если случая не представляется, то возможно, вы слишком паникуете или перегибаете с "порядком"
    Два шлюза же сделать элементарно. Так же элементарно сделать, чтобы один из них не обслуживал запросы одминов. Даже если они о нём узнают... то ничего не получат. Вообще, поработать на уровне сети, структурирования, сегментации... Отвлечься от ADского администрирования
     
    Чтоб не было совсем офтопа: групповой политикой можно назначить прокси. Зачастую софт на это ориентируется и пытается идти по указанному адресу:порту в фоновом режиме. Если одмин его сбросит, то он опять назначится. Ему надоест в итоге... Естественно, это не шлюз

    ----------
    Всё что угодно можно наладить, если достаточно долго вертеть в руках

    Всего записей: 2542 | Зарегистр. 12-04-2013 | Отправлено: 17:35 27-08-2018
    KUSA

    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Есть такая проблема
     
    Достался мне контроллер домена со специфической функцией запрета RDP для всех пользователей, кроме группы Администраторы.  
    Подскажите пожалуйста, как найти и отключить запрет RDP для пользователя, облазил google и сам политику - но не нашел.  
    Добавляю пользователя в группу пользователи удаленного рабочего стола, появляется окно с сертификатом, и потом все, подключение не происходит.  
    Сообщение - обратитесь к владельцу удаленного компьютера или администратору сети.  
    Или это ещё где-то может быть запрещено?  
    Либо если дело в групповой политике, прошу перенести модератора тему в соответствующий топик,
    или удалить мой топик http://forum.ru-board.com/topic.cgi?forum=8&topic=81623&start=#1
     
    Посоветовал Paromshick обратиться в эту тему.
    Помогите найти решение.

    Всего записей: 1679 | Зарегистр. 14-04-2006 | Отправлено: 14:06 30-09-2018 | Исправлено: KUSA, 14:12 30-09-2018
    alexnov66



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    KUSA
    Посмотрите в разделе
     
    Конфигурация Windows-параметры безопастности-локальные политики-назначение прав пользователя
     
    параметр "Запретить вход в систему через службы удаленных рабочих столов"
    удалите от туда все группы
     
    и проверте параметр "Разрешать вход в систему через службы удаленных рабочих столов"
     
    что бы были в нём группы
    Администраторы
    Пользователи удалённого рабочего стола

    Всего записей: 705 | Зарегистр. 29-08-2005 | Отправлено: 15:39 30-09-2018 | Исправлено: alexnov66, 15:48 30-09-2018
    Paromshick



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    1. На DC влияет стандартная политика Default Domain Controller Policy. Внеся там изменения вы потом не сможете откатить к дефолтными и никакую дефолтную ниоткуда не скачаете. Потому:
    0. Сделать бекап  Default Domain Controller Policy и  Default Domain Policy, стандартно, через right click.
    Собственно, учитывая вышенаписанное - это всё. Не факт, что оно поможет, но тем не менее.
     
    Более обстоятельно выглядит вопрос: а зачем рядовые пользователи на котроллере домена? Если вы хотите использовать его как сервер терминалов, то он должен быть сервером терминалов. Иначе - удалённый рабочий стол в режиме администрирования. Два пользователя и оба администраторы. Так происходит на любом Windows сервере, разве нет?
    Если же вы сделаете из сервера RDSH (Terminal), то достаточно будет включения пользователей в группу... озвучить? ОК, - Пользователи удалённого рабочего стола.
     
    Таким образом. Если не поднят терминал, то входят только админы. Два конкурентных конекшена. Если терминал поднят, то входят "пользователи удалённого рабочего стола".
    Теперь внимание, вопрос! При чём здесь GPO
    ?
    60 сек

    ----------
    Всё что угодно можно наладить, если достаточно долго вертеть в руках

    Всего записей: 2542 | Зарегистр. 12-04-2013 | Отправлено: 19:49 30-09-2018
    KUSA

    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    alexnov66
    Спасибо, проверил два этих параметра.
     
    Paromshick
    Я не ставил вопрос о входе пользователей по RDP на DC.
    Я просто не правильно задал вопрос. Ответ
    http://forum.ru-board.com/topic.cgi?forum=8&topic=81623&start=#5

    Всего записей: 1679 | Зарегистр. 14-04-2006 | Отправлено: 11:08 07-10-2018 | Исправлено: KUSA, 11:47 07-10-2018
    Paromshick



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    KUSA
    "Я не ставил вопрос, я его неправильно задал". Ну и я здесь при чём?
    Надеюсь, я правильно ответил на неправильно заданный вопрос.
    Чтобы была возможность заходить на сервер по RDP, не будучи при этом его администратором, необходимо поднять роль сервера удалённых рабочих столов.
    Это азы.

    ----------
    Всё что угодно можно наладить, если достаточно долго вертеть в руках

    Всего записей: 2542 | Зарегистр. 12-04-2013 | Отправлено: 13:52 07-10-2018
    urodliv



    Gold Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Коллеги. Давно в эту тему не лазал.
    Достался домен на 2012. Понадобилось мне поставить на компьютер пользователя программу из-под его сессии. Раньше как было: вылезало окно, где я прописывал свои параметры и делал что мне было нужно. А тут хрень какая-то: окно авторизации не выползает, если выбирать пункт "Запустить от администратора", то тоже ничего не получаю. То есть для выполнения любой административной задачи я должен заходить под собой, а потом уже пользователь возвращает себе сеанс.
    Где-то подобная настройка может быть зарыта в GPO?

    ----------
    Очень скоро еда станет совершенно безвкусной, и тогда этот недостаток придётся компенсировать хорошо развитым воображением.

    Всего записей: 6097 | Зарегистр. 29-04-2009 | Отправлено: 22:35 18-10-2018
    anton04



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    urodliv
     

    Цитата:
    А тут хрень какая-то: окно авторизации не выползает, если выбирать пункт "Запустить от администратора", то тоже ничего не получаю.

     
    Включите контроль учётных записей (UAC) и будет Вам счастье...
     
    P.S. А вообще-то никто не отменял "запуск от имени другого пользователя" с зажатым шифтом и правой кнопкой мыши.

    Всего записей: 2719 | Зарегистр. 14-06-2006 | Отправлено: 11:31 19-10-2018
    Открыть новую тему     Написать ответ в эту тему

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Групповые политики (Group Policy, GPO): документация, ссылки

    Имя:
    Пароль:
    Сообщение

    Для вставки имени, кликните на нем.

    Опции сообщенияДобавить свою подпись
    Подписаться на получение ответов по e-mail
    Добавить тему в личные закладки
    Разрешить смайлики?
    Запретить коды


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.Board
    © Ru.Board 2000-2018

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru