Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Групповые политики (Group Policy, GPO): документация, ссылки

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126

Открыть новую тему     Написать ответ в эту тему

lynx



Advanced lynx
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Групповые политики (Group Policy)


  • Групповые политики Active Directory
  • Структура объекта групповой политик
  • Group Policy Administrative Templates Catalog
  • http://www.gpanswers.com/  
  • Windows Server Group Policy Home

    См. также Общие вопросы по Active Directory (AD)

    FAQ

  • Не работают групповые политики
  • Безопасность
  • Восстановление политик
  • Групповые политики + Internet Explorer (IE)
  • Windows Vista & Windows Server 2008
  • Другие вопросы по групповым политикам

    Документация

  • Англоязычная:
  • Русскоязычная:


    Пост подготовлен: G14

  • Всего записей: 11712 | Зарегистр. 08-05-2001 | Отправлено: 19:33 13-12-2004 | Исправлено: Paromshick, 20:16 03-06-2020
    FreemanRU



    Silver Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    weerkostya

    Цитата:
    не то чтобы фигни понаставят всякой, столько нелицензионного ПО натаскают

    Я думал об этом. Во первых не любой, а только MSI (точнее использующих Windows Installer). Во вторых у нас его пронести проблематично. В третьих есть маленькие мыслишки как и это запретить.

    ----------
    Если не получается с первого раза - прочти инструкцию. (с)
    "Откуда нам знать, что такое война, если мы не знаем мира..."(с)
    Записки

    Всего записей: 3794 | Зарегистр. 16-07-2004 | Отправлено: 18:05 05-07-2007
    Angoim

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Добрый день.  
    Есть Server2003  
    AD  
    пользователям все создал и шары и доступы простые Users.  
     
    Пришел IT-assistant теперь ему нужно создать доступ, чтобы софт мог ставить и удалять, по сетке шарится, добавлять компы в домен  и т.д. и т.п. В общем все что нужно для Helpdesk-а.  
     
    Сам я хожу по компам под Administrator. Ему создал нового пользователя. Какие прова нужно ему давать? Наверно нужно создать новую группу, а какие права группе?  
     
    Как это можно осуществить глобально, через домен?  
     
    Спасибо.

    Всего записей: 131 | Зарегистр. 17-03-2006 | Отправлено: 14:44 17-07-2007
    Ici Chacal



    BANNED
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    А Domain Admins не подойдет? А чтоб не мог править полиси разрулить ntfsные права на папки с груповыми политиками. Выставить ему юзерские.

    Всего записей: 1446 | Зарегистр. 22-01-2005 | Отправлено: 16:06 17-07-2007
    gap5



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Angoim
    Делаешь его локальным админом на компах (через комповые групповые политики прописываешь его в группу локальных админов), для добавления компов разрешаешь соотв. права на папку "Computers" в AD, а потом уже сам перекидываешь компы по OU.

    Всего записей: 1029 | Зарегистр. 30-05-2006 | Отправлено: 16:15 17-07-2007
    Angoim

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    gap5
     

    Цитата:
    Делаешь его локальным админом на компах (через комповые групповые политики прописываешь его в группу локальных админов),  

     
    Это нужно на каждом компе делать, вручную?
     

    Цитата:
    для добавления компов разрешаешь соотв. права на папку "Computers" в AD, а потом уже сам перекидываешь компы по OU.  

     
    А как дать права на на целую папку "Computers" в AD? Через Properties неполучается.

    Всего записей: 131 | Зарегистр. 17-03-2006 | Отправлено: 14:02 18-07-2007
    gap5



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Angoim
    1) В групповой политике для твоих компов
    Computer Configuration - Security Settings - Local Policies/User Rights Assignments - Restricted Groups, там указываешь группу BUILTIN\Administrators в members указываешь юзера\группу которого хочешь поместить в локальных админов
     
    2) Рroperties папки вкладка security, там и выставляешь права... (перед этим ставишь галку View > Advanced Features)
     
    Еще незабудь в политиках для домена добавить
    Computer Configuration - Security Settings - Local Policies/User Rights Assignments - Add workstations to domain
     

    Всего записей: 1029 | Зарегистр. 30-05-2006 | Отправлено: 14:13 18-07-2007 | Исправлено: gap5, 14:17 18-07-2007
    Angoim

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    gap5
    Спасибо за подробное разъяснение. Есть некоторые вопрсы.
     

    Цитата:
    1) В групповой политике для твоих компов  
    Computer Configuration - Security Settings - Local Policies/User Rights Assignments - Restricted Groups, там указываешь группу BUILTIN\Administrators в members указываешь юзера\группу которого хочешь поместить в локальных админов

     
    Это я нашел и сделал, но только в списке у меня не было BUILTIN\Administrators, были просто Administrators и я вбил вручную BUILTIN\Administrators, так пойдет?
     

    Цитата:
    2) Рroperties папки вкладка security, там и выставляешь права... (перед этим ставишь галку View > Advanced Features)  

     
    Так я и не нашел о чем идет речь здесь, можно ткуть пальцем?
     

    Цитата:
    Еще незабудь в политиках для домена добавить  
    Computer Configuration - Security Settings - Local Policies/User Rights Assignments - Add workstations to domain  

     
    Это добавил. Спасибо.
    Еще вопрос, сможет ли он давать Permitions в Security на папки?

    Всего записей: 131 | Зарегистр. 17-03-2006 | Отправлено: 11:05 19-07-2007
    KartWol

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    А грамотную книжку по сабжу кто-нибудь посоветовать может? Очень интересует групповая политика именно в Windows XP. Спасибо.

    Всего записей: 1 | Зарегистр. 23-07-2007 | Отправлено: 23:45 23-07-2007
    valhalla



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    А каков механизм применения политик? Они применяются при каждом входе? Или один раз после изменения?

    Всего записей: 2917 | Зарегистр. 30-10-2001 | Отправлено: 10:51 24-07-2007 | Исправлено: valhalla, 10:52 24-07-2007
    yrosvet

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    вроде как синхронизируються через какой промежуток времени

    Всего записей: 5 | Зарегистр. 15-03-2007 | Отправлено: 12:28 24-07-2007
    valhalla



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Меня интересует, как работает механизм из вот этой инструкции. Цель - применить шаблоны ко всем, кроме нужного пользователя (админа). Для этого задается нужная общая политика, сохраняется файл registry.pol. Создаются правила для админа, применяются (когда он залогинен), файл registry.pol возвращается обратно. В результате у всех пользователей одна политика, у админа - другая.

    Всего записей: 2917 | Зарегистр. 30-10-2001 | Отправлено: 12:59 24-07-2007
    VovaMozg



    Advanced Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Ребята, извините, если пропустил, но что-то не нашёл ответ по такому вопросу:
    Можно запретить и скрыть доступ из "Мой компьюетр" к дискам C,D
    Конфигурация пользователя-->Административные шаблоны-->Проводник
    есть  2 параметра: "Скрыть выбранные диски из окна Мой компьютер" и "Запретить доступ к дискам через Мой компьютер"
     
    там есть несколько вариантов, но, если мне нужно, предположим с помощью политики скрыть и запретить доступ к диска e:\ и f:\ что тогда делать??? как через ГП запретить доступ к этим дискам и скрыть из "мой компьютер"???

    ----------
    В конце концов причина причин оказалась в начале начал...

    Всего записей: 761 | Зарегистр. 02-06-2005 | Отправлено: 14:10 24-07-2007
    valhalla



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    VovaMozg

    Цитата:
    предположим с помощью политики скрыть и запретить доступ к диска e:\ и f:\

    Что это за диски? Их в списке нет?
     
    Добавлено:
    Добавь шаблон
    Будет скрытие дисков по маске.

    Цитата:
    Пример, диск A имеет бит 1, диск С - 4, диск D - 8. Таким образом, чтобы скрыть диски A и D, нужно сложить их значения 1 (A) + 8 (D) и установить значение 9.
    Список всех дисков:
    A: 1, B: 2, C: 4, D: 8, E: 16, F: 32, G: 64, H: 128, I: 256, J: 512, K: 1024, L: 2048, M: 4096, N: 8192, O: 16384, P: 32768, Q: 65536, R: 131072, S: 262144, T: 524288, U: 1048576, V: 2097152, W: 4194304, X: 8388608, Y: 16777216, Z: 33554432, Все диски: 67108863

    Всего записей: 2917 | Зарегистр. 30-10-2001 | Отправлено: 14:22 24-07-2007 | Исправлено: valhalla, 14:40 24-07-2007
    VovaMozg



    Advanced Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    valhalla в том-то и дело, что в списке дисков для запрета они не указаны. скрыть их мне нужно потому, что такое устройство у нас в сети...
    Сейчас попробую импортировать шаблон... Спасибо...

    ----------
    В конце концов причина причин оказалась в начале начал...

    Всего записей: 761 | Зарегистр. 02-06-2005 | Отправлено: 18:32 24-07-2007
    Angoim

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    gap5  
    Спасибо за подробное разъяснение. Есть некоторые вопрсы.  
     
     
    Цитата:1) В групповой политике для твоих компов  
    Computer Configuration - Security Settings - Local Policies/User Rights Assignments - Restricted Groups, там указываешь группу BUILTIN\Administrators в members указываешь юзера\группу которого хочешь поместить в локальных админов  
     
    Это я нашел и сделал, но только в списке у меня не было BUILTIN\Administrators, были просто Administrators и я вбил вручную BUILTIN\Administrators, так пойдет?  
     
    Цитата:2) Рroperties папки вкладка security, там и выставляешь права... (перед этим ставишь галку View > Advanced Features)  
     
    Так я и не нашел о чем идет речь здесь, можно ткуть пальцем?  
     
    Цитата:Еще незабудь в политиках для домена добавить  
    Computer Configuration - Security Settings - Local Policies/User Rights Assignments - Add workstations to domain  
     
    Это добавил. Спасибо.  
    Еще вопрос, сможет ли он давать Permitions в Security на папки?  

     
    После установки, как описано, у меня юзер Administrator пропали прова, я не мог ходить по сетке, конектится к другим сервакам и т.д. Сейчас вернул все на место.
    Подскажите, что не так?

    Всего записей: 131 | Зарегистр. 17-03-2006 | Отправлено: 08:10 26-07-2007
    VovaMozg



    Advanced Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Люди, помогите решить проблемку. Может где и пропустил? Есть перемещаемый профиль.  для него применяется политика. В политике указано:
    Конфигурация компьютера -- Административные шаблоны -- Система -- Профили пользователей
    Политика: "Запретить распространение изменений  в перемещаемом профиле на сервер"  включена.
    Но когда пользователь завершает работу появляется окно, что профиль не может быть перемещён на сервер, которое висит в течении 30 секунд.
    Помогите сделать чтобы это окно не появлялось.
     
    Добавлено:
    И ещё вопрос (поиск не нашёл):
    подскажите пожалуйста информацию про язык, которым пишутся файлы *.adm (как называется и синтаксис языка, где почитать...)

    ----------
    В конце концов причина причин оказалась в начале начал...

    Всего записей: 761 | Зарегистр. 02-06-2005 | Отправлено: 12:13 26-07-2007 | Исправлено: VovaMozg, 13:35 26-07-2007
    fedmun

    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Подскажите, почему не появляется параметр в GP для формата даты после применения шаблона:
    Взят от MS: How to Implement a Policy to Set the Date Format

    Код:
    CLASS USER
    CATEGORY !!DATE
        KEYNAME "Control Panel\International"
        POLICY !!ShortDateFormat
            PART !!DateFormatDesc         EDITTEXT REQUIRED
            VALUENAME sShortDate
            END PART
        END POLICY
    END CATEGORY    ; Date
    [strings]
    Date="Date"
    ShortDateFormat="Short Date Format"
    DateFormatDesc="Please enter the date mask. For example MM/dd/yyyy"

     
    После подключения ветка "Date" есть, но в ней нет параметра "Short Date Format"
    Если от балды вместо

    Код:
    KEYNAME "Control Panel\International"

    подставить другой раздел, например

    Код:
    KEYNAME "Software\Policies\Microsoft\Office\11.0\Clip Organizer"

    то параметр появляется и доступен для редактирования.
     
    Почему не получается с "Control Panel\International"

    Всего записей: 1385 | Зарегистр. 13-06-2002 | Отправлено: 17:09 26-07-2007 | Исправлено: fedmun, 17:10 26-07-2007
    Johnny_Z

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Господа такой вопрос, может знатоки посоветуют.
     
    Надо определенной группе безопасности (test) дать права изменять системное время на локальном компе (либо любая другая политика в Local Policies/User Rights Assignment). По идее в эту группу должны будут входят только пользователи, которые включены на компах в Локальную группу Users (по умолчанию они не могут менять время)
     
    Если я добавлю в правило в доменной политике,  только эту группу (tets), то это правило, естественно, перекроет базовое локальное правило в локальной политике безопасности, в котором написано что менять время могут Админы и Павер Юзер. И естественно в результате Администраторы и Опытные пользователи не смогут менять время, а смогут менять время только те пользователи, что в заданное группе test.
     
    Допустим Администраторов я смогу добавить в правило доменной политике к уже существующие группе безопасности (test), поскольку Администраторы есть в группе встроенных участников безопасности, а вот опытных пользователей там нету.
     
    Как быть в таком случае? Тупо вписать Опытные пользователи, естественно, не катит. Конечно можно попробовать как вариант вписать SID опытного пользователя в {}, он везде одинаковый, но это не так красиво как хотелось был.
     
    Может кто-то посоветует нормальное решение? Вроде задача типичная, но на форуме не нашел ответов на мой вопрос.
     
    Заранее благодарен.

    Всего записей: 5 | Зарегистр. 12-11-2006 | Отправлено: 17:26 26-07-2007
    FreemanRU



    Silver Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    fedmun
    На "Административных шаблонах" правой кнопкой мыши, меню Вид - Фильтрация.
    Там снять галку с "Показывать только управляемые параметры политики"

    ----------
    Если не получается с первого раза - прочти инструкцию. (с)
    "Откуда нам знать, что такое война, если мы не знаем мира..."(с)
    Записки

    Всего записей: 3794 | Зарегистр. 16-07-2004 | Отправлено: 17:45 26-07-2007
    fedmun

    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    FreemanRU

    Цитата:
    Там снять галку с "Показывать только управляемые параметры политики"

    БЛАГОДЕТЕЛЬ!!!
    3 часа времени убил

    Всего записей: 1385 | Зарегистр. 13-06-2002 | Отправлено: 18:42 26-07-2007
    Открыть новую тему     Написать ответ в эту тему

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Групповые политики (Group Policy, GPO): документация, ссылки


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.B0ard
    © Ru.B0ard 2000-2024

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru