Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Групповые политики (Group Policy, GPO): документация, ссылки

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123

Открыть новую тему     Написать ответ в эту тему

lynx



Advanced lynx
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Групповые политики (Group Policy)


  • Групповые политики Active Directory
  • Структура объекта групповой политик
  • http://www.gpanswers.com/  
  • Windows Server Group Policy Home

    См. также Общие вопросы по Active Directory (AD)

    FAQ

  • Не работают групповые политики
  • Безопасность
  • Восстановление политик
  • Групповые политики + Internet Explorer (IE)
  • Windows Vista & Windows Server 2008
  • Другие вопросы по групповым политикам

    Документация

  • Англоязычная:
  • Русскоязычная:


    Пост подготовлен: G14

  • Всего записей: 11712 | Зарегистр. 08-05-2001 | Отправлено: 19:33 13-12-2004 | Исправлено: Paromshick, 10:25 23-09-2016
    RoDeZiya



    NL25
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Booklet
    ИМХО проблема в том, что командная строка XP не умеет работать с сетевыми путями. Попробуй вместо BAT файла, выполняющего \\server\folder\1.exe, переместить этот 1.exe на DC и указать его в качестве скрипта.

    ----------
    Злой человек.

    Всего записей: 2237 | Зарегистр. 02-04-2006 | Отправлено: 17:15 21-12-2007
    Lykym



    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Booklet
    1. Ты уверен что политика вообще применяется, проверь сначала это.  напр: Запрети чего-нибудь и посмотри есть результат?
     
    2.
    Цитата:
    4. добавить - обзор - выбор  
    Кстати, не пофигу ли где этот батник лежит? У меня просто в сет. папке  

     
    Эту папку должна видеть машина на которой будет выполняться скрипт, лучше всего ложить в domainn.ru\script, а на контроллере, т.е. на жестком диске контроллера это будет c:\windows\ntds\sysvol\domain\script\ (c:\windows\ntds - не уверен, я устанавливал в другую директорию, щас не помню как поумолчанию)
     
     
    Добавлено:
    RoDeZiya

    Цитата:
    ИМХО проблема в том, что командная строка XP не умеет работать с сетевыми путями.

    Можно поподробнее, я просто не встречался с такими проблемами, а то как говорится век живи -век учись.
     
     
    Добавлено:

    Цитата:
    лучше всего ложить в domainn.ru\script, а на контроллере, т.е. на жестком диске контроллера это будет c:\windows\ntds\sysvol\domain\script\ (c:\windows\ntds - не уверен, я устанавливал в другую директорию, щас не помню как поумолчанию)  

    Тогда они нормально будут реплицироваться, а так если у тебя два и болле контроллера будут грабли.
     
     
    Добавлено:

    Цитата:
    Кстати, подскажите, как выяснить который их них PDC.  

     
    Говорю за win 2003, но думаю на 200 также.
    Открываешь консоль пользователи и компьютеры, выбираешь свой домен, ПКМ и выбираем хозяева операций, нам нужна вторая вкладка.

    Всего записей: 105 | Зарегистр. 09-04-2004 | Отправлено: 17:59 21-12-2007 | Исправлено: Lykym, 18:00 21-12-2007
    PhoenixUA

    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Booklet

    Цитата:
    1. Создал группу безопасности и запихнул в этот новый OU

    Политики применяются к пользователям и компьютерам, а не к группам безопасности...

    Всего записей: 2150 | Зарегистр. 17-11-2005 | Отправлено: 21:31 21-12-2007
    RoDeZiya



    NL25
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Lykym

    Цитата:
    Можно поподробнее, я просто не встречался с такими проблемами, а то как говорится век живи -век учись
    Огромное сорри за внесение путаницы. Мое предположение неверно. Сейчас специально проверил - дело не в командной строке и сетевых путях. Еще раз сорри за дезинформацию.

    Всего записей: 2237 | Зарегистр. 02-04-2006 | Отправлено: 22:40 21-12-2007
    concorde

    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    кто подскажет, поддается ли настроенная для OU политика экспорту-импорту???
    если да, ТО КАК ИМЕННО?

    Всего записей: 2442 | Зарегистр. 10-01-2006 | Отправлено: 23:03 21-12-2007
    mozers



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    concorde
    Система такая:
    В некой папке лежат OGP с самыми различными настройками.
    (Из этой папки их можно скопировать куда нить в укромное место или добавить к ним новые...)
    В OU помещаются не сами OGP, а ссылки на них.
    Т.е. один OU может содержать несколько ссылок на самые разные политики.
    Когда мы нажимаем в OU - "Свойства" - "Групповая политика" - "Создать", то одновремменно создается и новый OGP и ссылка на него.
    Если я где-то неправ - поправьте.

    Всего записей: 2187 | Зарегистр. 03-01-2002 | Отправлено: 11:42 22-12-2007
    G14



    Добрый фей
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    concorde
    Да, с помощью GPMC. Экспорт\импорт\бэкап...и т.д.
    Только экспорт\импорт нужен только при переносе GPO в другой домен, внутри одного домена используется просто линк...
    mozers

    Цитата:
    Если я где-то неправ - поправьте.

    Практически нигде не прав, разве что кроме
    Цитата:
    В некой папке лежат OGP с самыми различными настройками.
    , да и то с поправкой на то, что OGP GPO
    Пред тем как писать подобное неплохо б было почитать документацию. Хотя бы самого начального уровня.

    ----------
    http://OpsMgr.ru (более мне не принадлежит. Кому принадлежит - не знаю.)

    Всего записей: 3013 | Зарегистр. 19-01-2004 | Отправлено: 12:55 22-12-2007
    mozers



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    G14
    Цитата:
    Практически нигде не прав
    Все таки я был бы очень благодарен если бы Вы процитировали хотя бы одну фразу из моего сообщения в которой я неправ.
    concorde задал вопрос про OU. Я хотел лишь уточнить что OU является лишь контейнером ссылок на различные GPO. Я так понимаю...
    Нет, я не настаиваю на своей правоте. Просто очень хочется разобраться...
    Что же касается документации, то там, например, явно написано что политики не применяются к группам безопасности, однако если помудрить, то, оказывается все можно! (см. на предыдущей странице)


    Всего записей: 2187 | Зарегистр. 03-01-2002 | Отправлено: 13:41 22-12-2007
    Lykym



    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    mozers

    Цитата:
    Что же касается документации, то там, например, явно написано что политики не применяются к группам безопасности, однако если помудрить, то, оказывается все можно! (см. на предыдущей странице)

     
    Тогда вопрос знатоку,исходя из того что ты говоришь, если пользовать User входит в группу group1 и группу group2. User находится по умолчанию в папке users. Далее как ты и говоришь group1 находится в OU1 к которой применяется политика GPO1, а Group2 находится в OU2 к которой соответственно применяется GPO2. Тогда какая из политик GPO1 или GPO2 будет применяться к пользователю User. Пример: GPO1 запрещая менять обои на рабочем столе,а GPO2 разрешает? Сможет ли пользователь при таком раскладе установить себе красивые обои или нет ?

    Всего записей: 105 | Зарегистр. 09-04-2004 | Отправлено: 15:09 22-12-2007 | Исправлено: Lykym, 16:37 22-12-2007
    G14



    Добрый фей
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    mozers
    цитирую:

    Цитата:
     OU является лишь контейнером ссылок на различные GPO

    бред.

    Цитата:
    Что же касается документации, то там, например, явно написано что политики не применяются к группам безопасности, однако если помудрить, то, оказывается все можно!


    А если почитать документацию, то окажется, что "помудрить" называется фильтрацией...
    И к группам политики по-прежнему НЕ применяются.  
    Lykym

    Цитата:
    Тогда какая из политик GPO1 или GPO2 будет применяться к пользователю User

    Напиши мне плз сам ответ в ПМ? Мне просто интересно, а как ТЫ на это ответишь?

    ----------
    http://OpsMgr.ru (более мне не принадлежит. Кому принадлежит - не знаю.)

    Всего записей: 3013 | Зарегистр. 19-01-2004 | Отправлено: 17:03 22-12-2007
    mozers



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Lykym
    Цитата:
    Тогда вопрос знатоку
    Ну это - явно не ко мне    
    Если человек пытается поделится с другими какой то удачной находкой, то почему другие, которые это давно уже знали, но не смогли популярно изложить, теперь начинают ерничать над ним?

    Цитата:
    Далее как ты и говоришь  
    Опять все не так Да, вначале я именно так и хотел, но вы же сами натолкнули меня на верное и главное, РАБОЧЕЕ, решение!

     
    1. Создаем OU и засовываем в него всех наших пользователей.
     
    2. В этом OU создаем GPO с именем "_Remome My Computer icon" (OU - "Свойства" - "Групповая политика" - "Создать" потом на нем - "Изменить" - и устанавливаем в этом GPO - "Remome My Computer icon on the desktop" в положение "Enabled").
    3. Создаем группу пользователей. Называем ее "_Remome My Computer icon"
    4. Заходим в свойства созданного нами GPO (OU - "Свойства" - "Групповая политика" - курсор на нужном GPO - "Свойства") и там на закладке "Безопасность" удаляем "Прошедшие проверку" и добавляем группу "_Remome My Computer icon".
     
    5. В этом же OU создаем новый GPO с именем "_Remome Recycle Bin icon" и создаем новую группу "_Remome Recycle Bin icon" (т.е. повторяем шаги со 2го по 4й).
     
    6. Все зависит от конкретных задач, но очевидно что шаги со 2го по 4й вы будете повторять многкратно. Каждый раз результатом будет новый GPO и новая одноименная группа.
    Каждый из GPO может содержать любое количество параметров (а не только по одному как в примере) но обязательно все эти парамерты должны содержать уникальные параметры настройки, отсутвующие в других GPO. Иначе сработает установка из того GPO, который окажется последним в списке.
     
    После завершения процесса создания GPO о групповой политике можно будет забыть навсегда, поскольку теперь для того чтобы на пользователя действовала та или иная установка GP, будет достаточно этого пользователя добавить в члены соответсвующих групп.
    Т.е. на пользователя, члена групп "_Remome My Computer icon" и "_Remome Recycle Bin icon" будут действовать обе этих установки.
     
    Если кто то предложит более изящный способ моментального изменения набора политик, действующих на конкретного пользователя, то я буду очень благодарен.

     
    Это решение я искал давно. Облазил весь инет и убедился что я не одинок в своих вопросах. Готового рецепта не нашел нигде. Зато советов почитать документацию и плохо скрываемой злобы на ламерюг, которые лезут в системные администраторы - хоть отбавляй. И только на ru-board, с помощью RoDeZiya, TCPIP, PhoenixUA и других я смог найти это решение. СПАСИБО им!

    Всего записей: 2187 | Зарегистр. 03-01-2002 | Отправлено: 20:49 22-12-2007 | Исправлено: mozers, 21:47 22-12-2007
    svanidze

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

     
    u menia est domain i vniom okolo 50 kampiuterov
    pastavil na servere symantec corporate no ne delaet abnavlenie  
    kak ia viisnil nada na vsex kompax gde stait windows xp v fairvole nada atkrit kakieta eti porti  
    TCP порт 2967  
    UDP порт 2967  
    UDP порт 38293  
    po vsem kompiuteram begat i vruchnuiu atkrivat len
    ne pamojite kak spomoshiu domain servera vsem useram vfairvele windows xp atkrit eti porti ?
     
     
    zaranie spasibo za pomosh  
     
    izvinite net ruskava shrifta

    Всего записей: 18 | Зарегистр. 13-11-2005 | Отправлено: 10:51 27-12-2007
    Lykym



    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    svanidze
    Kopatj tyt  
    OU(v kotoryu vhodyat kompij)->gpo->computer configuration->administrative temples->network->network connections->windows firewall

    Всего записей: 105 | Зарегистр. 09-04-2004 | Отправлено: 12:04 27-12-2007
    mithridat1



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Какие существуют программы и способы для обхода групповой политики ?
    Интересует программа,которая бы блокировала применение политик (в том числе и доменных).
    Вот что мне удалось найти по этой теме:
     
    GPCul8r - Group Policy Bypassing Tool
    Circumventing Group Policy as a Limited User
     
    В последней статье описана утилита gpdisable , но ссылка на нее уже нерабочая,поскольку сайт sysinternals.com мигрировал на microsoft.com,где подобных программ есс-но выкладывать не будут.Ни у кого случаем не завалялась ?

    Всего записей: 4119 | Зарегистр. 05-01-2006 | Отправлено: 15:02 27-12-2007 | Исправлено: mithridat1, 15:04 27-12-2007
    alm007

    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    СИТУАЦИЯ: комп ХР в домене, на машину логинится локальный админ, НО не вдомен, в локальную машину. лок.админ желает подправить лок.групп политики, как то длина пароля и т.п. но выясняется что в  gpedit.msc  это не представляется возможным. там высталенны доменные политики БЕЗ возможности корректироваь.
     
    ВОПРОС: как поступить, чтобы иметь возможность корректировать лок.политики в плане паролей для локальных пользователей?

    Всего записей: 357 | Зарегистр. 11-03-2003 | Отправлено: 17:56 27-12-2007
    Cyril Konst



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Народ, а как через групповые политики задать язык по дефолту до логинивания, после входа и комбинацию клавиш для переключения языков?

    Всего записей: 632 | Зарегистр. 12-08-2003 | Отправлено: 18:30 27-12-2007 | Исправлено: Cyril Konst, 18:31 27-12-2007
    veryom



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Cyril Konst

    Цитата:
    Народ, а как через групповые политики задать язык по дефолту до логинивания, после входа и комбинацию клавиш для переключения языков?

    Не встречал такого. Вот: http://forum.ru-board.com/topic.cgi?forum=62&topic=7381&start=260#20.

    ----------
    Как обойти административные ограничения

    Всего записей: 1242 | Зарегистр. 24-03-2006 | Отправлено: 20:16 27-12-2007
    rkhodjaev



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
     Мы сейчас Всем уствнавливаем корпоративный Антивирус,то есть надо централтзованно управлять АВ.Всем машинам подкляемся без проблем,а вот возникает проблема когда у польз.машине включен Брендмаэр,поэтому для того что установить или удалить надо спустится и выключить брэндмауэр,надо машин много и в различных территориях.Не подскажите можно ли удаленно через пол.безопасности Всем выкл. Firewall?
     

    Всего записей: 1002 | Зарегистр. 05-05-2006 | Отправлено: 06:45 28-12-2007
    RoDeZiya



    NL25
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    rkhodjaev
    Можно.
    Computer Configuration->Administrative Templates->Network->Network Connection->Prohibit use of Internet Connection Firewall on your DNS domain network

    ----------
    Злой человек.

    Всего записей: 2237 | Зарегистр. 02-04-2006 | Отправлено: 07:00 28-12-2007
    Cyril Konst



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    veryom
    чот не нашёл там...
    Нашёл в другом месте, какие записи должны быть в реестре.
    Как их реплицировать на клиентские компы через GP?

    Всего записей: 632 | Зарегистр. 12-08-2003 | Отправлено: 09:58 28-12-2007 | Исправлено: Cyril Konst, 09:59 28-12-2007
    Открыть новую тему     Написать ответ в эту тему

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Групповые политики (Group Policy, GPO): документация, ссылки

    Имя:
    Пароль:
    Сообщение

    Для вставки имени, кликните на нем.

    Опции сообщенияДобавить свою подпись
    Подписаться на получение ответов по e-mail
    Добавить тему в личные закладки
    Разрешить смайлики?
    Запретить коды


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.Board
    © Ru.Board 2000-2018

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru