Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Групповые политики (Group Policy, GPO): документация, ссылки

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126

Открыть новую тему     Написать ответ в эту тему

lynx



Advanced lynx
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Групповые политики (Group Policy)


  • Групповые политики Active Directory
  • Структура объекта групповой политик
  • Group Policy Administrative Templates Catalog
  • http://www.gpanswers.com/  
  • Windows Server Group Policy Home

    См. также Общие вопросы по Active Directory (AD)

    FAQ

  • Не работают групповые политики
  • Безопасность
  • Восстановление политик
  • Групповые политики + Internet Explorer (IE)
  • Windows Vista & Windows Server 2008
  • Другие вопросы по групповым политикам

    Документация

  • Англоязычная:
  • Русскоязычная:


    Пост подготовлен: G14

  • Всего записей: 11712 | Зарегистр. 08-05-2001 | Отправлено: 19:33 13-12-2004 | Исправлено: Paromshick, 20:16 03-06-2020
    InsideTM



    Junior Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    shadow_kan
    Про ошибку не понял. Но вообще это перенос домен контроллера. Я делал так:
    1. Ввод с домен второго контроллера простым dcpromo.
    2. Настройка на нём ДНС.  
    3. Установка его глобальным каталогом
    4. полная репликация
    5. Полная проверка его работы
    6. Опускание первого сервера обычным dcpromo.
     
    Ошибок у меня не было. Сервер ставился с нуля. В моём случае это контроллеры субдомена были.
     
    Добавлено:
    Wukuze
    В рамках леса их можно переносить. Переносите из Group Policy Objects одного домена в другой, простым перетаскиванием и в этот момент увидите Визард соответствующий.
    Если же речь об одном домене, то ГПО реплицируется.

    Всего записей: 70 | Зарегистр. 06-12-2007 | Отправлено: 09:59 06-02-2008
    shadow_kan

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Mielofon  
     
    Цитата:Версия схемы Active Directory исходного леса несовместима с версией Active Directory на этом компьютере  
     
    Win2003 случаем не R2?  
    У Server 2003 и Server 2003 R2 разные версии леса (вроде 30 и 31).  
     
    Цитата:adprep /forestprep  
    adprep /domainprep  
    эти команды необходимо выполнять со второго диска Windows Server 2003 R2  
    всем спасибо будем пробывать

    Всего записей: 12 | Зарегистр. 16-01-2006 | Отправлено: 13:16 06-02-2008 | Исправлено: shadow_kan, 13:29 06-02-2008
    RoDeZiya



    NL25
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    shadow_kan

    Цитата:
    спасибо пробывал через dcpromo
    не проходит установка АД
    возможная причина  
    на 1 машине winserver 2003 STANDAR SP2  
    на 2 машине winserver 2003 R2 ENTERPRISE SP2  
    Версия схема АД исходного леса (комп 1) не совместима с версией АД на компе 2
     

    Ошибка Ваша в том, что первый сервер у вас 2003, а второй 2003 R2. В R2 версия схемы выше. Как вариант - обновить 1-й сервер до R2, а уже потом переносить роль. Читать здесь.

    Всего записей: 2238 | Зарегистр. 02-04-2006 | Отправлено: 13:40 06-02-2008 | Исправлено: RoDeZiya, 13:41 06-02-2008
    shadow_kan

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    большое спасибо что ткнули носом  
    очень помогло  
    СПАСИБО ТО ЧТО НУЖНО

    Всего записей: 12 | Зарегистр. 16-01-2006 | Отправлено: 14:55 06-02-2008
    Nand



    Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Wukuze

    Цитата:
    игрушки политикой грохнуть
    - скрипт при загрузке системы, что то типа "WshShell.Run("RunDll32 advpack.dll,LaunchINFSection %windir%\INF\games.inf,HeartsUninstall")"

    Всего записей: 209 | Зарегистр. 27-03-2004 | Отправлено: 15:03 06-02-2008
    Wukuze

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Nand спасибо, скриптом правда не хотелось, но уж лучше так чем ничего

    Всего записей: 112 | Зарегистр. 25-05-2007 | Отправлено: 08:35 07-02-2008
    shadow_kan

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    RoDeZiya

    Цитата:
    Ошибка Ваша в том, что первый сервер у вас 2003, а второй 2003 R2. В R2 версия схемы выше. Как вариант - обновить 1-й сервер до R2, а уже потом переносить роль

    пытался обновить до R2 выдает ошибку  
    необходимо обновить версию схемы
    запускаю  
    Adprep.exe /forestprep  
    следующая ошибка  
    Adprep не может проверить состояние обновления леса.
    [Состояние/результат]
    Adprep опрашивает каталог и проверяет, не выполнялась ли ранее подготовка леса.
    При отсутствии сведений Adprep продолжает выполняться, пропуская эту операцию.
    [Действие пользователя]
    Перезапустите Adprep и просмотрите файл Adprep.log. Проверьте по журналу, не был
     ли этот лес успешно подготовлен ранее.
     
    При выполнении Adprep обнаружена ошибка LDAP.
    Код ошибки: 0x20. Расширенный код ошибки сервера: 0x208d. Сообщение об ошибке се
    рвера: 0000208D: NameErr: DSID-031001CD, problem 2001 (NO_OBJECT), data 0, best
    match of:
            'CN=Servers,CN=Default-First-Site,CN=Sites,CN=Configuration,DC=ups,DC=do
    n,DC=ua'
    содержимое log  
    Программа Adprep создала файл журнала ADPrep.log в каталоге C:\WINDOWS\system32\debug\adprep\logs\20080207091433.
     
     
     
    Программа Adprep скопировала файл D:\bin\_\r2\BRMSCD2FRE_RU\CMPNENTS\R2\ADPREP\schema.ini из папки установки на локальный компьютер в каталог C:\WINDOWS.  
    Программа Adprep скопировала файл D:\bin\_\r2\BRMSCD2FRE_RU\CMPNENTS\R2\ADPREP\sch31.ldf из папки установки на локальный компьютер в каталог C:\WINDOWS\system32.  
    Программа Adprep скопировала файл D:\bin\_\r2\BRMSCD2FRE_RU\CMPNENTS\R2\ADPREP\dcpromo.csv из папки установки на локальный компьютер в каталог C:\WINDOWS\system32\debug\adprep\data.  
    Программа Adprep скопировала файл D:\bin\_\r2\BRMSCD2FRE_RU\CMPNENTS\R2\ADPREP\409.csv из папки установки на локальный компьютер в каталог C:\WINDOWS\system32\debug\adprep\data.  
    Программа Adprep успешно установила подключение LDAP к локальному контроллеру домена ACE.
    Программа Adprep пыталась вызвать следующую API-функцию LDAP. ldap_search_s(). Базовый элемент для начала поиска: (null).
    API-функция LDAP ldap_search_s() завершена, код возврата 0x0  
    Программа Adprep успешно получила данные из локальной службы каталогов.
    Программа Adprep успешно инициализировала глобальные переменные.
    [Состояние/результат]
    Выполнение Adprep продолжается.
    Предупреждение ADPREP.
    Прежде чем выполнять ADPREP, следует обновить все контроллеры доменов Windows 2000 в составе леса до уровня Windows 2000 с пакетом обновления 1 (SP1) и исправлением QFE 265089 или Windows 2000 с пакетом обновления 2 (SP2) и более поздним.
    QFE 265089 (входит в Windows 2000 SP2 и более поздний) требуется для предотвращения возможного повреждения контроллера домена.  
    Дополнительно о подготовке леса и домена читайте в статье Q331161 базы знаний http://www.microsoft.com
    [Действия пользователя]  
    Если все существующие контроллеры домена Windows 2000 соответствуют этому требованию, введите "C" в командной строке и нажмите клавишу ENTER; для выхода введите любой другой знак и нажмите ENTER.
    Adprep не может проверить состояние обновления леса.
    [Состояние/результат]
    Adprep опрашивает каталог и проверяет, не выполнялась ли ранее подготовка леса. При отсутствии сведений Adprep продолжает выполняться, пропуская эту операцию.  
    [Действие пользователя]  
    Перезапустите Adprep и просмотрите файл Adprep.log. Проверьте по журналу, не был ли этот лес успешно подготовлен ранее.
    При выполнении Adprep обнаружена ошибка LDAP.  
    Код ошибки: 0x20. Расширенный код ошибки сервера: 0x208d. Сообщение об ошибке сервера: 0000208D: NameErr: DSID-031001CD, problem 2001 (NO_OBJECT), data 0, best match of:
        'CN=Servers,CN=Default-First-Site,CN=Sites,CN=Configuration,DC=ups,DC=don,DC=ua'
    .
     
     
     
     

    Всего записей: 12 | Зарегистр. 16-01-2006 | Отправлено: 10:17 07-02-2008 | Исправлено: shadow_kan, 10:27 07-02-2008
    Nand



    Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Wukuze
    более оптимального решения я в свое время не нашел. Однако, сами исполняемые файлы игр остаются на месте. Если нужен сам скрипт - могу озвучить...

    Всего записей: 209 | Зарегистр. 27-03-2004 | Отправлено: 10:22 07-02-2008 | Исправлено: Nand, 10:23 07-02-2008
    Wukuze

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Nand Ну это же все же лучше чем ничего, юзвери те исчо хитрованы, насяльника постоянно замечает что они играются, руками с каждого грохать уж совсем не хочется, тем более что компов многа, вот и хотелось чтоб ГП где поправить чтоб игрушки сами удалились да и потом чтоб вводишь комп в домен и вот тебе щастье

    Всего записей: 112 | Зарегистр. 25-05-2007 | Отправлено: 12:05 07-02-2008
    InsideTM



    Junior Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Nand
    Файлы можно удалить скриптом, при том написанном на чём угодно ) Начиная с бат файлов )

    Всего записей: 70 | Зарегистр. 06-12-2007 | Отправлено: 11:34 08-02-2008
    ra1n



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Подскажите pls, а возможно с помощью GPO, добавить определенный сайт в надежные узлы и дать ему там определенные разрешения?
     
    Причем, только для определенной группы юзеров в AD и только при удаленной работе на определенных компьютерах  
     
    Добавлено:
    И тут же еще один вопрос: почему в разделе "Конфигурация Windows" нет никаких подразделов, а только Remote Installation Services?
     

    Всего записей: 328 | Зарегистр. 22-12-2006 | Отправлено: 14:22 08-02-2008
    InsideTM



    Junior Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    ra1n
    1. Можно, если я правильно понял, что речь идёт о траст сайтах.  
    Идёте так:
    Настройки пользователя -> Административные шаблоны -> Компоненты винды ->  Internet Explorer -> Internet Control Panel -> Security Page
    на ней самой найдёте ГПО для разбития сайтов по группам, ГПО включения различных групп, в папках же более тонкие настройки.
    2. Поставте ГПО админ нормальный, думаю поможет.  
     
    Добавлено:
    shadow_kan
    А что в целом в сети твориться? Сколько контроллеров всего сейчас, были ли убитые так или иначе? Где сейчас какие роли? Может диагностикой поделитесь, а вообще это в топик про АД.

    Всего записей: 70 | Зарегистр. 06-12-2007 | Отправлено: 17:25 08-02-2008
    ra1n



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    Настройки пользователя -> Административные шаблоны -> Компоненты винды ->  Internet Explorer -> Internet Control Panel -> Security Page  

    хм.. или что то не так, или одно из двух..
    дома посмотрел, есть такое.. а на работе - нет
    такое возможно?  
    т.е. раздел этот есть, а параметра в нем, например "шаблон зоны надежных узлов" - нет
     

    Цитата:
    Поставте ГПО админ нормальный, думаю поможет.  

    это какой например?

    Всего записей: 328 | Зарегистр. 22-12-2006 | Отправлено: 23:17 08-02-2008
    InsideTM



    Junior Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Group Policy Management Console with Service Pack 1

    Цитата:
    хм.. или что то не так, или одно из двух..  
    дома посмотрел, есть такое.. а на работе - нет  
    такое возможно?  

    Проверяйте какие адм файлы подключаются дома, какие на работе. Это тут:
    Настройка пользователей -> правая кнопка на административные шаблоны -> добавить\удалить шаблоны.
    За интернетэксплорер отвечает inetres.adm

    Всего записей: 70 | Зарегистр. 06-12-2007 | Отправлено: 08:40 10-02-2008
    ra1n



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    Настройки пользователя -> Административные шаблоны -> Компоненты винды ->  Internet Explorer -> Internet Control Panel -> Security Page  

    нашлось))  
    Но там же нет параметров, таких чтоб я мог конкретный сайт поместить в надежные узлы
     
    И до сих пор не понятно, почему в Конфигурации пользователя >> Конфигурация Windows нет никаких подразделов..

    Всего записей: 328 | Зарегистр. 22-12-2006 | Отправлено: 08:23 11-02-2008
    InsideTM



    Junior Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    ra1n
    Есть, смотри внимательнее. Там есть настройка список этих сайтов ) Я тоже в первый раз искал минут 10 )
     
    Добавлено:
    ALL
    Как вы считаете (вопрос к вашей практике скорее, ну можно и рекомендации мелкомягких) Что лучше 1 политика определяющая всё и вся. (Меньше грузить компьютеру с DC, но запутанней в плане пока найдёшь в ней что то)  
    Или много политик, типа 1 за интернет, другая за доступы и т д. (Можно запутаться в линках, приоритеты, много грузить)

    Всего записей: 70 | Зарегистр. 06-12-2007 | Отправлено: 09:45 11-02-2008
    Frizen13



    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Приветствую всех! Такой вопрос, запретил для юзеров в AD запуск некторых програм, подхожу к юзеру запускаю прогу от Run AS вбиваю всё(являясь администратором), но прога не запускается захожу из под админской учётки всё запускается. Как сделать так что бы она запускалась и у юзера с  использованием моих прав, чтоб не переходить в систему!?

    Всего записей: 10 | Зарегистр. 31-01-2008 | Отправлено: 10:45 11-02-2008
    se111



    Advanced Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

    Цитата:
    Как вы считаете  

    чем больше политик, "Организационных единиц", групп тем удобнее администрировать.  
    называть группы и обьекты ГП логичными названиями т.е. internet_marketing, allowed web sites, ipsec enabled и т.д.  
     
    не запутаетесь. используйте GPMC и правильные(логичные названия) - и путаться не прийдется.
     
    Добавлено:
    Frizen13
    какой конкретно политикой вы запрещали?  
    политикой ограниченного использования программ (Computer Policy)
    или политикой запрет на запуск программ (User Policy)
     
    если второе то работать, должно так как и хочется.
    если первое то пользователь значения не имеет.

    Всего записей: 782 | Зарегистр. 21-04-2005 | Отправлено: 10:49 11-02-2008 | Исправлено: se111, 10:51 11-02-2008
    Frizen13



    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    второе Computer Policy по компам... Software restriction policies\ в это  разделе я указал програмы которые незя запускать юзерам.

    Всего записей: 10 | Зарегистр. 31-01-2008 | Отправлено: 11:13 11-02-2008 | Исправлено: Frizen13, 11:15 11-02-2008
    se111



    Advanced Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Frizen13
    ну тогда и на администратора будет действовать пока не загрузится его профиль.

    Всего записей: 782 | Зарегистр. 21-04-2005 | Отправлено: 11:34 11-02-2008
    Открыть новую тему     Написать ответ в эту тему

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Групповые политики (Group Policy, GPO): документация, ссылки


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.B0ard
    © Ru.B0ard 2000-2024

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru