Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Групповые политики (Group Policy, GPO): документация, ссылки

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123

Открыть новую тему     Написать ответ в эту тему

lynx



Advanced lynx
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Групповые политики (Group Policy)


  • Групповые политики Active Directory
  • Структура объекта групповой политик
  • http://www.gpanswers.com/  
  • Windows Server Group Policy Home

    См. также Общие вопросы по Active Directory (AD)

    FAQ

  • Не работают групповые политики
  • Безопасность
  • Восстановление политик
  • Групповые политики + Internet Explorer (IE)
  • Windows Vista & Windows Server 2008
  • Другие вопросы по групповым политикам

    Документация

  • Англоязычная:
  • Русскоязычная:


    Пост подготовлен: G14

  • Всего записей: 11712 | Зарегистр. 08-05-2001 | Отправлено: 19:33 13-12-2004 | Исправлено: Paromshick, 10:25 23-09-2016
    Fulkabaster

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Ну поставил я домен на Win2003 Server, ну создал доменных юзеров, ну логинятся они нормально с рабочих станций.
    Но попытался сделать групповые политики, как написано в статье - ниче не работает. Т.е. есть домен DOMAIN, создаю в нем OU testers, там создаю групповую политику, конфигурирую как надо. Затем создаю в этом OU пользователя, но когда логинюсь под ним с рабочей станции, нифига эта групповая политика не применяется.
     
    И еще. Загрузка доменным пользователем длительностью 5 мин - это норма? Контроллер вроде не слабоват - 2.5 ГГц, ОЗУ 512 Мб.
     
    Добавлено:
    А на самом контроллере домена захожу под админом, пытаюсь зайти в свойства компьютера, сети, десктопа,... - пишет, что нельзя, т.к. на этом компе включены ограничения. Свяжитесь с администратором (со мной то бишь). Это называется - свежеустановленный Win2003 Server.
    Пошукал в локальных групповых политиках, в Domain Security Policy - везде все Not Configured.
     
    Добавлено:
    Я даже в Default Domain Policy сконфигурировал, к примеру, чтобы юзеры не имели доступ к панели управления - рабочие станции кладут на этот запрет - доменные юзеры свободно ходят в панель управления.

    Всего записей: 160 | Зарегистр. 11-04-2005 | Отправлено: 11:56 27-07-2007
    VovaMozg



    Advanced Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    а политики применять для юзеров поставил?

    ----------
    В конце концов причина причин оказалась в начале начал...

    Всего записей: 761 | Зарегистр. 02-06-2005 | Отправлено: 13:40 27-07-2007
    Fulkabaster

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Где? Я делал все по статье, там про это ничего нет. Написано, что политики применяются к тем юзерам и компам, которые находятся в том же OU, для которого создан GPO.

    Всего записей: 160 | Зарегистр. 11-04-2005 | Отправлено: 15:38 27-07-2007
    barakov

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Не устанавливается программа в виде MSI созданного в VS2005 через политики (применяется на компьютер) на некоторых компьютерах. При этом в событиях ошибки 101, 103, 108, 1085 выдает, о том, что файл недоступен. Хотя он доступен по сети, если его открывать вручную. У пользователя локальные права администратора, пробовал и под админом домена заходить на комп, не помогает. На многих компьютерах - все ставится без проблем. Сетевые настройки по DHCP всем одинаковые. Как исправить можно?
    Другие параметры политик применяются на всех компьютерах.

    Всего записей: 35 | Зарегистр. 20-12-2002 | Отправлено: 15:15 28-07-2007 | Исправлено: barakov, 15:17 28-07-2007
    djcrocodile



    Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Подскажите возможно ли запретить "пользователю удаленного рабочего стола" или обычному юзеру использовать интернет на машине с сервером 2003?
     
    На машине установлен Windows Server 2003 R2 и используется под 1Ску, всем кроме админа надо отрубить инет но ессно с возможностью доступа к локальной сети. Книженцию по администрированию 2003 прикупил, но за пол дня беглого изучения так и не добрался до истины а проблемку желательно решить быстрее.

    Всего записей: 369 | Зарегистр. 24-02-2003 | Отправлено: 19:09 30-07-2007
    Angoim

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    Цитата:gap5  
    Спасибо за подробное разъяснение. Есть некоторые вопрсы.  
       
     
    Цитата:1) В групповой политике для твоих компов    
    Computer Configuration - Security Settings - Local Policies/User Rights Assignments - Restricted Groups, там указываешь группу BUILTIN\Administrators в members указываешь юзера\группу которого хочешь поместить в локальных админов  
       
    Это я нашел и сделал, но только в списке у меня не было BUILTIN\Administrators, были просто Administrators и я вбил вручную BUILTIN\Administrators, так пойдет?  
     
    Цитата:2) Рroperties папки вкладка security, там и выставляешь права... (перед этим ставишь галку View > Advanced Features)    
       
    Так я и не нашел о чем идет речь здесь, можно ткуть пальцем?  
     
    Цитата:Еще незабудь в политиках для домена добавить    
    Computer Configuration - Security Settings - Local Policies/User Rights Assignments - Add workstations to domain    
       
    Это добавил. Спасибо.  
    Еще вопрос, сможет ли он давать Permitions в Security на папки?  
     
     
    После установки, как описано, у меня юзер Administrator пропали прова, я не мог ходить по сетке, конектится к другим сервакам и т.д. Сейчас вернул все на место.  
    Подскажите, что не так?  

     
    ????

    Всего записей: 131 | Зарегистр. 17-03-2006 | Отправлено: 11:08 31-07-2007
    Fulkabaster

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    Где? Я делал все по статье, там про это ничего нет. Написано, что политики применяются к тем юзерам и компам, которые находятся в том же OU, для которого создан GPO.

    Проблема не решена.

    Всего записей: 160 | Зарегистр. 11-04-2005 | Отправлено: 15:37 01-08-2007
    djcrocodile



    Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Доигрался с настройками до того что у всех кроме админов нет инета как вернуть?
     
    з.ы. мнеб еще ссылочку на русификацию GPOE -> там не все пункты русифицировались после МУИ

    Всего записей: 369 | Зарегистр. 24-02-2003 | Отправлено: 16:17 02-08-2007
    Fulkabaster

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    Но попытался сделать групповые политики, как написано в статье - ниче не работает.

    Проблема решена. Если кому понадобится (в статье по GPO об этом не написано) - причина была в том, что на клиентах не был прописан адрес DNS-сервера в настройках сети (в моем случае он совпадает с адресом самого контроллера домена). После прописки ДНС групповые политики стали применяться.

    Всего записей: 160 | Зарегистр. 11-04-2005 | Отправлено: 17:26 03-08-2007
    Fulkabaster

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Влияют ли настройки безопасности в AD на локальных пользователей машин, входящих в домен?
    Ситуевина такая: на всех станциях до включения в домен был локальный пользователь с пустым паролем. Позже все машины были включены в домен, в настройках которого указано, что минимальная длина пароля - 6 символов. После включения в домен на клиентских машинах все еще можно заходить под тем локальным пользователем без пароля, но когда я под локальным админом пытаюсь что-то изменить с этим пользователем, скажем, перекинуть из Пользоватлей в Опытные Пользователи, то система ругается и говорит, что он не соответсвует некоторым пунктам безопасности. Хотя после этого опять под ним можно логиниться без пароля. Вот такое вот противоречие...

    Всего записей: 160 | Зарегистр. 11-04-2005 | Отправлено: 09:20 05-08-2007
    VovaMozg



    Advanced Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Конечно влияют... В Defaul Domain Policy стоят настройки которые применяются для всех машин домена. Там поменяй..

    ----------
    В конце концов причина причин оказалась в начале начал...

    Всего записей: 761 | Зарегистр. 02-06-2005 | Отправлено: 08:09 06-08-2007
    Fulkabaster

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Во, еще непонятность.
    В групповых политиках доменных юзеров в User Configuration -> Windows Settings -> Folder Redirection -> My Documents -> Properties я выбрал "Advanced - Specify locations for various user groups" и указал путь к сетевой домашней папке \\file_server\root\%USERNAME%\My Documents.
    Все работает, документы юзеров хранятся на файл-сервере, и доступны с любой другой машины, как будто он на ней и работал.
    НО: по сети все юзеры могут ходить в эту шару на файл-сервере и заходить в чужие папки!!!
    Где разрешить доступ только к своей папке? В Свойствах самой папки на файл-сервере пробовал с пермишнами, ничего не вышло - либо все закрыто (в том числе своя папка), либо все открыто.
     
    Еще по ходу - можно ли сделать так, чтобы документы сохранялись в локальной папке компа Мои Документы, но и резервно копировались на файл-сервер?
     
    Добавлено:
    Первый вопрос отменяется - на том томе, который я решил использовать под домашние папки, стоит FAT32 Не заметил сразу.
    Второй вопрос в силе - несмотря на удобство файл-сервера, не хотелось бы полагаться на его надежность (RAID сделать возможности нет), поэтому хотелось бы автоматически резервировать документы локально.

    Всего записей: 160 | Зарегистр. 11-04-2005 | Отправлено: 11:33 06-08-2007
    gap5



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Fulkabaster
    Есть фича Offline Files, но вот насколько адекватно она работает - это вопрос.
     
    Например:
     
    Если клиент и сервер какое-то время не общались и на клиенте удалились определенные файлы. Например по ошибке (крах FAT или еще что ни будь), тут он подключается к серверу - и? Что случится с файлами?
     
    Если клиент пытается сохранить файлы которые запрещены скринингом (по расширению например) - что скажет сервер? Пошлет или просто не будет синхронизировать запрещенные расширения? Актуально если юзер хранит в папке "Мои Документы" музыку, и видео - а бэкапить хотелось бы только документы.

    Всего записей: 766 | Зарегистр. 30-05-2006 | Отправлено: 12:31 06-08-2007 | Исправлено: gap5, 12:33 06-08-2007
    VovaMozg



    Advanced Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Fulkabaster
     

    Цитата:
    Еще по ходу - можно ли сделать так, чтобы документы сохранялись в локальной папке компа Мои Документы, но и резервно копировались на файл-сервер?  
     

    Сделай папку доступной автономно а в ГП выставь в  
    Конфигураци Пользователя -- Административные шаблоны -- Сеть -- Автономные файлы
    (в англицкой версии смотри как называется)
    выставь синхронизацию автономных файлов...

    ----------
    В конце концов причина причин оказалась в начале начал...

    Всего записей: 761 | Зарегистр. 02-06-2005 | Отправлено: 12:32 06-08-2007
    Ufolog



    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Сори сразу если не здесь....
    Трабл: Есть комп в WinXP с запароленной уч. записью в домене, точнее был...
    Его забрали из домена и засунули в раб. группу другой сети. А как его "присоединить" к этой раб. группе, чтоб уч. запись сохранилась со всеми настройками, т.к. она важна? Банальная идентификация со сменой на рабочую группу не дает войти в учетную запись... Эх... =)
    Пасиб.

    Всего записей: 105 | Зарегистр. 13-01-2006 | Отправлено: 00:23 07-08-2007 | Исправлено: Ufolog, 05:08 07-08-2007
    Nand



    Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Ufolog
    Создай локального пользователя с таким же именем и паролем. Зайди под ним один раз. Скопируй профиль из доменного в локальный.

    Всего записей: 208 | Зарегистр. 27-03-2004 | Отправлено: 09:45 07-08-2007
    Ufolog



    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Nand
    Мое почтение! Как сделаю, обязательно отпишусь... =)

    Всего записей: 105 | Зарегистр. 13-01-2006 | Отправлено: 16:04 07-08-2007
    Ufolog



    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Nand
    Спасибо, все получилось быстро и без гимора со стороны банк-клиента и 1С программ.

    Всего записей: 105 | Зарегистр. 13-01-2006 | Отправлено: 11:48 08-08-2007
    Fulkabaster

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Как настроить WinXP, чтобы при входе в домен на окошке приглашения (где вводят логин/парол/домен) не отображалось имя последнего грузившегося с даной машины юзера? Или это не в групповых политиках настраивается?
     
    И еще: на днях вперве увидел Висту, ее надо было включить в домен. Включил, но у нее другой интерфейс входа в домен, имхо, корявый. Можно ли сделать, чтобы Виста выдавала такое же стандартное окошко, как XP?

    Всего записей: 160 | Зарегистр. 11-04-2005 | Отправлено: 12:38 11-08-2007 | Исправлено: Fulkabaster, 12:39 11-08-2007
    PhoenixUA

    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Fulkabaster

    Цитата:
    Как настроить WinXP, чтобы при входе в домен на окошке приглашения (где вводят логин/парол/домен) не отображалось имя последнего грузившегося с даной машины юзера? Или это не в групповых политиках настраивается?

    Computer Configuration\Windows Settings\Local Policies\Security Options\Interactive logon: Do not display last user name

    Всего записей: 2156 | Зарегистр. 17-11-2005 | Отправлено: 15:14 11-08-2007
    Открыть новую тему     Написать ответ в эту тему

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Групповые политики (Group Policy, GPO): документация, ссылки

    Имя:
    Пароль:
    Сообщение

    Для вставки имени, кликните на нем.

    Опции сообщенияДобавить свою подпись
    Подписаться на получение ответов по e-mail
    Добавить тему в личные закладки
    Разрешить смайлики?
    Запретить коды


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.Board
    © Ru.Board 2000-2018

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru