Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Групповые политики (Group Policy, GPO): документация, ссылки

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123

Открыть новую тему     Написать ответ в эту тему

lynx



Advanced lynx
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Групповые политики (Group Policy)


  • Групповые политики Active Directory
  • Структура объекта групповой политик
  • http://www.gpanswers.com/  
  • Windows Server Group Policy Home

    См. также Общие вопросы по Active Directory (AD)

    FAQ

  • Не работают групповые политики
  • Безопасность
  • Восстановление политик
  • Групповые политики + Internet Explorer (IE)
  • Windows Vista & Windows Server 2008
  • Другие вопросы по групповым политикам

    Документация

  • Англоязычная:
  • Русскоязычная:


    Пост подготовлен: G14

  • Всего записей: 11712 | Зарегистр. 08-05-2001 | Отправлено: 19:33 13-12-2004 | Исправлено: Paromshick, 10:25 23-09-2016
    omni64

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Имеется AD Windows server 2016 + клиенты Windows 10 pro  
    При попытке настроить резервное копирование на клиентах  
    (Панель управления - все элементы панели управления - резервное копирование и восстановление)  
    Появляется ошибка: 0x81000010
    Не удалось запустить приложение архивации из-за внутренней ошибки.  
    Для выполнения этой задачи необходимо войти в систему с правами администратора.  
     
    Возможно ли настроить с помощью групповых политик возможность архивации данных пользователями?

    Всего записей: 140 | Зарегистр. 17-01-2006 | Отправлено: 12:25 22-01-2019 | Исправлено: omni64, 14:41 24-01-2019
    eEye

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Добрый день.
    Столкнулся с проблемой "не применения" одной из GPO, хотя многие другие работают, не понимаю в чем проблема..
     
    Групповая политика должна ставить права R (чтение) на папке рабочего стола профиля пользователя, но по факту ни ГПО на ПК (файловая система) ни ГПО на пользователя (скрипт при входе) не хотят менять права.
     
    Прилагаю ссылку на drive https://drive.google.com/open?id=1BWjCow86FiZTaV5MIPFIUF6uSV68G7SI (без вирусов), название gpo =     Desktop_file.
     
    Подскажите в чем проблема пожалуйста.

    Всего записей: 32 | Зарегистр. 08-01-2008 | Отправлено: 17:17 24-01-2019
    Paromshick



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    eEye
    Подождите. Не глядя по ссылке. Может я не верю вирусам
    Вы говорите о политике, то есть распространении одиночного действия массово. А одиночно-то оно работает? Вот вы попробовали без прав админа что-то это своё мудрое запустить? Не кликами, а в автозагрузке или что у вас там, реально эмулировать?  
    Далее. Или ранее. Ветка "на ПК" не будет работать для пользователя. Потому они и разные, что каждому своё.

    ----------
    Всё что угодно можно наладить, если достаточно долго вертеть в руках

    Всего записей: 2477 | Зарегистр. 12-04-2013 | Отправлено: 21:49 24-01-2019
    ipmanyak



    Gold Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    eEye Возможно не дает включенное Наследование на папке C:\USERS\юзер , так как юзер должен иметь полные права на свою папку и подпапки. Что в этой папке? Может есть другое решение, например разместить ее на сетевом ресурсе или FTP сервере, а юзерам выведешь ярлык?


    ----------
    В сортире лучше быть юзером, чем админом...

    Всего записей: 9908 | Зарегистр. 10-12-2003 | Отправлено: 06:40 25-01-2019 | Исправлено: ipmanyak, 06:41 25-01-2019
    eEye

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    ipmanyak
    1) Проблема AD что невозможно произвести диагностику применения политики.
    Пользователи видят только то, что применяется на пользователя, а администраторы на ПК.
    Политика добавлена в OU где все ПК хранятся, а значение "файловая система" привязана к изменению "%UserProfile%\Desktop" и "%UserProfile%\Рабочий стол", где добавляется запрет для записи на пользователя и разные другие.
    Так вот не применяются никакие правила.
    Диагностики у Microsoft никакой не предусмотрено, т.к. Пользователь не имеет права просмотра gpresult computer, а политика применяется на ПК..
     
    Задача: Сделать так, чтобы пользователи не могли создавать файлы и папки на рабочем столе, но могли создавать ярлыки.
     
    2) Что интересно, если я зайду от имени пользователя и вручную впишу в cmd "cacls %userprofile%\desktop /E /P %username%:R" - то права меняются, но криво.
    У меня есть 2 пользователя, локальный eEye и доменный eEye, который при наличии такого же локального выглядит как eEye.NZ
    Команда "cacls %userprofile%\desktop /E /P %username%:R" применяет права на local\eEye, а не на domain\eEye и получается ставит права запрета изменений локальному eEye, а доменный в своей же учетной записи продолжает как ни в чем не бывало работать)))
     
    С точки зрения %username% это оба пользователя "eEye", но вот как объяснять системе что доменный имеет приставку .. (не на всех компьютер есть задвоенные профили)
     
    В общем я не понимаю почему через GPO не отрабатывает, ведь доменная политика перекрывает локальную.

    Всего записей: 32 | Зарегистр. 08-01-2008 | Отправлено: 09:34 25-01-2019
    Paromshick



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    eEye

    Цитата:
    Диагностики у Microsoft никакой не предусмотрено, т.к. Пользователь не имеет права просмотра gpresult computer, а политика применяется на ПК..  
    Диагностики у МС таки предусмотрено ещё какой , но справедливо замечено, что политика всё же в ветке компьютера.
    Может ещё разочек... Политика "на ПК" применяется к ПК. Указывать ему "%UserProfile%\Desktop  бессмысленно. Он не найдёт C:\Users\ПК-имя\Desktop
     
    Если ту же переменную указать в ветке пользователя, то он её легко найдёт.
     
     
    Добавлено:
    Поаккуратнее с установлением прав и вообще, управлением файлами через политику компьютера.
    Было дело, лет... больше 10-ти назад... В приступе паранойи начальство приказало затирать за юзерами времянки все, какие возможно, в том числе и те, где у соседнего юзера нет прав. Среди "всех которые возможно", была, есесьно и папка C:\Temp. Соответственно на ветку компа, как обладающего необходимыми привилегиями,  был провешен скрипт и в нём была строчка

    Код:
    del C:\Temp\*.* /F /Q
    без условий проверки, существует ли путь.
    Я не помню, сколько компов умерло, но не один и не два.

    ----------
    Всё что угодно можно наладить, если достаточно долго вертеть в руках

    Всего записей: 2477 | Зарегистр. 12-04-2013 | Отправлено: 11:24 25-01-2019
    eEye

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Paromshick
    Думал в AD всё продумано для понимания, а оказалось надо усердно думать.
     
    Возник вопрос после Ваших слов. Если GPO-PC применяется до возможности получения данных от профиля пользователя, то как тогда вешать такие права на всех пользователей?
    GPO-параметры безопасности-файловая система = есть только в ветке "компьютер", т.е. в ветке "пользователя" нету возможности задать права на ntfs...
     
    Вообще задача стоит дать пользователям сохранять и удалять только *.lnk, но как я понимаю это не реально сделать и видимо придётся работать с запретом записи всех файлов, но не знаю как это сделать. Профили не перемещаемые, а на ПК хранятся, соответственно нет возможности их где-то править "в сети".

    Всего записей: 32 | Зарегистр. 08-01-2008 | Отправлено: 12:01 25-01-2019
    Paromshick



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    eEye
    В AD таки всё продумано, но почему-то "ждутся чудеса". И с пониманием всё норм, если понимать (простите), что чудес нет.
    Вот грузится комп. До пароля. Он применяет политику компа. Какой юзер, о чем вы? кто пароль наберёт, Вася или Петя? Компьютер телепат - это чудо.
    Но можно продумать вам ваш же скрипт. Как-то по другому находить нужные пути.
     
    Вообще, вы неверно пути пишете. В ветке компа, равно как и пользователя есть ветвление на Policies и Preferences
     
     
     
    Добавлено:
    Вообще по вашей ссылке не понятно ,что вы там делаете, всё в одной куче. Вообще всё, что можно...
    Надо создавать отдельную политику и её редактировать и линковать к контейнеру.

    ----------
    Всё что угодно можно наладить, если достаточно долго вертеть в руках

    Всего записей: 2477 | Зарегистр. 12-04-2013 | Отправлено: 12:12 25-01-2019
    eEye

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Paromshick
    В ветке ПК нету того же что в Пользователях, скриншот: https://drive.google.com/open?id=1cfyC4TTiCnibcXcf8P0xEuBd-hANyx33
     
    У меня была отдельная политика desktop_file, в ней кроме переписывания прав на рабочий стол ничего не было, но не суть, т.к. Вы мне объяснили что %userprofile% не подхватиться на "ПК".
     
    Теперь сижу и думаю как решить проблему, чтобы пользователя могли создавать ярлыки, но не могли файлы и папки, всё держали на сервере. Перемещаемый обязательный профиль не даст права создания ярлыков с сохранением.

    Всего записей: 32 | Зарегистр. 08-01-2008 | Отправлено: 12:52 25-01-2019
    Paromshick



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    eEye

    Цитата:
    В ветке ПК нету того же что в Пользователях, скриншот:
    Разве кто-то говорил, что дело обстоит иначе?
    Цитата:
    У меня была отдельная политика desktop_file, в ней кроме переписывания прав на рабочий стол ничего не было, но не суть,  
    Суть в том, что вы не говорите толком, что вы там реализовывали, а политику выложили настолько общую, что увольте читать. Может у вас стартап скрипт был. Он точно не сработает. Пардон, у юзера логон скрипт, а стартап у компа.
    Оказывается, вовсе не скрипт, а секьюрити сеттингс…Тогда должно работать, вопреки моим предыдущим утверждениям, но я не проверял. Странно только, как вы там избирательно типы файлов укажете.
    Так  можно долго в угадайку играть.

    Цитата:
    Теперь сижу и думаю как решить проблему
    Ищущий да обрящет. Вообще, крайне дурной тон править разрешения пользователю в его профиле. Огребёте проблем. Вас об этом просили?

    ----------
    Всё что угодно можно наладить, если достаточно долго вертеть в руках

    Всего записей: 2477 | Зарегистр. 12-04-2013 | Отправлено: 16:53 25-01-2019
    eEye

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Paromshick
    Проблема в том, что пользователи хранят данные в рабочем столе, практически не хранят в сетевом ресурсе. Административные мерами не закрывается проблема, т.е. я то права и не хочу править, но надо запретить пользователям держать файлы на раб.столе, разрешая держать ярлыки.

    Всего записей: 32 | Зарегистр. 08-01-2008 | Отправлено: 11:06 28-01-2019
    drsmoll



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    eEye Перемести Рабочий стол, Документы и пр. на  сетевой ресурс.

    Всего записей: 248 | Зарегистр. 13-04-2006 | Отправлено: 12:01 28-01-2019
    Paromshick



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    eEye
    Знаете, я тоже такой был, мол я лучше знаю, как должно быть устроено. И факт - действительно лучше знаю, потому, что разбираюсь в устройстве, это моя и ваша работа. Но не лучше на самом деле. Просто пользователь более безалаберен и доверяет компу.
    Поймите, вас же не просили\приказыали\обязывали заботится о сохранности данных пользователей размещенных на АРМ. Если и просили, то надо срочно переиграть. Всё, что расположено на АРМ сохраняется постольку поскольку. До первого шифровальщика. Вылета диска. Даже аварии материнки, когда данные вроде бы есть, но к ним нет доступа, а это равно данных нет.
    Мотивируйте таким образом создание файлового хранилища. Это ваша зона ответственности. Но и устроено оно должно быть грамотно, пардон. С версионностью. И резервно копироваться.
    Там и будете бороться с хранением непотребных вещей, а-ля видео.
    Остальное придёт со временем. Пользователи сами поймут, после пары тройки потерь данных, хранимых на писюках, что храниить надо в сети. Кроме того, это дело можно усилить административно приказным порядком.
    А пока им некуда класть, будете... дурью маяться.
    Запрет на уровне NTFS выглядит больше как некая подлянка. И начинается эта бесплодная борьба...
    Цитата:
    Перемести Рабочий стол, Документы и пр. на  сетевой ресурс.  
    Вот вот. Сделать ресурс и там держать. Консолидировано, можно будет хотя бы увидеть объём хранимых данных, и показать стоимость хранения.

    ----------
    Всё что угодно можно наладить, если достаточно долго вертеть в руках

    Всего записей: 2477 | Зарегистр. 12-04-2013 | Отправлено: 20:57 28-01-2019
    eEye

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Paromshick У Вас всё красиво написано, но всё же не для моей сети.
     
    Почему нельзя сделать хранения профиля в сети:
    1) Частенько в гугле ищут решения проблем связанные с перемещаемыми профилями, то не загрузится, то тестовый профиль и т.п. А когда профиль не перемещаемый тут кроме краха винды или материнской платы уже ничего не страшно и можно с утра не спеша пить кофе.
    2) Даже если забыть про п.1, то при хранение пары гигов на рабочем столе перемещение профиля при выходе и включение при входе становится предполагаете каким доооолгим?)
    3) Есть удалённый с 25 машинами, канал от силы 10 мбит/сек.... (и если установка DC3 решает проблему с профилями, то не решает проблему одного файлового хранилища)

    Всего записей: 32 | Зарегистр. 08-01-2008 | Отправлено: 13:48 29-01-2019 | Исправлено: eEye, 13:49 29-01-2019
    fedmun

    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    eEye, выше вам правильно все расписали.
    1 - нет там никаких проблем, если настроить по RTFM
    2 - почитайте, все-таки, про профили. Там немного не так всё
     
     

    Всего записей: 1338 | Зарегистр. 13-06-2002 | Отправлено: 14:06 29-01-2019
    Paromshick



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Добавлю, что про перемешаемые профили я не заикался. Перенаправление папок поддержал, но и то... не обязательно. Я не использую.
    Сказал лишь о том, что данные, хранящиеся в сетевом хранилище, защищены. А на ПК - нет. Соответственно, после нескольких потерь пользователи сами найдут правильный путь. Можно помочь административно.
    Но упаси вас Бог что-то потерять в сетевом... это вам не запреты ставить.

    ----------
    Всё что угодно можно наладить, если достаточно долго вертеть в руках

    Всего записей: 2477 | Зарегистр. 12-04-2013 | Отправлено: 15:56 29-01-2019
    eEye

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Paromshick
    Почитал про перемещение папок. Общую разницу я понимаю, но тем не менее что папок, что профиля перемещение по сути складывание данных на сервере. Зачем нужно перемещать только папки, если можно весь профиль гонять по сети и на любой машине логиниться со своими данными?
    Минус для меня из-за размера.. захотел завтра юзер гиг фильма скачать и при выключении ПК охрана ждёт пока по 10 мбит перекачается...

    Всего записей: 32 | Зарегистр. 08-01-2008 | Отправлено: 17:51 29-01-2019
    fedmun

    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    захотел завтра юзер гиг фильма скачать и при выключении ПК охрана ждёт пока по 10 мбит перекачается...

    Ну, это они еще Blu-ray ISO не качали
    Сделайте перенаправление Desktop и Documents, папки на сервере ограничьте квотами.
    Для личных данных хватит и 500 мег, остальное - сетевые ресурсы.
    И логиниться будут на любом месте.

    Всего записей: 1338 | Зарегистр. 13-06-2002 | Отправлено: 18:00 29-01-2019
    VitK



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Здравствуйте!
     
    Подскажите, пожалуйста, можно ли средствами локальных групповых политик для пользователей сервера терминалов как-то скрыть вкладку Устройства, которая находится по такому пути:  
     
    Панель управления\Все элементы панели управления\Устройства и принтеры\Устройства.
     
    Пересмотрел групповые политики, но такого параметра там не нашёл.
     
     
     

    Всего записей: 2443 | Зарегистр. 16-01-2003 | Отправлено: 21:30 29-01-2019
    Paromshick



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    User Configuration/Administrative Templates/Control Panel/Hide specified Control Panel items

    Цитата:
    To hide a Control Panel item, enable this policy setting and click Show to access the list of disallowed Control Panel items. In the Show Contents dialog box in the Value column, enter the Control Panel item's canonical name. For example, enter Microsoft.Mouse, Microsoft.System, or Microsoft.Personalization.
    Canonical Names of Control Panel Items

    ----------
    Всё что угодно можно наладить, если достаточно долго вертеть в руках

    Всего записей: 2477 | Зарегистр. 12-04-2013 | Отправлено: 09:13 30-01-2019
    Открыть новую тему     Написать ответ в эту тему

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Групповые политики (Group Policy, GPO): документация, ссылки

    Имя:
    Пароль:
    Сообщение

    Для вставки имени, кликните на нем.

    Опции сообщенияДобавить свою подпись
    Подписаться на получение ответов по e-mail
    Добавить тему в личные закладки
    Разрешить смайлики?
    Запретить коды


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.Board
    © Ru.Board 2000-2018

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru