Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Групповые политики (Group Policy, GPO): документация, ссылки

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123

Открыть новую тему     Написать ответ в эту тему

lynx



Advanced lynx
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Групповые политики (Group Policy)


  • Групповые политики Active Directory
  • Структура объекта групповой политик
  • http://www.gpanswers.com/  
  • Windows Server Group Policy Home

    См. также Общие вопросы по Active Directory (AD)

    FAQ

  • Не работают групповые политики
  • Безопасность
  • Восстановление политик
  • Групповые политики + Internet Explorer (IE)
  • Windows Vista & Windows Server 2008
  • Другие вопросы по групповым политикам

    Документация

  • Англоязычная:
  • Русскоязычная:


    Пост подготовлен: G14

  • Всего записей: 11712 | Зарегистр. 08-05-2001 | Отправлено: 19:33 13-12-2004 | Исправлено: Paromshick, 10:25 23-09-2016
    FreemanRU



    Silver Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    weerkostya

    Цитата:
    не то чтобы фигни понаставят всякой, столько нелицензионного ПО натаскают

    Я думал об этом. Во первых не любой, а только MSI (точнее использующих Windows Installer). Во вторых у нас его пронести проблематично. В третьих есть маленькие мыслишки как и это запретить.

    ----------
    Если не получается с первого раза - прочти инструкцию. (с)
    "Откуда нам знать, что такое война, если мы не знаем мира..."(с)
    Записки

    Всего записей: 3768 | Зарегистр. 16-07-2004 | Отправлено: 18:05 05-07-2007
    Angoim

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Добрый день.  
    Есть Server2003  
    AD  
    пользователям все создал и шары и доступы простые Users.  
     
    Пришел IT-assistant теперь ему нужно создать доступ, чтобы софт мог ставить и удалять, по сетке шарится, добавлять компы в домен  и т.д. и т.п. В общем все что нужно для Helpdesk-а.  
     
    Сам я хожу по компам под Administrator. Ему создал нового пользователя. Какие прова нужно ему давать? Наверно нужно создать новую группу, а какие права группе?  
     
    Как это можно осуществить глобально, через домен?  
     
    Спасибо.

    Всего записей: 131 | Зарегистр. 17-03-2006 | Отправлено: 14:44 17-07-2007
    Ici Chacal



    BANNED
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    А Domain Admins не подойдет? А чтоб не мог править полиси разрулить ntfsные права на папки с груповыми политиками. Выставить ему юзерские.

    Всего записей: 1446 | Зарегистр. 22-01-2005 | Отправлено: 16:06 17-07-2007
    gap5



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Angoim
    Делаешь его локальным админом на компах (через комповые групповые политики прописываешь его в группу локальных админов), для добавления компов разрешаешь соотв. права на папку "Computers" в AD, а потом уже сам перекидываешь компы по OU.

    Всего записей: 769 | Зарегистр. 30-05-2006 | Отправлено: 16:15 17-07-2007
    Angoim

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    gap5
     

    Цитата:
    Делаешь его локальным админом на компах (через комповые групповые политики прописываешь его в группу локальных админов),  

     
    Это нужно на каждом компе делать, вручную?
     

    Цитата:
    для добавления компов разрешаешь соотв. права на папку "Computers" в AD, а потом уже сам перекидываешь компы по OU.  

     
    А как дать права на на целую папку "Computers" в AD? Через Properties неполучается.

    Всего записей: 131 | Зарегистр. 17-03-2006 | Отправлено: 14:02 18-07-2007
    gap5



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Angoim
    1) В групповой политике для твоих компов
    Computer Configuration - Security Settings - Local Policies/User Rights Assignments - Restricted Groups, там указываешь группу BUILTIN\Administrators в members указываешь юзера\группу которого хочешь поместить в локальных админов
     
    2) Рroperties папки вкладка security, там и выставляешь права... (перед этим ставишь галку View > Advanced Features)
     
    Еще незабудь в политиках для домена добавить
    Computer Configuration - Security Settings - Local Policies/User Rights Assignments - Add workstations to domain
     

    Всего записей: 769 | Зарегистр. 30-05-2006 | Отправлено: 14:13 18-07-2007 | Исправлено: gap5, 14:17 18-07-2007
    Angoim

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    gap5
    Спасибо за подробное разъяснение. Есть некоторые вопрсы.
     

    Цитата:
    1) В групповой политике для твоих компов  
    Computer Configuration - Security Settings - Local Policies/User Rights Assignments - Restricted Groups, там указываешь группу BUILTIN\Administrators в members указываешь юзера\группу которого хочешь поместить в локальных админов

     
    Это я нашел и сделал, но только в списке у меня не было BUILTIN\Administrators, были просто Administrators и я вбил вручную BUILTIN\Administrators, так пойдет?
     

    Цитата:
    2) Рroperties папки вкладка security, там и выставляешь права... (перед этим ставишь галку View > Advanced Features)  

     
    Так я и не нашел о чем идет речь здесь, можно ткуть пальцем?
     

    Цитата:
    Еще незабудь в политиках для домена добавить  
    Computer Configuration - Security Settings - Local Policies/User Rights Assignments - Add workstations to domain  

     
    Это добавил. Спасибо.
    Еще вопрос, сможет ли он давать Permitions в Security на папки?

    Всего записей: 131 | Зарегистр. 17-03-2006 | Отправлено: 11:05 19-07-2007
    KartWol

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    А грамотную книжку по сабжу кто-нибудь посоветовать может? Очень интересует групповая политика именно в Windows XP. Спасибо.

    Всего записей: 1 | Зарегистр. 23-07-2007 | Отправлено: 23:45 23-07-2007
    valhalla



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    А каков механизм применения политик? Они применяются при каждом входе? Или один раз после изменения?

    Всего записей: 2917 | Зарегистр. 30-10-2001 | Отправлено: 10:51 24-07-2007 | Исправлено: valhalla, 10:52 24-07-2007
    yrosvet

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    вроде как синхронизируються через какой промежуток времени

    Всего записей: 5 | Зарегистр. 15-03-2007 | Отправлено: 12:28 24-07-2007
    valhalla



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Меня интересует, как работает механизм из вот этой инструкции. Цель - применить шаблоны ко всем, кроме нужного пользователя (админа). Для этого задается нужная общая политика, сохраняется файл registry.pol. Создаются правила для админа, применяются (когда он залогинен), файл registry.pol возвращается обратно. В результате у всех пользователей одна политика, у админа - другая.

    Всего записей: 2917 | Зарегистр. 30-10-2001 | Отправлено: 12:59 24-07-2007
    VovaMozg



    Advanced Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Ребята, извините, если пропустил, но что-то не нашёл ответ по такому вопросу:
    Можно запретить и скрыть доступ из "Мой компьюетр" к дискам C,D
    Конфигурация пользователя-->Административные шаблоны-->Проводник
    есть  2 параметра: "Скрыть выбранные диски из окна Мой компьютер" и "Запретить доступ к дискам через Мой компьютер"
     
    там есть несколько вариантов, но, если мне нужно, предположим с помощью политики скрыть и запретить доступ к диска e:\ и f:\ что тогда делать??? как через ГП запретить доступ к этим дискам и скрыть из "мой компьютер"???

    ----------
    В конце концов причина причин оказалась в начале начал...

    Всего записей: 761 | Зарегистр. 02-06-2005 | Отправлено: 14:10 24-07-2007
    valhalla



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    VovaMozg

    Цитата:
    предположим с помощью политики скрыть и запретить доступ к диска e:\ и f:\

    Что это за диски? Их в списке нет?
     
    Добавлено:
    Добавь шаблон
    Будет скрытие дисков по маске.

    Цитата:
    Пример, диск A имеет бит 1, диск С - 4, диск D - 8. Таким образом, чтобы скрыть диски A и D, нужно сложить их значения 1 (A) + 8 (D) и установить значение 9.
    Список всех дисков:
    A: 1, B: 2, C: 4, D: 8, E: 16, F: 32, G: 64, H: 128, I: 256, J: 512, K: 1024, L: 2048, M: 4096, N: 8192, O: 16384, P: 32768, Q: 65536, R: 131072, S: 262144, T: 524288, U: 1048576, V: 2097152, W: 4194304, X: 8388608, Y: 16777216, Z: 33554432, Все диски: 67108863

    Всего записей: 2917 | Зарегистр. 30-10-2001 | Отправлено: 14:22 24-07-2007 | Исправлено: valhalla, 14:40 24-07-2007
    VovaMozg



    Advanced Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    valhalla в том-то и дело, что в списке дисков для запрета они не указаны. скрыть их мне нужно потому, что такое устройство у нас в сети...
    Сейчас попробую импортировать шаблон... Спасибо...

    ----------
    В конце концов причина причин оказалась в начале начал...

    Всего записей: 761 | Зарегистр. 02-06-2005 | Отправлено: 18:32 24-07-2007
    Angoim

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    gap5  
    Спасибо за подробное разъяснение. Есть некоторые вопрсы.  
     
     
    Цитата:1) В групповой политике для твоих компов  
    Computer Configuration - Security Settings - Local Policies/User Rights Assignments - Restricted Groups, там указываешь группу BUILTIN\Administrators в members указываешь юзера\группу которого хочешь поместить в локальных админов  
     
    Это я нашел и сделал, но только в списке у меня не было BUILTIN\Administrators, были просто Administrators и я вбил вручную BUILTIN\Administrators, так пойдет?  
     
    Цитата:2) Рroperties папки вкладка security, там и выставляешь права... (перед этим ставишь галку View > Advanced Features)  
     
    Так я и не нашел о чем идет речь здесь, можно ткуть пальцем?  
     
    Цитата:Еще незабудь в политиках для домена добавить  
    Computer Configuration - Security Settings - Local Policies/User Rights Assignments - Add workstations to domain  
     
    Это добавил. Спасибо.  
    Еще вопрос, сможет ли он давать Permitions в Security на папки?  

     
    После установки, как описано, у меня юзер Administrator пропали прова, я не мог ходить по сетке, конектится к другим сервакам и т.д. Сейчас вернул все на место.
    Подскажите, что не так?

    Всего записей: 131 | Зарегистр. 17-03-2006 | Отправлено: 08:10 26-07-2007
    VovaMozg



    Advanced Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Люди, помогите решить проблемку. Может где и пропустил? Есть перемещаемый профиль.  для него применяется политика. В политике указано:
    Конфигурация компьютера -- Административные шаблоны -- Система -- Профили пользователей
    Политика: "Запретить распространение изменений  в перемещаемом профиле на сервер"  включена.
    Но когда пользователь завершает работу появляется окно, что профиль не может быть перемещён на сервер, которое висит в течении 30 секунд.
    Помогите сделать чтобы это окно не появлялось.
     
    Добавлено:
    И ещё вопрос (поиск не нашёл):
    подскажите пожалуйста информацию про язык, которым пишутся файлы *.adm (как называется и синтаксис языка, где почитать...)

    ----------
    В конце концов причина причин оказалась в начале начал...

    Всего записей: 761 | Зарегистр. 02-06-2005 | Отправлено: 12:13 26-07-2007 | Исправлено: VovaMozg, 13:35 26-07-2007
    fedmun

    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Подскажите, почему не появляется параметр в GP для формата даты после применения шаблона:
    Взят от MS: How to Implement a Policy to Set the Date Format

    Код:
    CLASS USER
    CATEGORY !!DATE
        KEYNAME "Control Panel\International"
        POLICY !!ShortDateFormat
            PART !!DateFormatDesc         EDITTEXT REQUIRED
            VALUENAME sShortDate
            END PART
        END POLICY
    END CATEGORY    ; Date
    [strings]
    Date="Date"
    ShortDateFormat="Short Date Format"
    DateFormatDesc="Please enter the date mask. For example MM/dd/yyyy"

     
    После подключения ветка "Date" есть, но в ней нет параметра "Short Date Format"
    Если от балды вместо

    Код:
    KEYNAME "Control Panel\International"

    подставить другой раздел, например

    Код:
    KEYNAME "Software\Policies\Microsoft\Office\11.0\Clip Organizer"

    то параметр появляется и доступен для редактирования.
     
    Почему не получается с "Control Panel\International"

    Всего записей: 1338 | Зарегистр. 13-06-2002 | Отправлено: 17:09 26-07-2007 | Исправлено: fedmun, 17:10 26-07-2007
    Johnny_Z

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Господа такой вопрос, может знатоки посоветуют.
     
    Надо определенной группе безопасности (test) дать права изменять системное время на локальном компе (либо любая другая политика в Local Policies/User Rights Assignment). По идее в эту группу должны будут входят только пользователи, которые включены на компах в Локальную группу Users (по умолчанию они не могут менять время)
     
    Если я добавлю в правило в доменной политике,  только эту группу (tets), то это правило, естественно, перекроет базовое локальное правило в локальной политике безопасности, в котором написано что менять время могут Админы и Павер Юзер. И естественно в результате Администраторы и Опытные пользователи не смогут менять время, а смогут менять время только те пользователи, что в заданное группе test.
     
    Допустим Администраторов я смогу добавить в правило доменной политике к уже существующие группе безопасности (test), поскольку Администраторы есть в группе встроенных участников безопасности, а вот опытных пользователей там нету.
     
    Как быть в таком случае? Тупо вписать Опытные пользователи, естественно, не катит. Конечно можно попробовать как вариант вписать SID опытного пользователя в {}, он везде одинаковый, но это не так красиво как хотелось был.
     
    Может кто-то посоветует нормальное решение? Вроде задача типичная, но на форуме не нашел ответов на мой вопрос.
     
    Заранее благодарен.

    Всего записей: 4 | Зарегистр. 12-11-2006 | Отправлено: 17:26 26-07-2007
    FreemanRU



    Silver Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    fedmun
    На "Административных шаблонах" правой кнопкой мыши, меню Вид - Фильтрация.
    Там снять галку с "Показывать только управляемые параметры политики"

    ----------
    Если не получается с первого раза - прочти инструкцию. (с)
    "Откуда нам знать, что такое война, если мы не знаем мира..."(с)
    Записки

    Всего записей: 3768 | Зарегистр. 16-07-2004 | Отправлено: 17:45 26-07-2007
    fedmun

    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    FreemanRU

    Цитата:
    Там снять галку с "Показывать только управляемые параметры политики"

    БЛАГОДЕТЕЛЬ!!!
    3 часа времени убил

    Всего записей: 1338 | Зарегистр. 13-06-2002 | Отправлено: 18:42 26-07-2007
    Открыть новую тему     Написать ответ в эту тему

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Групповые политики (Group Policy, GPO): документация, ссылки

    Имя:
    Пароль:
    Сообщение

    Для вставки имени, кликните на нем.

    Опции сообщенияДобавить свою подпись
    Подписаться на получение ответов по e-mail
    Добавить тему в личные закладки
    Разрешить смайлики?
    Запретить коды


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.Board
    © Ru.Board 2000-2018

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru