Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Групповые политики (Group Policy, GPO): документация, ссылки

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123

Открыть новую тему     Написать ответ в эту тему

lynx



Advanced lynx
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Групповые политики (Group Policy)


  • Групповые политики Active Directory
  • Структура объекта групповой политик
  • http://www.gpanswers.com/  
  • Windows Server Group Policy Home

    См. также Общие вопросы по Active Directory (AD)

    FAQ

  • Не работают групповые политики
  • Безопасность
  • Восстановление политик
  • Групповые политики + Internet Explorer (IE)
  • Windows Vista & Windows Server 2008
  • Другие вопросы по групповым политикам

    Документация

  • Англоязычная:
  • Русскоязычная:


    Пост подготовлен: G14

  • Всего записей: 11712 | Зарегистр. 08-05-2001 | Отправлено: 19:33 13-12-2004 | Исправлено: Paromshick, 10:25 23-09-2016
    FreemanRU



    Silver Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    gap5
    Хм. Действительно, у меня просто все профили на диске D:
    Может перенести профиль будет проще?

    ----------
    Если не получается с первого раза - прочти инструкцию. (с)
    "Откуда нам знать, что такое война, если мы не знаем мира..."(с)
    Записки

    Всего записей: 3768 | Зарегистр. 16-07-2004 | Отправлено: 23:51 31-03-2007
    gap5



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    FreemanRU
    Это уже гораздо сложнее и совсем не красиво...
     
    Никак не пойму, почему винда не дает сделать одну группу членом другой...
     

    Всего записей: 769 | Зарегистр. 30-05-2006 | Отправлено: 23:57 31-03-2007
    Infected Switch



    Full Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Можно политикой темпы ИЕ перенаправить из профиля юзера?

    Всего записей: 471 | Зарегистр. 25-08-2006 | Отправлено: 09:27 02-04-2007
    asonuchin

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Не копируются, не перетаскиваются файлы на рабочий стол.
    Удаётся только создать новый файл или папку на рабочем столе, но в папку нельзя зайти. Ошибка: "Операция отменена вследствие действующих для компьютера ограничений"
    Подскажите, какая политика может влиять на данную проблемму?

    Всего записей: 37 | Зарегистр. 22-03-2006 | Отправлено: 15:19 03-04-2007
    asonuchin

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Нашёл политику - запретить доступ к дискам через "Мой компьютер"

    Всего записей: 37 | Зарегистр. 22-03-2006 | Отправлено: 08:20 04-04-2007
    karpa13a

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Ситуация следующяя:
    каким образом (через ГП или реестр) можно запретить создание файловых шар на локальных компах (или же сносить все файловые шары которые есть на компе при включении)? (естественно и комп и юзер за ним сидящий находятся в домене) проблема усугбляется тем, что на тачках стоит специфичный софт и юзерам нужен для работы локальный админ.
    нашол как отрубить административные шары C$,D$ но к сожалению это не то.
    отрубить шаринг совсем нельзя, потому как еще есть и расшаренные принтеры на этих тачках и их применяют.
    на текущий момент единственное что пришло в голову - это писать скрипт, что бы он смотрел в HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\lanmanserver\Shares и сносил все с Type=0.
     
    можно канечно скрыть все компы из сетевого окружения, что бы особые талланты их просто не видели, но проблему это не решит.
     
    про адмнистративные меры лудше не вспоминать, бо что выговор, что лишение премий особо не влияет на таллантов - практически каждый новый юзер чонить расшаривает а в этих шарах порой инфа появляется которая не особо нуждается в распространении, не говоря уже про то что диски С расшаривают со всеми правами для всех.

    Всего записей: 134 | Зарегистр. 30-11-2006 | Отправлено: 10:15 04-04-2007
    Abysssss



    Advanced Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    На работе злые админы! Запретили записывать что-либо на флешку!  
    Стоит Windows XP Embedded (или как-то так)  
    То есть влешку видит, но изменять данные на ней не может. Скопировать с флешки информацию можно, а обратно - нельзя. Выдаёт ошибку, что диск защищён от записи. Снимите защиту и попробуйте снова или замените диск.  
    Сразу оговорюсь - на флешке нет никакой защиты от записи. Вопрос: можно ли как-нибудь записать информацию на флешку?  
    Спасибо. (с)
    Что можно сделать? Какая дополнительная информация ещё нужна?

    ----------
    Чудеса там, где в них верят и чем больше в них верят - тем чаще они случаются.

    Всего записей: 1032 | Зарегистр. 29-12-2004 | Отправлено: 09:35 05-04-2007
    m2a



    Full Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    karpa13a

    Цитата:
    на тачках стоит специфичный софт и юзерам нужен для работы локальный админ.

     
    Есть несколько утилит, который генерят тебе особый ярлык для запуска с правами админа люой софтины, которую ты сам пожелаешь настроить. Тогда юзер без прав админа запутит этот софт, проверено. Тогда можно и не давать админ.права.
     
    Попробуй например неплохую программу наших разработчиков, бесплатную ADMINLINK называется кажется. Не найдешь, стучи... порыщу у себя

    Всего записей: 562 | Зарегистр. 21-08-2003 | Отправлено: 14:20 05-04-2007
    udarnik2



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Вообщем самый ламерский вопрос, Стоит Сервак 2003 к нему в домен ХР,  
    нужно просто ограничить пользователя с доступом к Control Panel  
    делаю вроде все как в
    http://ru-board.com/new/article.php?sid=174
     
    На сервере создаю ОП , создаю Групповую политику с огрнаничением на доступ к Control Panel, загоняю туда пользователя например Virtual, вот
     
    когда на компе ХР вхожу в систему под пользователем Virtual то нет некаких ограничений  
     
    подскажите в чем ошибка? или что то недоустановил? или ссылку может какую подкинте
     
     
     
    P.s
    первый раз настраиваю домен, тестирую на виртуалке

    Всего записей: 226 | Зарегистр. 17-07-2006 | Отправлено: 14:31 05-04-2007 | Исправлено: udarnik2, 14:45 05-04-2007
    karpa13a

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    m2a
    хорошо. с софтом я попробую разобратся.
    а как на счет того что бы снести файловые шары которые уже есть на компе?
    сетка большая, как они дожили ваабще с таким хозяйством до текущих времен с таким бордаком - ваабще не понятно. соответственно ходить и на каждой тачке сносить шары - совершенно нет желания никакова.

    Всего записей: 134 | Зарегистр. 30-11-2006 | Отправлено: 15:26 05-04-2007
    m2a



    Full Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    соответственно ходить и на каждой тачке сносить шары - совершенно нет желания никакова.

    1 вариант:
    net share <имя> /delete
     
    Придется немного потрудится и пособирать список расшаренных ресурсов, в инете есть масса утилит сетевых, которые могут сканить компы нап редмет расшаренных NETBIOS ресурсов.
     
    2 вариант:
    поставь например очень хорошую утилиту HYENA (здесь есть кажись, варезная). В ней в списках каждый комп и и можно неспеша подключаться и смотреть список ресурсов, в т.ч. и шары.
     
    ну и 3 вариант - Управление своим компом и оттуда подключится к др. компу, соответственно все видно будет и можно отключить...  
     
    а как это автоматизировать?  
    можно думаю, но надо леззть в скрипты... долго и геморно для одноразовой операции

    Всего записей: 562 | Зарегистр. 21-08-2003 | Отправлено: 17:54 05-04-2007 | Исправлено: m2a, 17:55 05-04-2007
    karpa13a

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    m2a

    Цитата:
    можно думаю, но надо леззть в скрипты... долго и геморно для одноразовой операции

    операция не думаю что будет одноразовая, хочется поставить это на поток, в смысле в стартап скрипты или политики. что бы уж если сделале шару - то что бы хотябы при следующем ребуте она снеслась автоматом.
     
    попробую копать в р-н реестра, если нет системных аля net share * /file /delete

    Всего записей: 134 | Зарегистр. 30-11-2006 | Отправлено: 07:55 06-04-2007
    Antifriend

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    На работе злые админы! Запретили записывать что-либо на флешку!  
    тут 2 варианта, номер раз, стоит утиля типа девайс лок или что-то подобное, тогда прямая дорога в гугл с запросом а-ля: пАмАгите лАмануть дивайслог, или в гипермаркет за ящиком пива и мешком креветок, потом к админам......и второй вариант ребятишки у вас как-то выкрутились с помощью политик и прямых рук, над чем я уже месяц бьюсь http://forum.ru-board.com/topic.cgi?forum=8&topic=8921&start=220#lt, и все безрезультатно(((( в этом случае снимаю шляпу перед вашими злыми админами

    Всего записей: 5 | Зарегистр. 13-03-2007 | Отправлено: 08:39 06-04-2007
    karpa13a

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Antifriend

    Цитата:
    как-то выкрутились с помощью политик и прямых рук

    политика так и называется - запретить запись на ремовабле медиа, работает на XP SP2+

    Всего записей: 134 | Зарегистр. 30-11-2006 | Отправлено: 08:54 06-04-2007
    Antifriend

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    проблема усугбляется тем, что на тачках стоит специфичный софт и юзерам нужен для работы локальный админ

    Никак. Во-первых пользовательские политики применяться не будут, во-вторых будет извечная борьба, при загрузке (или в процессе работы) вы одним из одного миллиона пятисот тысяч способов убьете шары, которые пользователь тут же снова создаст, и так до бесконечности, в-третьих это честно говоря бардак, когда у пользователей права админа, вышеупомянутый админ-линк спасет отечество.....
    Ну и как совет, в пользовательских политиках запретите публикацию общих ресурсов, и разрулите права на файлик net в system32, чтоб его могли запускать только правильные пацаны.....процентов 80 подлецов, любителей шарить папки отсеится  
     
    Добавлено:

    Цитата:
    политика так и называется - запретить запись на ремовабле медиа, работает на XP SP2+
    порылся в политиках че-то ничего похожего не нашел, есть только в квотах, применять политику для сменных носителей, но это не то(((

    Всего записей: 5 | Зарегистр. 13-03-2007 | Отправлено: 09:06 06-04-2007
    karpa13a

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Antifriend
     

    Цитата:
    порылся в политиках че-то ничего похожего не нашел, есть только в квотах, применять политику для сменных носителей, но это не то(((  

    гугль таки рулит (block access to usb storage):

    Цитата:
     
    Open the Registry Editor click on the Start button on your taskbar, then click on Run and type "regedit" and click on OK to start the regedit utility.  
     
    Expand HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control.  
     
    From there right click and create a new key and name it "StorageDevicePolicies". In the window on the right then create a new DWORD value and label it WriteProtect, give it a value of "1" and users can no longer write to USB drives. To re-enable this option change the value to 0 and users are again allowed to write.  
     
     
    The modifications you made will be in effect after you reboot your PC.
     

     
    в политиках я это тоже где-то видел. может просто домен в каком-то из смешанных режимов работает и данная политика просто не отображается.
     
    работает это (по заявлениям) только на XP SP2.
     
    на счет шар, буду пытаться найти решение: сносить при загрузке все файловые шары которые есть, и скрыть из юзерскова меню вкладку про общий доступ. про net share 99% юзеров не в курсе, так что данный момент рассматривать(доступ к файлу net.exe) небудем априори.

    Всего записей: 134 | Зарегистр. 30-11-2006 | Отправлено: 10:09 06-04-2007
    m2a



    Full Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    на счет шар, буду пытаться найти решение: сносить при загрузке все файловые шары которые есть, и скрыть из юзерскова меню вкладку про общий доступ. про net share 99% юзеров не в курсе, так что данный момент рассматривать(доступ к файлу net.exe) небудем априори

     
    а в чем проблема то забрать административный доступ??

    Всего записей: 562 | Зарегистр. 21-08-2003 | Отправлено: 11:47 06-04-2007
    Timans78

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Подскажите, а можно ли применить принудительно GP на удаленных машинах без их перезагрузки?

    Всего записей: 5 | Зарегистр. 25-12-2006 | Отправлено: 11:54 06-04-2007
    m2a



    Full Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    Подскажите, а можно ли применить принудительно GP на удаленных машинах без их перезагрузки?

    Так она и применяется, с интервалом 90 минут. (меняется)... Можно командой gpudate /force. Но кажется только, если изменения были на уровне пользователей.... В противном случае (иногда и на уровне пользователей) лучше перегрузить.

    Всего записей: 562 | Зарегистр. 21-08-2003 | Отправлено: 12:35 06-04-2007
    gap5



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    m2a
    Пo gpupdate /force он обновляет даже настройки компа (ntfs permissions, restricted groups) в общем почти все обновляет, разве что скрипты не выполняет
     
     

    Всего записей: 769 | Зарегистр. 30-05-2006 | Отправлено: 14:14 06-04-2007
    Открыть новую тему     Написать ответ в эту тему

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Групповые политики (Group Policy, GPO): документация, ссылки

    Имя:
    Пароль:
    Сообщение

    Для вставки имени, кликните на нем.

    Опции сообщенияДобавить свою подпись
    Подписаться на получение ответов по e-mail
    Добавить тему в личные закладки
    Разрешить смайлики?
    Запретить коды


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.Board
    © Ru.Board 2000-2018

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru