Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Групповые политики (Group Policy, GPO): документация, ссылки

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126

Открыть новую тему     Написать ответ в эту тему

lynx



Advanced lynx
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Групповые политики (Group Policy)


  • Групповые политики Active Directory
  • Структура объекта групповой политик
  • Group Policy Administrative Templates Catalog
  • http://www.gpanswers.com/  
  • Windows Server Group Policy Home

    См. также Общие вопросы по Active Directory (AD)

    FAQ

  • Не работают групповые политики
  • Безопасность
  • Восстановление политик
  • Групповые политики + Internet Explorer (IE)
  • Windows Vista & Windows Server 2008
  • Другие вопросы по групповым политикам

    Документация

  • Англоязычная:
  • Русскоязычная:


    Пост подготовлен: G14

  • Всего записей: 11712 | Зарегистр. 08-05-2001 | Отправлено: 19:33 13-12-2004 | Исправлено: Paromshick, 20:16 03-06-2020
    Paromshick



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Какие надо править ветки известно ещё со времён ХР. Только коечто меняется. И гуглить надо "изменение раскладки клавиатуры с помощью реестра". Никакой простыни нет.  
    В общем, если лень расписывать, то зачем вообще озвучивать? Может потому, что не сработает?
     
    http://winitpro.ru/index.php/2017/08/30/smena-raskladki-klaviatury-yazyka-na-ekrane-vxoda-v-sistemu/

    ----------
    Скучно

    Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 18:47 07-09-2019
    RemComm



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Оно работает, но с нюансами, конечно. Например, при применении политики - такие изменения попадают в реестр, но сразу не применяются, это из-за дизайна ОС. Т.е. после применения политики, рабочую станцию надо перезагрузить и изменения отработают. Где-то у микрософта есть гайд по таким нюансам GPO. Есть какие-то колдунства, позволяющие этого избежать, но то черная магия. Ну, да, на русском статей не много - все больше на английском, есть такое. Но, вроде, в них не очень много сильно специальных терминов и языковых оборотов.
     
    Да вы и не просили пошаговых инструкций. А какой у вас скилл по групповым политикам - так сразу и не понятно. Предположили, что он есть, раз вы с GPO работаете. Если бы вы спросили пошаговую инструкцию, то я бы даже и встревал со своим постом

    Всего записей: 838 | Зарегистр. 30-09-2003 | Отправлено: 18:56 07-09-2019 | Исправлено: RemComm, 19:05 07-09-2019
    Paromshick



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    RemComm
    Именно поэтому, лучше сразу закатывать правильную раскладку в образ. Вообще, иметь свой образ ОС - это хороший стиль администрирования, я так считаю.
    Цитата:
    Да вы и не просили пошаговых инструкций.
    Я их вообще не просил И если вы и встревали, то под другим ником. Меня единственное, что заинтересовало, скорее философски, что может быть хоть в 10 появилась штатная возможность настройки через GPO, а не с танцами всякими.
    Ну, в общем-то, один параметр я для себя открыл, спасибо спрашивавшему...

    ----------
    Скучно

    Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 21:06 07-09-2019
    RemComm



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Paromshick
    Опс... Точно, это не вы спрашивали. Мои извинения.

    Всего записей: 838 | Зарегистр. 30-09-2003 | Отправлено: 06:31 08-09-2019
    86and64

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Вопрос в котором пересекается работа ОС с групповыми политиками.  
    Небольшой домен с КД на 2012 R2. Машины от WinXP до Win10.  
    С середины этого года начал ставить на новые компы Win10 LTSC мартовский релиз.  
    После присоединения ПК с свежеустановленным Win10 LTSC в домен перестает работать оснастка Параметры системы. Само окно открывается но все плитки в нём не активные. Если вызвать параметры например панели задач, которые должны открыть сразу нужный раздел, то открывается только пустое окно которое потом закрывается.  
    Опытным путём было вычислено что происходит это из-за применения одной политики компьютера. Она устанавливает правила работы SRP (политика ограниченного использования программ). Хочу сразу заметить что эта политика отлично работает на предыдущем релизе Win10 LTSB 2016 года.  
    Внутри политики нет ничего сверхъестественного. При этом изменение настроек внутри политики никаким образом на результат проблемы не влияют, только полный запрет на ёё применение. Пробовал давать права на весь системный раздел, исключал из обработки dll файлы, переводил политику в режим Неограничено. Гуглил до покраснения в глазах, но найти схожую проблему не нашёл.  
    В логах регистрируются такие события:
     
    Лог безопаности (Отказ)
     
    Лог приложений

    Всего записей: 53 | Зарегистр. 08-09-2013 | Отправлено: 12:27 09-09-2019 | Исправлено: 86and64, 12:36 09-09-2019
    omni64

    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Paromshick

    Цитата:
    Какие надо править ветки известно ещё со времён ХР. Только коечто меняется. И гуглить надо "изменение раскладки клавиатуры с помощью реестра". Никакой простыни нет.  
    В общем, если лень расписывать, то зачем вообще озвучивать? Может потому, что не сработает?
     
    http://winitpro.ru/index.php/2017/08/30/smena-raskladki-klaviatury-yazyka-na-ekrane-vxoda-v-sistemu/

    Computer configuration -> Administrative Templates ->System ->Locale Services включил политику
    в конфигурации пользователя - настройка - конфигурация Windows - реестр с помощью мастера создал HKEY_CURRENT_USER-Keyboard Layout-Preload там выставил  
    1 русский (00000409)
    2 английский (00000419)
    применил политику
    на экране приветствия клавиатуру русская
    после входа в систему клавиатура английская.
     
    Мне же нужно наоборот.
    На экране приветствия клавиатура английская, после входа в систему русская.
     
    Добавлено:
    86and64

    Цитата:
     
    Опытным путём было вычислено что происходит это из-за применения одной политики компьютера. Она устанавливает правила работы SRP (политика ограниченного использования программ). Хочу сразу заметить что эта политика отлично работает на предыдущем релизе Win10 LTSB 2016 года.  
    В

    в приведенных вами логах ничего не указывает на SRP
    SRP пишет такое
    SoftwareRestrictionPolicies с кодом 865
     
    а вообще включите логирование для SRP и посмотрите.
    Как задействовать подробное журналирование:
    1. Запустите regedit (Если UAC не выключен, то обязательно Run as Administrator).
    2. Откройте ключ HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers
    3. Добавьте значение REG_SZ LogFileName = «C:\SRP\SRP.log»
    4. Создайте папку C:\SRP, на файл SRP.log внутри неё добавьте разрешение NTFS Authenticated Users: Modify.
     
    Как искать проблему в журнале:
    1. Попытайтесь запустить проблемную программу
    2. Ищите в конце указанного журнала слово Disallowed
    3. Найденную заблокированную программу добавьте в правила SRP либо по пути, либо по хэшу.

    Всего записей: 208 | Зарегистр. 17-01-2006 | Отправлено: 12:28 09-09-2019 | Исправлено: omni64, 13:56 09-09-2019
    86and64

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    omni64
     
    Суть в том что даже в режиме политики Unrestricted, окно параметров не работает. А в режиме Disallowed ошибки с кодом 865 не регистрируются.  
    Работает только когда стоят в свойствах указанной политики права Deny Apply Group Policy для проблемного ПК.  

    Всего записей: 53 | Зарегистр. 08-09-2013 | Отправлено: 16:19 09-09-2019
    omni64

    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    86and64

    Цитата:
    Суть в том что даже в режиме политики Unrestricted, окно параметров не работает. А в режиме Disallowed ошибки с кодом 865 не регистрируются.  
    Работает только когда стоят в свойствах указанной политики права Deny Apply Group Policy для проблемного ПК.  

    настройте эту политику на локальном компьютере (без домена) и включите логирование SRP
     
    P.S.  
    Политики SRP настроены на компьютер или на пользователя?

    Всего записей: 208 | Зарегистр. 17-01-2006 | Отправлено: 16:39 09-09-2019 | Исправлено: omni64, 16:45 09-09-2019
    86and64

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    Политики SRP настроены на компьютер или на пользователя?

     
    На компьютер. Попробую настроить локальными политиками.

    Всего записей: 53 | Зарегистр. 08-09-2013 | Отправлено: 08:31 10-09-2019
    Paromshick



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    omni64
    Цитата:
    Мне же нужно наоборот.
    Простите, но я изначально говорил, что тема мутная и стандартных способов нет.
    Решить вопрос ребром, то есть реестром... Знаете, я уже, наверное, стар, чтоб как раньше сутками пилить реестр.
    Кроме того, не я же это предложил
    Его и спрашивайте.

    ----------
    Скучно

    Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 20:14 10-09-2019
    apok



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Добрый день,
     
    Подскажите пожалуйста, можно ли политикой запретить сохранение определенных форматов .doc  .xls .pdf на рабочих столах и загрузках пользователям?
     
    ОС Win2016
     
    Спасибо.

    Всего записей: 201 | Зарегистр. 06-12-2007 | Отправлено: 11:27 30-09-2019
    anton04



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    apok
     
    Форматов нет, а всех файлов и каталогов да (для этого используется скрипт правящий настройки NTFS на папки).

    Всего записей: 2801 | Зарегистр. 14-06-2006 | Отправлено: 11:59 30-09-2019
    omni64

    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    Подскажите пожалуйста, можно ли политикой запретить сохранение определенных форматов .doc  .xls .pdf на рабочих столах и загрузках пользователям?

    Устанавливаете файловый сервер - потом настраиваете политики блокировки файлов на нужные ресурсы. Естественно это все в домене с настройкой перемещаемых папок (или профилей) когда папка рабочий стол и папка загрузки располагаются на сервере.  
    Пример:  
    для рабочего стола ставите лимит 100 мб и включаете фильтр на документы. Пользователь не сможет сохранить на рабочем столе документы.

    Всего записей: 208 | Зарегистр. 17-01-2006 | Отправлено: 08:01 02-10-2019
    Paromshick



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Наткнулся на интересный ресурс
    https://getadmx.com/
    Например
    https://getadmx.com/?Category=Windows_10_2016&Policy=Microsoft.Policies.TerminalServer::TS_SESSIONS_Idle_Limit_2&Language=ru-ru#
     
    Разместил в шапке

    ----------
    Скучно

    Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 20:19 03-06-2020
    ar13



    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Подскажите! Как решить проблему!
     
    AD Windows Server 2012R2 with ADMX 1809
     
    При вводе любого компьютера в домен на базе ОС WINDOWS 10
    не работает пуск и metro приложения (по типу Microsoft EDGE Microsoft Store и тд)
    Под администратором домена пуск и приложения работают
     
    Начиная с build 1803 после ввода компа в домен, и перезагрузки, идет бесконечная загрузка windows (черный экран и значек колеса) до раб стола не добраться.
     
    Помогает в групповых политиках создать отдельную папку, поставить ей что бы она не наследовала политики,
    и запихнуть комп в эту папку.
     
    windows 10 установлена начисто.
    Я так понимаю не хватает каких то прав на приложения metro
     
     

    Всего записей: 38 | Зарегистр. 24-01-2016 | Отправлено: 14:41 06-06-2020 | Исправлено: ar13, 14:44 06-06-2020
    Falcon99



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Прошу помощи.  
    Для инвентаризации  оборудования используем программу CheckCfg. Запуск производим через логон скрипт через GPO.
    Код скрипта:

    Код:
    Dim adsinfo, ThisComp, oUser
    ' Определяем объекты
    Set adsinfo = CreateObject("adsysteminfo")
    ' adsinfo.ComputerName = CN=BUZUN,CN=Computers,DC=cityarch,DC=local
    Set ThisComp = GetObject("LDAP://" & adsinfo.ComputerName)
    Set oUser = GetObject("LDAP://" & adsinfo.UserName)
    ' Заносим данные в AD
    ' В поле Description компьютера пишем имя пользователя, и время входа
    Thiscomp.put "description", oUser.cn + " ; LogIn: " + CStr(Now)
    if not oUser.department="" then Thiscomp.put "department", oUser.department
    ThisComp.Setinfo
     
    'В поле Description учетки пользователя пишем имя компьютера и время входа
    oUser.put "description", ThisComp.cn + " ; PowerOn: " + CStr(Now)  
    oUser.Setinfo
     
    ' Скрипт для запуска Checkcfg.exe с параметром DisplayName из ActiveDirectory
    ' Wait until the user is really logged in...
    'WScript.Sleep 100 ' 1/10 th of a second
    ' Запуск Checkcfg
    'Set WSHShell = WScript.CreateObject("WScript.Shell")
    'WshShell.Run "\\Server\shared\checkcfg\Checkcfg.exe "+ThisComp.cn+" "+oUser.cn,0
     
    ' Скрипт для запуска Checkcfg.exe с параметром DisplayName из ActiveDirectory
    ' Wait until the user is really logged in...
    WScript.Sleep 100 ' 1/10 th of a second
    Set WSHShell = WScript.CreateObject("WScript.Shell")
    Set FSO=WScript.CreateObject("Scripting.FileSystemObject")
    Set Tmp = FSO.GetSpecialFolder(2)
    FSO.CopyFile "\\SERVER\Shared\Checkcfg\Checkcfg.*", Tmp, true
    WshShell.Run Tmp & "\CHECKCFG.EXE " & ThisComp.cn & " " & oUser.cn
     
    wscript.quit

    Проблема состоит в том что на Windows XP и 7 все отрабатывает нормально и данные собираются и заливаются на сервер. А вот на машинах Windows 8.1 простой запуск скрипта отрабатывает нормально, а вот из логон часть выполняется только первая часть, а вот запуск программы или не происходит или он не отрабатывается, т.к. информация на сервер не попадает.
    Раньше использовали закомментированую часть скрипта, потом внесли изменения, та часть что ниже, но проблему не решило, хотя сами файлы копируются, и следовательно каталог доступен.  
    Что посоветуйте и куда "копать"?

    Всего записей: 607 | Зарегистр. 12-10-2005 | Отправлено: 13:23 15-07-2020
    VitRom

    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Falcon99, для начала увеличить Sleep раз в 5-10, и если поможет то посмотреть в политиках насчёт "асинхронного выполнения логон-скриптов".
    Но это неточно

    Всего записей: 3097 | Зарегистр. 18-06-2006 | Отправлено: 14:28 15-07-2020
    Falcon99



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    VitRom
    Попробую, правда с самой программе тоже есть задержка на выполнение, сейчас она составляет 2 минуты. Но попробую Ваш вариант, вдруг поможет.
     
    Правда у меня появилась идея добавить выполнение CheckCfg для машин с Windows 8 через назначенные задания, но пока не уверен, т.к. тогда прийдется заморачиваться фильтром WMI, чтобы для других машин не добавлялось, плюс скрипт все равно работает.

    Всего записей: 607 | Зарегистр. 12-10-2005 | Отправлено: 14:51 15-07-2020 | Исправлено: Falcon99, 14:53 15-07-2020
    VitRom

    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Falcon99 ну цифры-то я с фонаря взял, чисто идею проиллюстрировать. Просто когда-то давно уже вот эти вот запуски из \\Server\shared... ВНЕЗАПНО начали у многих глючить. И оказалась асинхронка. ЕМНИП там же ещё неявно таки маппится диск.

    Всего записей: 3097 | Зарегистр. 18-06-2006 | Отправлено: 15:13 15-07-2020
    Falcon99



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    VitRom
    Тогда я наверное сделаю проще, сразу сделаю для Windows 8 политику на асинхронный запуск, а потом гляну поможет это или нет.

    Всего записей: 607 | Зарегистр. 12-10-2005 | Отправлено: 15:27 15-07-2020 | Исправлено: Falcon99, 16:16 15-07-2020
    Открыть новую тему     Написать ответ в эту тему

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Групповые политики (Group Policy, GPO): документация, ссылки


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.B0ard
    © Ru.B0ard 2000-2024

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru