Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Групповые политики (Group Policy, GPO): документация, ссылки

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123

Открыть новую тему     Написать ответ в эту тему

lynx



Advanced lynx
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Групповые политики (Group Policy)


  • Групповые политики Active Directory
  • Структура объекта групповой политик
  • http://www.gpanswers.com/  
  • Windows Server Group Policy Home

    См. также Общие вопросы по Active Directory (AD)

    FAQ

  • Не работают групповые политики
  • Безопасность
  • Восстановление политик
  • Групповые политики + Internet Explorer (IE)
  • Windows Vista & Windows Server 2008
  • Другие вопросы по групповым политикам

    Документация

  • Англоязычная:
  • Русскоязычная:


    Пост подготовлен: G14

  • Всего записей: 11712 | Зарегистр. 08-05-2001 | Отправлено: 19:33 13-12-2004 | Исправлено: Paromshick, 10:25 23-09-2016
    Gabzya



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    А как УДАЛИТЬ прогу через ГП? установить я установил, а окозалось что пакет msi не устанавливает нужные модули, нужно установить локально, а хочется сначала через ГП удалить
     
    Добавлено:
    спс, разобрался,
    необходимо просто удалить паке из ГП, с пометкой удалить со всех компов

    Всего записей: 1149 | Зарегистр. 14-12-2004 | Отправлено: 11:42 17-03-2007
    m2a



    Full Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Вопрос для профессионалов!
    Не помню какой ключ поменяли в AD (Win2003), после чего на машинках в домене под управлением ХР при загрузке в безопасном режиме от имени локального администратора и попытки, например, использовать Восстановление системы, винда выдает предупреждение о том, что Администратор не является администратором (или что-то в этом роде)! Охренеть.... Менялись в АД некоторые параметры касательно кэширования паролей и метов аутентификации типа NTLM и т.д..... Какой-то из этих параметров повлиял .

    Всего записей: 561 | Зарегистр. 21-08-2003 | Отправлено: 18:14 19-03-2007
    Infected Switch



    Full Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Такой вопрос:
    Привязал политику к контейнеру, в котором находится тестовая машинка.
    В политике прописал установку msi пакета, но он устанавливаться не хочет =\ в логах пишет The system cannot find the file specified.  
    Папку расшарил, права дал...
    В чем проблема может быть?

    Всего записей: 471 | Зарегистр. 25-08-2006 | Отправлено: 14:19 27-03-2007
    GaDiNa



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Подскажите что надо сделать.
    в AD cоздал группу - WSUS Computers, поместил в нее нужные компы.  
    Потом создал OU - WSUS, переместил в нее эту группу ..  
    В свойствах OU, на закладке Групповая политика создал новую политику, настроил в Computer Configuration -> Administrative Templates - Windows Update опции, настраивающие подключение к WSUS и прочие параметры.
    Но на компьютеры, состоящие в группе WSUS Computers эта политика не применяется.
    Перезагружал, делал gpupdate /force, проверял в оснастке "Результирующая политика".
    Нету.
     
    Удалил всё - группу, OU и политику.
    По совету знакомого установил Group Policy Management Console with Service Pack 1.
    http://www.microsoft.com/downloads/details.aspx?FamilyID=0A6D4C24-8CBD-4B35-9272-DD3CBFC81887&displaylang=en
     
    При этом в AD консоли, в свойствах OU пропала закладка Групповая политика.
    Снова в AD создал группу WSUS Computers? добавил в нее нужные компы.
    В Group Policy Manament создал OU - WSUS и в ней новую политику WSUS Clients Group Plicy.
    В политике, на закладке Delegation, тоже добавил группу WSUS Computers и поставbл галку "Применение групповой политики"
    Но по прежнему - на компьютеры, состоящие в группе WSUS Computers эта политика не применяется.
     
    Где я торможу ?
     
     

    Всего записей: 1531 | Зарегистр. 17-06-2003 | Отправлено: 15:37 29-03-2007
    G14



    Добрый фей
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    GaDiNa

    Цитата:
    в AD cоздал группу - WSUS Computers, поместил в нее нужные компы.    
    Потом создал OU - WSUS, переместил в нее эту группу ..  

    Политики не применяются к группам. Группами можно только фильтровать применение GPO.
    Либо в OU должны быть нужные КОМПЬЮТЕРЫ, либо GPO линкуется к домену и фильтруется применение для группы.

    ----------
    http://OpsMgr.ru (более мне не принадлежит. Кому принадлежит - не знаю.)

    Всего записей: 3013 | Зарегистр. 19-01-2004 | Отправлено: 15:50 29-03-2007
    GaDiNa



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    G14

    Цитата:
    Либо в OU должны быть нужные КОМПЬЮТЕРЫ

    Я же их могу только ПЕРЕМЕСТИТЬ из контейнера Computers. Как то некрасиво, даи возможно не правильно.
     я писал

    Цитата:
    на закладке Delegation, тоже добавил группу WSUS Computers и поставил галку "Применение групповой политики"  

    я также добавлял отдельный компьютер. К нему тоже не применялась политика..
     
    Вобщем у меня задача распространить настройки, чтобы компы обновлялись из WSUS..
    Вот я и подумал чтоможно с помощью отдельной GP их распространить..
     

    Цитата:
    либо GPO линкуется к домену  

    а это как ?  
    может так и надо делать в моем случае..
     
     
     
     
     

    Всего записей: 1531 | Зарегистр. 17-06-2003 | Отправлено: 16:13 29-03-2007
    Infected Switch



    Full Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

    Цитата:
    Я же их могу только ПЕРЕМЕСТИТЬ из контейнера Computers. Как то некрасиво, даи возможно не правильно.
     я писал  

    Почему не можешь? В чем некрасивость-то выражается?
    Создаешь  контейнер WSUS, кидаешь туда компы, приязываешь с этому контейнеру политику и все...  

    Всего записей: 471 | Зарегистр. 25-08-2006 | Отправлено: 16:20 29-03-2007
    GaDiNa



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Infected Switch
     

    Цитата:
    Создаешь  контейнер WSUS

     
    чем это отличается от создания OU ? ничем.  
    я ж и говорю - комппы можно только ПЕРЕМЕСТИТЬ, то есть НЕ СКОПИРОВАТЬ.
    Вотименно это и не нравится

    Всего записей: 1531 | Зарегистр. 17-06-2003 | Отправлено: 16:25 29-03-2007
    Infected Switch



    Full Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    GaDiNa
    чем не нравится-то?

    Всего записей: 471 | Зарегистр. 25-08-2006 | Отправлено: 16:28 29-03-2007
    GaDiNa



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Infected Switch
    ну смотри - А если мне надо на некоторые компы из нового контейнера WSUS (как ты рекомендуешь) применить еще какието политики (но не навсе, которые в WSUS)  - мне получается надо будет их перенести из WSUS в новый контейнер на который применяются мои новые политики. А это значит, что на них перестанут применятся политики WSUS. Так ?

    Всего записей: 1531 | Зарегистр. 17-06-2003 | Отправлено: 16:35 29-03-2007
    Infected Switch



    Full Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    GaDiNa
    Тогда вникай в то, что тебе написал G14
     

    Всего записей: 471 | Зарегистр. 25-08-2006 | Отправлено: 16:44 29-03-2007
    GaDiNa



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    ПЕРЕМЕСТИЛ один комп из контейнера Computers в OU WSUS (кстати, попутно выяснил, что контейнер и OU - разные вещи походу, по крайней мере создать новый контейнер нельзя - в меню такого нет выбора) - сразу в Результирующей политике для этого компа отобразились настройки Windows Update..  
    а вот если в OU WSUS помещать группу, в которой есть компы - политики не применяются..
     ну да это уже обьяснил G14.
     
    Ну как же мне тогда быть ? Ведь просто ПЕРЕМЕСТИТЬ все компы из Computers не хочется - по указаной выше причине.

    Всего записей: 1531 | Зарегистр. 17-06-2003 | Отправлено: 16:44 29-03-2007
    Infected Switch



    Full Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Более популярно:
    Оставляешь твои комы в Computers, цепляешь на него политику WSUS, где во вкладке Delegation указываешь группу (твоя WSUS Computers) на которую эта политика должна действовать.

    Всего записей: 471 | Зарегистр. 25-08-2006 | Отправлено: 16:48 29-03-2007
    G14



    Добрый фей
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Infected Switch

    Цитата:
    Оставляешь твои комы в Computers, цепляешь на него политику WSUS,

    Политики линковать к КОНТЕЙНЕРУ нельзя. Нужно прилинковать к объекту домена и настроить фильтрацию по членству в группах безопасности. Надоело описывать одно и то же. Читаем статью про основы работы с политиками. Ссылка в самом верху шапки.

    ----------
    http://OpsMgr.ru (более мне не принадлежит. Кому принадлежит - не знаю.)

    Всего записей: 3013 | Зарегистр. 19-01-2004 | Отправлено: 06:58 30-03-2007
    arzumanyan



    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Люди !
    Такая задачка. Чтобы два раза не бегать, нужно с одного сервера экспортировать политики и импортнуть их на совершенно другой сервак с другим именем и в другом месте. Подскажите плииииииз как это можно организовать-то ???

    Всего записей: 126 | Зарегистр. 25-08-2005 | Отправлено: 10:21 30-03-2007
    gap5



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Убрал ссылку на "Локальный диск С:" из моего компа, особо ушлые юзеры научились создавать ярлык и без проблем смотреть содержимое.
     
    Посмотрел пермишены на С:
     
    Administrators - Full - This folder, subfolders and files
    System - Full  - This folder, subfolders and files
    Creator owner - Full  - Subfolders and files
    Users - Read&Execute Create Folders - This folder, subfolders and files
    Everyone - This folder only
     
    Теоретически все может решить запрет (отстутствие разрешения) на List Folder для This folder only. Но вот задача, какую учетку для этого приспособить? Если сделать запрет для Domain Users (а через Group Policy я могу назначать только доменные объекты) - то автоматом получим запрет и для Domain Admins, т.к. они членствуют в Domain Users.  
     
    Другой вариант - создать отдельную группу "Deny List HDD", для нее поставить запрет на листинг и уже в нее добавлять нужные группы юзеров. Кстати, как создать группу, членами которой могут быть другие группы?
     
    Может есть вариант красивее?
     
    И вторая "дырка" - cmd.exe - если запретить юзеру его запуск через:
    Administrative Templates\System\Setting\Don't run specified Windows applications
     
    какие проблемы можно получить?

    Всего записей: 766 | Зарегистр. 30-05-2006 | Отправлено: 19:55 31-03-2007 | Исправлено: gap5, 20:24 31-03-2007
    FreemanRU



    Silver Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    gap5

    Цитата:
    какие проблемы можно получить?

    НИкаких.
     

    Цитата:
    Может есть вариант красивее?

    Конечно. Вместо того, чтобы СКРЫВАТЬ диск С: просто запретить к нему доступ (далается в том же месте, что и скрытие). Но при этом надо убедиться, что нет альтернативных файловых менеджеров.

    ----------
    Если не получается с первого раза - прочти инструкцию. (с)
    "Откуда нам знать, что такое война, если мы не знаем мира..."(с)
    Записки

    Всего записей: 3768 | Зарегистр. 16-07-2004 | Отправлено: 23:22 31-03-2007
    gap5



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    FreemanRU
    Так в этом случае юзеру будет заказан любой доступ к диску, в том числе "мои документы", "рабочий стол"...

    Всего записей: 766 | Зарегистр. 30-05-2006 | Отправлено: 23:40 31-03-2007
    FreemanRU



    Silver Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    gap5

    Цитата:
    Так в этом случае юзеру будет заказан любой доступ к диску

    Это кто тебе такую глупость сказал?
    Более того, можно будет запустить лбую программу (при наличии разрешения) с диска С, указав её полный путь


    ----------
    Если не получается с первого раза - прочти инструкцию. (с)
    "Откуда нам знать, что такое война, если мы не знаем мира..."(с)
    Записки

    Всего записей: 3768 | Зарегистр. 16-07-2004 | Отправлено: 23:44 31-03-2007 | Исправлено: FreemanRU, 23:45 31-03-2007
    gap5



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    FreemanRU
    Винда и сказала когда тестил эту политику...
    Содержимое папок (в том числе мои документы) просматривается-то через Explorer.
     
    Я же не заставлю юзеров на память знать имена всех документов...

    Всего записей: 766 | Зарегистр. 30-05-2006 | Отправлено: 23:47 31-03-2007 | Исправлено: gap5, 23:49 31-03-2007
    Открыть новую тему     Написать ответ в эту тему

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Групповые политики (Group Policy, GPO): документация, ссылки

    Имя:
    Пароль:
    Сообщение

    Для вставки имени, кликните на нем.

    Опции сообщенияДобавить свою подпись
    Подписаться на получение ответов по e-mail
    Добавить тему в личные закладки
    Разрешить смайлики?
    Запретить коды


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.Board
    © Ru.Board 2000-2018

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru