Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Групповые политики (Group Policy, GPO): документация, ссылки

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126

Открыть новую тему     Написать ответ в эту тему

lynx



Advanced lynx
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Групповые политики (Group Policy)


  • Групповые политики Active Directory
  • Структура объекта групповой политик
  • Group Policy Administrative Templates Catalog
  • http://www.gpanswers.com/  
  • Windows Server Group Policy Home

    См. также Общие вопросы по Active Directory (AD)

    FAQ

  • Не работают групповые политики
  • Безопасность
  • Восстановление политик
  • Групповые политики + Internet Explorer (IE)
  • Windows Vista & Windows Server 2008
  • Другие вопросы по групповым политикам

    Документация

  • Англоязычная:
  • Русскоязычная:


    Пост подготовлен: G14

  • Всего записей: 11712 | Зарегистр. 08-05-2001 | Отправлено: 19:33 13-12-2004 | Исправлено: Paromshick, 20:16 03-06-2020
    north_crow

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    народ!
    подскажите как через гпо все пользователям назначить обои на рабочий стол?
    хочется от своей службы ИТ всем новогоднии обои поставить

    Всего записей: 172 | Зарегистр. 04-12-2002 | Отправлено: 09:03 10-12-2007
    Infected Switch



    Full Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    north_crow
    Скорее всего так:
    User Config - Admin Templates - Desktop - Active Desktop - Active Desktop Wallpaper

    Всего записей: 471 | Зарегистр. 25-08-2006 | Отправлено: 09:44 10-12-2007
    snayper7



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    а еще менять их рандомно - так еще лучше (хотя бы раз в день). мож кто знает такое?

    Всего записей: 1088 | Зарегистр. 18-07-2006 | Отправлено: 13:39 10-12-2007
    Infected Switch



    Full Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    snayper7
    А тут уже батник состряпать нужно и в стартовый скрипт засунуть

    Всего записей: 471 | Зарегистр. 25-08-2006 | Отправлено: 16:21 10-12-2007
    obtim



    Gold Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Где можно скачать описание структуры .adm файлов на русском языке ?

    ----------
    Дьявол коварен - он может явиться к нам просто в образе дьявола

    Всего записей: 8928 | Зарегистр. 03-03-2002 | Отправлено: 11:43 14-12-2007
    InsideTM



    Junior Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Подскажите пожалуйста, что делать.
    Ситуация:
    Домен 100 машин.
    Групповая политика с одним скриптом, который запускается при логоффе.
    Скрипт - батник.
    Задача скрипта - записывать в файл время логоффа.
     
    Проблема: Скрипт запускается от имени пользователя, который не имеет прав доступа к каталогу отчёта (и иметь не должен). Как запустить скрипт от имени системы при логоффе?
     
    Заранее спасибо и извиняюсь за детский вопрос.

    Всего записей: 70 | Зарегистр. 06-12-2007 | Отправлено: 11:45 14-12-2007
    RoDeZiya



    NL25
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    удалено

    Всего записей: 2238 | Зарегистр. 02-04-2006 | Отправлено: 12:22 14-12-2007 | Исправлено: RoDeZiya, 12:24 14-12-2007
    rkhodjaev



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
      Проблема возникла!
    NOD не убновляется у пользователейбу которых юзеровские права.Есть ли дать админовские то норма.Вот я же не могу из-за антивируса всем дать админовские права.Так можно что-то делать при помощи GPO или есть какие нидудь варианты?
      Спасибо заранее

    Всего записей: 1002 | Зарегистр. 05-05-2006 | Отправлено: 08:08 18-12-2007
    Lykym



    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    InsideTM
    А если соответствующую политику активировать: конфигурация компьютера->параметры безопастности-> локальная политика-> политика аудита-> аудит входа в систему.(Данная политика ведет аудит не только входа, но и выхода из системы)
    Мож тогда и не надо ни какого батника писать.
     
    IMHO под одним юзером ты батник ни как не заставишь от имени системы запускаться, если б это можно было тогда юзер мог бы запускать любые приложения от имени системы.

    Всего записей: 113 | Зарегистр. 09-04-2004 | Отправлено: 12:05 18-12-2007 | Исправлено: Lykym, 12:42 18-12-2007
    Diadema



    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    А если запустить через runas, с правами пользователя имеющими право записи в папку?

    Всего записей: 185 | Зарегистр. 17-01-2006 | Отправлено: 13:31 18-12-2007
    InsideTM



    Junior Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Lykym
    1. Речь о логоффе.
    2. а куда информация сыпаться будет? В евент лог? Скрипт написан чтобы смотрели люди, которые лазить по чужим евентлогам не будут.
    Diadema
    Типа сделать батник в батнике? Можно, но хочется изящней в данном случае. Пока пишется в спец папку, но это бардак )

    Всего записей: 70 | Зарегистр. 06-12-2007 | Отправлено: 13:53 18-12-2007
    Lykym



    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    InsideTM

    Цитата:
    Речь о логоффе.  


    Цитата:
    (Данная политика ведет аудит не только входа, но и выхода из системы)  

     
    Об этом и речь идет. Писаться будет в журнал безопасности, на той машине к которой политика будет применяться.
     
    Добавлено:
    Diadema

    Цитата:
    А если запустить через runas,

    Это ка такое можно применить к скрипту который выполняется при выходе пользователя из системы .  
     
    InsideTM

    Цитата:
    Типа сделать батник в батнике? Можно, но хочется изящней в данном случае. Пока пишется в спец папку, но это бардак )

    Если как то там и прописать в батнике, то любой юзер сможет просмотреть скрипты в папке sysvol на контроллере и без проблем узнать пароль админа, т.е. от кого будет запущен батник runas.
     

    Всего записей: 113 | Зарегистр. 09-04-2004 | Отправлено: 14:20 18-12-2007
    InsideTM



    Junior Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Lykym
    Журнал безопасности не вариант. По причинам, которые я указал выше.
     
    А по поводу батника в батнике. Можно завести отдельно юзера с правами на конкретный каталог, это не нарушит безопасность и не создаст бардака, но всё же ищется что-то более изящное.

    Всего записей: 70 | Зарегистр. 06-12-2007 | Отправлено: 16:14 18-12-2007
    slavpa



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    InsideTM
    можно попробовать RunIt as. Taм , по крайней мере, пароль не видно.

    Всего записей: 2010 | Зарегистр. 05-02-2003 | Отправлено: 19:48 18-12-2007 | Исправлено: slavpa, 19:48 18-12-2007
    Lykym



    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    InsideTM
     

    Цитата:
    Проблема: Скрипт запускается от имени пользователя, который не имеет прав доступа к каталогу отчёта (и иметь не должен). Как запустить скрипт от имени системы при логоффе?  

    Тогда разреши ему писать в этот каталог, а читать не разрешай, при помощи Ntfs так сделать можно, щас нет возможности проверить как это будет работать, но атрибуты у папки такие установить можно.

    Всего записей: 113 | Зарегистр. 09-04-2004 | Отправлено: 19:53 18-12-2007
    Mushroomer



    Platinum Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    По поводу запуска с админскми правами. Может кому-то поможет такая информация. У команды runas есть ключ /savecred с помощью которого можно один раз запустить  приложения от имени админа (при этом надо ввести один раз пароль админа). При последующем таком запуске приложение будет автоматически запускать от имени админа, без ввода пароля. Т.е. в батнике пишем  
    runas /user:Administrator@domain /savecred c:\app.exe  
    и все.

    Всего записей: 22838 | Зарегистр. 19-01-2002 | Отправлено: 22:32 18-12-2007
    5555555



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Mushroomer

    Цитата:
    runas есть ключ /savecred  

    вообщем-то - да. этакая палочка-выручалочка, но (имхо) - на крайний случай, в подавляющем числе опять же - имхо лучше, надежней и практичней задача решается грамотной раздачей разрешений, что на файловую систему, так и на ветки реестра.

    Всего записей: 2582 | Зарегистр. 01-04-2004 | Отправлено: 23:05 18-12-2007
    InsideTM



    Junior Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Lykym
    Тут наверно частично сыграло роль моя криворукость. Сегодня проверю. Но ведь я могу разрешить доступ на конкретную папку, не разрешая доступ на предыдущее дерево? Или там всё равно листинг надо будет ставить?
    Просто папка лежит в структуре папки общим размером 2ТБ. Пока там выставятся разрешения на что угодно я помру ), но это глюк моего мозга. Наверно же можно на конкретную выставлять... надо проверить.
     
    5555555
    То есть я могу запустить с этим ключом на своей машине и на всех остальных доменных всё будет ок? Или я на все 100 машин один раз дожен вбить пасс?
     
    slavpa
    Оригинально Гляну обязательно, если не поможет предыдущий вариант. Я стараюсь не юазть доп софт, если можно избежать этого встроенными средствами винды

    Всего записей: 70 | Зарегистр. 06-12-2007 | Отправлено: 10:17 19-12-2007
    5555555



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    InsideTM

    Цитата:
    на все 100 машин  

    а я не знаю . как писал, исключительно редко применял, теперь вообще не применяю. и подозреваю, что - на все 100

    Цитата:
    можно на конкретную выставлять
    а вот это правильное направление.

    Всего записей: 2582 | Зарегистр. 01-04-2004 | Отправлено: 10:30 19-12-2007
    mozers



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    ALL
    мучают сомнения по поводу правильности создания и подключения GPO.  
    Я делал так:  
    1. Создал объект групповой политики OU2  
    2. Создал группу Users2 как подраздел этого объекта  
    3. В свойствах OU2 (закладка "групповая политика") создал новый объект групповой политики.  
    4. Нажал кнопку "редактировать", там нашел "Перенаправление папок" и начал их настраивать.  
    5. В процессе настройки выяснилось что там надо указывать группу с которой будет работать это перенаправление. Указал Users2.  
    6. Добавил к списку групп, в которые включен тестовый пользователь, группу Users2.  
    7. На другом компе попытался войти тестовым пользователем и убедился что ничего не работает.  
    8. Зашел в свойства домена.  
    9. В свойствах (закладка "групповая политика") уже есть объект дефолтовой групповой политики.  
    10. Повторил все с п.4 по п.7. Так же ничего не работает.  
    11. Зашел в свойства домена (закладка "Безопасность") и добавил туда группу User2, наделив ее всеми правами (их там - безмерно). Убрал только одну галку - "запись".  
    12. Повторил п.7 - Все заработало  
    13. В свойствах OU2 (закладка "групповая политика") удалил созданный объект групповой политики.  
    14. Сейчас думаю может и OU2 теперь не нужен? Пересоздать эту группу User2 как обычную группу и все? Я то ее в OU запихнул потому что у простой группы нет закладки "Групповая политика", а жаль  
     
    В общем вопрос такой:  
    Я хочу создать независимый(непривязанный ни к чему) объект групповой политики с одним единственным правилом (или несколькими, которые я считаю возможным сгруппировать в одном объекте).  
    А затем этот объект привязать к нужной группе или пользователю.  
    Как я понял, "Перенаправление папок" - нетипичный пример, т.к. тут группы(пользователи) задаются внутри конкретной настройки объекта ГП.  
     
    Как правильно (по шагам) реализовать задуманное?  
    Т.е. надо создать независимый объект ГП, в котором 1 правило.
    Или я был очень близок к истине, выполняя п.1 - п.6 ???  
     
    Добавлено:
    Вот ща поставил Group Policy Management Console и все вроде встало на свои места.
    В папочке Group Policy Objects создаю свою Policy и в ее закладочке "Delegation" выставляю на группу или пользователя на кого эта политика распостраняется.
    Как это нормально сделать в стандартной "Active Directory - пользователи и компьютеры" - до сих пор в непонятках  

    Всего записей: 2187 | Зарегистр. 03-01-2002 | Отправлено: 10:33 19-12-2007
    Открыть новую тему     Написать ответ в эту тему

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Групповые политики (Group Policy, GPO): документация, ссылки


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.B0ard
    © Ru.B0ard 2000-2024

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru