Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Групповые политики (Group Policy, GPO): документация, ссылки

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126

Открыть новую тему     Написать ответ в эту тему

lynx



Advanced lynx
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Групповые политики (Group Policy)


  • Групповые политики Active Directory
  • Структура объекта групповой политик
  • Group Policy Administrative Templates Catalog
  • http://www.gpanswers.com/  
  • Windows Server Group Policy Home

    См. также Общие вопросы по Active Directory (AD)

    FAQ

  • Не работают групповые политики
  • Безопасность
  • Восстановление политик
  • Групповые политики + Internet Explorer (IE)
  • Windows Vista & Windows Server 2008
  • Другие вопросы по групповым политикам

    Документация

  • Англоязычная:
  • Русскоязычная:


    Пост подготовлен: G14

  • Всего записей: 11712 | Зарегистр. 08-05-2001 | Отправлено: 19:33 13-12-2004 | Исправлено: Paromshick, 20:16 03-06-2020
    mobiman_ua



    Junior Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Народ, подскажите такую вещь, чето не догоняю:
    есть OU=Servers, OU=Computers и OU=Users, соответственно сервера в первой группе, рабочие станции во второй, учетные записи пользователей в третьей. Как сделать, чтобы настройки пользователей для серверов и рабочих станций были разные (ну например чтобы пользователи не могли менять заставку рабочего стола на сервере и могли на своей машине)

    Всего записей: 46 | Зарегистр. 26-12-2005 | Отправлено: 14:35 31-05-2007
    niichavo



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Как исправить такую вот ситуёвину?:
     
    Имеется несоответствие версий одного и того же объекта групповой политики в Active Directory и SYSVOL. Стоит контроллер домена win2003 ee r2 sp2.
     
    Добавлено:
    Всё, вопрос снимается. Как вариант решения - это backup, потом удаление, создание новых политик, импортирование из backup'ов

    Всего записей: 836 | Зарегистр. 14-09-2005 | Отправлено: 12:09 07-06-2007
    SeriusDanil

    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    mobiman_ua
    Политика компьютера имеет приоритет перед политикой юзера. Поэтому то, что ты укажешь в локальных политиках для OU Servers в ветке компьютеры будет иметь приоритет перед политикой OU Users определенной в ветке пользователи.

    Всего записей: 371 | Зарегистр. 30-09-2005 | Отправлено: 15:04 07-06-2007
    mobiman_ua



    Junior Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    SeriusDanil
    да, только в ветке пользователей есть настройки, которых нет в ветке компьютеров

    Всего записей: 46 | Зарегистр. 26-12-2005 | Отправлено: 13:34 11-06-2007
    G14



    Добрый фей
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    SeriusDanil
    mobiman_ua
    Учимся пользоваться поиском и "версией для печати". Оба.
    http://forum.ru-board.com/topic.cgi?forum=8&topic=8921&start=300#10

    ----------
    http://OpsMgr.ru (более мне не принадлежит. Кому принадлежит - не знаю.)

    Всего записей: 3013 | Зарегистр. 19-01-2004 | Отправлено: 14:23 11-06-2007
    vladob



    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Привет всем может кто-нибудь выложить русские шаблоны групповых политик (*.adm) от русской windows 2003 ent sp2 , а то я смотрю в английской они менялись после sp2 хотелось бы читать все описания политик на русском...желательно дефолтные

    Всего записей: 99 | Зарегистр. 14-10-2003 | Отправлено: 12:51 18-06-2007
    rosalin



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Ребята подскажите как с помощью групп. политики  
    назначить всем юзерам в качестве десятичной точки точку, а не запятую

    ----------

    Всего записей: 2584 | Зарегистр. 15-04-2003 | Отправлено: 16:50 18-06-2007
    BirdsKing



    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Стоит Windows SBS 2003 Premium SP2 и клиенты XP
    В групповых политиках на компьютера выставлено в "Политика паролей" - "Макс. срок действия пароля" 60 дней.
    Но на компьютерах (клиентах) пароль запрашивает на смену через 30 дней, а не через 60.
    Error в применении политик на компьютер не обнаружено.
    При получении резултирующей политики на клиентах XP все нормально, стоит 60 дней.  
    В чем могут быть проблемы? Куда рыть.... Интересует любая помощь...




    за дубль сообщения. /emx/

    Всего записей: 53 | Зарегистр. 22-04-2002 | Отправлено: 13:48 22-06-2007 | Исправлено: emx, 21:24 09-07-2007
    gap5



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    2ALL
     
    Подскажите, какой настройкой в политиках убирается закладка "Общий доступ" в свойствах файлов\папок? Иными словами запрещающая юзеру расшаривать файлы через GUI (про net share я в курсе).
     
    2rosalin
     
    Стандартно никак, у меня этим занимается свой ADM файл, вот его содержимое:
     

    Код:
     
    CLASS USER  
    CATEGORY "Control Panel"
    CATEGORY "Regional and Language Options"
        POLICY !!Decimal
        KEYNAME "Control Panel\International"  
            EXPLAIN !!Decimal_Expl
         PART !!Decimal EDITTEXT
        VALUENAME "sDecimal"
        DEFAULT ,
        END PART
        END POLICY  
        POLICY !!Toggle
            EXPLAIN !!Toggle_Expl
        KEYNAME "Keyboard Layout\Toggle"     
        PART !!Toggle_Help DROPDOWNLIST
        VALUENAME Hotkey REQUIRED
        ITEMLIST
        NAME !!Toggle_1 VALUE 1
        NAME !!Toggle_2 VALUE 2 DEFAULT
        END ITEMLIST
        END PART
        END POLICY  
        POLICY !!Defin
            EXPLAIN !!Defin_Expl
        KEYNAME "Keyboard Layout\Preload"     
        ACTIONLISTON
        VALUENAME "1" VALUE 00000409
        VALUENAME "2" VALUE 00000419
        END ACTIONLISTON
        ACTIONLISTOFF
        VALUENAME "1" VALUE 00000419
        VALUENAME "2" VALUE 00000409
        END ACTIONLISTOFF
        END POLICY  
    END CATEGORY
    END CATEGORY
    [Strings]
    Decimal="Decimal symbol"
    Defin="Set default input locale to English"
    Defin_Expl="ON - the default input locale is set to English, OFF - Russian"
    Decimal_Expl="Changing the decimal symbol in Customize Regional Options"
    Toggle="Switch between input languages"
    Toggle_Expl="Key sequence to switch between input languages"
    Toggle_Help="Key sequence"
    Toggle_1="ALT+SHIFT"
    Toggle_2="CTRL+SHIFT"
     

    Всего записей: 1029 | Зарегистр. 30-05-2006 | Отправлено: 15:11 23-06-2007
    mecong



    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    BirdsKing
     
    Maximum password age
    Minimum password age
     
    значения какие ?
     
    Добавлено:
    rosalin

    Цитата:
    Ребята подскажите как с помощью групп. политики  
    назначить всем юзерам в качестве десятичной точки точку, а не запятую

     
    нет такого в GPO . Изменяется руками на каждом клиенте. Либо пишется собственный шаблон
     
    Добавлено:
    mobiman_ua

    Цитата:
    Народ, подскажите такую вещь, чето не догоняю:  
    есть OU=Servers, OU=Computers и OU=Users, соответственно сервера в первой группе, рабочие станции во второй, учетные записи пользователей в третьей. Как сделать, чтобы настройки пользователей для серверов и рабочих станций были разные (ну например чтобы пользователи не могли менять заставку рабочего стола на сервере и могли на своей машине)

    Если структура такая :
     
    AD
     
         OU <- Account Server comp
         OU <- Account computer
         OU <-Account user
     
    где OU - организационное подразделение (читай папка) в котой вложенны обьекты.
    то создаешь в каждой папке свой политику мо мвоими параметрами.
     
    Заметь вложенности не дожно быть.

    Всего записей: 66 | Зарегистр. 23-05-2006 | Отправлено: 16:44 23-06-2007 | Исправлено: mecong, 17:50 23-06-2007
    Aleksis Aleks

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Вопрос у меня возник по ходу работы. Как сделать так, чтобы ограниченный пользователь мог создавать и удалять папки на диске D, E, F. Еще один ворос, если я отключу ограниченному польователю изменять реест винды, чем ему это грозит? сможет ли он нормально работать?

    Всего записей: 64 | Зарегистр. 26-01-2007 | Отправлено: 11:07 02-07-2007
    BirdsKing



    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    mecong
     
    Maximum password age - 60
    Minimum password age - 1
     

    Всего записей: 53 | Зарегистр. 22-04-2002 | Отправлено: 17:36 02-07-2007
    FreemanRU



    Silver Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Вопрос из разряда не стандартных. Есть пользователи, у них в AD есть некий флаг (атрибут класса user). Есть некое ПО, которое работает только при наличие определенного значения этого флага у пользователя.
    Внимание, вопрос - как не прибегаю к помощи SMS и других платных продуктов, установить данное ПО на компьютеры пользователей по флагу в AD?
    При установке ПО требуются права администраторов (а точнее - происходить регистрация COM-библиотеки).
    Проблемы:
    1. Необходимо установка по флагу в AD. (Почти) решена использованием WMI-фильтров.
    2. Необходимо установить от имени превилигированной учетной записи. Не решена. Сохранение паролей в cmd или vbs файлах не предлагать. Программа упакована в exe и возможностью тихой установки, но без проблем могу её переконвертировать в msi.
    3. Программа должна ставиться без участия пользователей.

    ----------
    Если не получается с первого раза - прочти инструкцию. (с)
    "Откуда нам знать, что такое война, если мы не знаем мира..."(с)
    Записки

    Всего записей: 3794 | Зарегистр. 16-07-2004 | Отправлено: 13:24 03-07-2007
    G14



    Добрый фей
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    FreemanRU

    Цитата:
    2. Необходимо установить от имени превилигированной учетной записи.

    Always install with elevated privileges?

    Цитата:
    3. Программа должна ставиться без участия пользователей.

    Это к разработчикам программы. Если она умеет ставиться "тихо", то умеет, если обязательно требует user input, то извиняйте...

    ----------
    http://OpsMgr.ru (более мне не принадлежит. Кому принадлежит - не знаю.)

    Всего записей: 3013 | Зарегистр. 19-01-2004 | Отправлено: 14:27 03-07-2007
    FreemanRU



    Silver Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    G14

    Цитата:
    . Программа должна ставиться без участия пользователей.  

    Ну это я написал к тому, что публикация через "Установку/удаление программ" не подходит.

    Цитата:
    Always install with elevated privileges?  

    Как-то забыл про это. Спасибо, буду пробовать.
    Но как я понимаю, есть одно НО - после включения пользователь сможет поставить любой MSI-пакет от имени SYSTEM, что не есть хорошо.

    ----------
    Если не получается с первого раза - прочти инструкцию. (с)
    "Откуда нам знать, что такое война, если мы не знаем мира..."(с)
    Записки

    Всего записей: 3794 | Зарегистр. 16-07-2004 | Отправлено: 14:44 03-07-2007
    G14



    Добрый фей
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    FreemanRU

    Цитата:
    Ну это я написал к тому, что публикация через "Установку/удаление программ" не подходит.

    Ну так assign

    Цитата:
    Но как я понимаю, есть одно НО - после включения пользователь сможет поставить любой MSI-пакет от имени SYSTEM, что не есть хорошо.

    конечно, не есть. у меня возникла идея, но без тестов она мне кажется сейчас несколько бредовой, хотя чем черт не шутит ....
    Короче смысл: GPO применяются последовательно. Значит можно поробовать в GPO, который инсталлит софт, выставить Always install with elevated privileges, а в следующем - задизэйблить. Я не помню, задерживается ли применение следующих GPO на время устновки ассигнованного софта. И попробовать не на чем сейчас. Испытаешь?

    ----------
    http://OpsMgr.ru (более мне не принадлежит. Кому принадлежит - не знаю.)

    Всего записей: 3013 | Зарегистр. 19-01-2004 | Отправлено: 15:34 03-07-2007
    FreemanRU



    Silver Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    G14

    Цитата:
    Я не помню, задерживается ли применение следующих GPO на время устновки ассигнованного софта

    На сколько я помню, сначала применяются политики, затем только ставится софт. Хотя проверить надо будет.
     
    Но тут появилась еще одна проблема. Не могу написать WMI-запрос. Есть класс Win32_UserAccount, но он не поддерживает получение собственных (не стандартных) свойств класса user.

    ----------
    Если не получается с первого раза - прочти инструкцию. (с)
    "Откуда нам знать, что такое война, если мы не знаем мира..."(с)
    Записки

    Всего записей: 3794 | Зарегистр. 16-07-2004 | Отправлено: 16:10 03-07-2007
    weerkostya



    Full Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    сначала применяются сами политики, а затем только инсталится софт. порядок действий в справке написан четко.
     
    FreemanRU
    я так понимаю ты решил padion ставить только для тех пользователей, которым он нужен.
    (сильно просто похоже на то )
     
    вот к примеру у меня  у меня padion ставится через политики, "на компьютер".  
    msi-пакет.
    требует регистрации com-компонента
     
    "на компьютер" все msi пакеты инсталятся от SYSTEM
     
    а вот если я буду ставить ПО при входе пользователя в систему - действительно не получится поставить, так как даже в Program Files папку создать прав не хватит.
     
    далее задача решается допустим написанием скрипта, который кидается в автозапуск для all user
    скрипт проверяет наличие флага в AD. если флаг есть - запускает Pandion. нет флага - не запускает.
    этот  самый скрипт можно запихать в msi пакет и инсталить "на компьютер".
     
    то что надо?

    Всего записей: 406 | Зарегистр. 20-10-2004 | Отправлено: 09:49 05-07-2007
    FreemanRU



    Silver Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    weerkostya
    Я сделал проще. В HelpDesk, который и ставит флаг можно/нельзя, вместе с установкой флага пользователь включается в специальную группу (PandionUsers).
    Создана политика, в которой включен "Always install with elevated privileges" и назначено на пользователя установка пакета с Pandion (который был перепакован в MSI).
    На эту политику назначены права применения для группы PandionUsers и для группы Domain Computers, и запрещено применение для группы Domain Admins.
    В итоге, когда пользователь заходит на любой комп - он получает Pandion уже установленным, со всеми настройками.

    ----------
    Если не получается с первого раза - прочти инструкцию. (с)
    "Откуда нам знать, что такое война, если мы не знаем мира..."(с)
    Записки

    Всего записей: 3794 | Зарегистр. 16-07-2004 | Отправлено: 10:53 05-07-2007
    weerkostya



    Full Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    FreemanRU
    намного проще поставить пандиона на _все_ рабочие станции (допустим через политики "на компьютер")
    на сервера  можно руками уж поставить.  
     
    это очевидно предпочтительней, чем разрешать пользователям из группы PandionUsers ставить ЛЮБОЙ софт на свою машину (а Always install with elevated privileges - это то именно и есть)
    практика показывает - не то чтобы фигни понаставят всякой, столько нелицензионного ПО натаскают

    Всего записей: 406 | Зарегистр. 20-10-2004 | Отправлено: 17:39 05-07-2007
    Открыть новую тему     Написать ответ в эту тему

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Групповые политики (Group Policy, GPO): документация, ссылки


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.B0ard
    © Ru.B0ard 2000-2024

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru