Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Групповые политики (Group Policy, GPO): документация, ссылки

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123

Открыть новую тему     Написать ответ в эту тему

lynx



Advanced lynx
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Групповые политики (Group Policy)


  • Групповые политики Active Directory
  • Структура объекта групповой политик
  • http://www.gpanswers.com/  
  • Windows Server Group Policy Home

    См. также Общие вопросы по Active Directory (AD)

    FAQ

  • Не работают групповые политики
  • Безопасность
  • Восстановление политик
  • Групповые политики + Internet Explorer (IE)
  • Windows Vista & Windows Server 2008
  • Другие вопросы по групповым политикам

    Документация

  • Англоязычная:
  • Русскоязычная:


    Пост подготовлен: G14

  • Всего записей: 11712 | Зарегистр. 08-05-2001 | Отправлено: 19:33 13-12-2004 | Исправлено: Paromshick, 10:25 23-09-2016
    InsideTM



    Junior Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    shadow_kan
    Про ошибку не понял. Но вообще это перенос домен контроллера. Я делал так:
    1. Ввод с домен второго контроллера простым dcpromo.
    2. Настройка на нём ДНС.  
    3. Установка его глобальным каталогом
    4. полная репликация
    5. Полная проверка его работы
    6. Опускание первого сервера обычным dcpromo.
     
    Ошибок у меня не было. Сервер ставился с нуля. В моём случае это контроллеры субдомена были.
     
    Добавлено:
    Wukuze
    В рамках леса их можно переносить. Переносите из Group Policy Objects одного домена в другой, простым перетаскиванием и в этот момент увидите Визард соответствующий.
    Если же речь об одном домене, то ГПО реплицируется.

    Всего записей: 70 | Зарегистр. 06-12-2007 | Отправлено: 09:59 06-02-2008
    shadow_kan

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Mielofon  
     
    Цитата:Версия схемы Active Directory исходного леса несовместима с версией Active Directory на этом компьютере  
     
    Win2003 случаем не R2?  
    У Server 2003 и Server 2003 R2 разные версии леса (вроде 30 и 31).  
     
    Цитата:adprep /forestprep  
    adprep /domainprep  
    эти команды необходимо выполнять со второго диска Windows Server 2003 R2  
    всем спасибо будем пробывать

    Всего записей: 12 | Зарегистр. 16-01-2006 | Отправлено: 13:16 06-02-2008 | Исправлено: shadow_kan, 13:29 06-02-2008
    RoDeZiya



    NL25
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    shadow_kan

    Цитата:
    спасибо пробывал через dcpromo
    не проходит установка АД
    возможная причина  
    на 1 машине winserver 2003 STANDAR SP2  
    на 2 машине winserver 2003 R2 ENTERPRISE SP2  
    Версия схема АД исходного леса (комп 1) не совместима с версией АД на компе 2
     

    Ошибка Ваша в том, что первый сервер у вас 2003, а второй 2003 R2. В R2 версия схемы выше. Как вариант - обновить 1-й сервер до R2, а уже потом переносить роль. Читать здесь.

    Всего записей: 2238 | Зарегистр. 02-04-2006 | Отправлено: 13:40 06-02-2008 | Исправлено: RoDeZiya, 13:41 06-02-2008
    shadow_kan

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    большое спасибо что ткнули носом  
    очень помогло  
    СПАСИБО ТО ЧТО НУЖНО

    Всего записей: 12 | Зарегистр. 16-01-2006 | Отправлено: 14:55 06-02-2008
    Nand



    Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Wukuze

    Цитата:
    игрушки политикой грохнуть
    - скрипт при загрузке системы, что то типа "WshShell.Run("RunDll32 advpack.dll,LaunchINFSection %windir%\INF\games.inf,HeartsUninstall")"

    Всего записей: 208 | Зарегистр. 27-03-2004 | Отправлено: 15:03 06-02-2008
    Wukuze

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Nand спасибо, скриптом правда не хотелось, но уж лучше так чем ничего

    Всего записей: 112 | Зарегистр. 25-05-2007 | Отправлено: 08:35 07-02-2008
    shadow_kan

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    RoDeZiya

    Цитата:
    Ошибка Ваша в том, что первый сервер у вас 2003, а второй 2003 R2. В R2 версия схемы выше. Как вариант - обновить 1-й сервер до R2, а уже потом переносить роль

    пытался обновить до R2 выдает ошибку  
    необходимо обновить версию схемы
    запускаю  
    Adprep.exe /forestprep  
    следующая ошибка  
    Adprep не может проверить состояние обновления леса.
    [Состояние/результат]
    Adprep опрашивает каталог и проверяет, не выполнялась ли ранее подготовка леса.
    При отсутствии сведений Adprep продолжает выполняться, пропуская эту операцию.
    [Действие пользователя]
    Перезапустите Adprep и просмотрите файл Adprep.log. Проверьте по журналу, не был
     ли этот лес успешно подготовлен ранее.
     
    При выполнении Adprep обнаружена ошибка LDAP.
    Код ошибки: 0x20. Расширенный код ошибки сервера: 0x208d. Сообщение об ошибке се
    рвера: 0000208D: NameErr: DSID-031001CD, problem 2001 (NO_OBJECT), data 0, best
    match of:
            'CN=Servers,CN=Default-First-Site,CN=Sites,CN=Configuration,DC=ups,DC=do
    n,DC=ua'
    содержимое log  
    Программа Adprep создала файл журнала ADPrep.log в каталоге C:\WINDOWS\system32\debug\adprep\logs\20080207091433.
     
     
     
    Программа Adprep скопировала файл D:\bin\_\r2\BRMSCD2FRE_RU\CMPNENTS\R2\ADPREP\schema.ini из папки установки на локальный компьютер в каталог C:\WINDOWS.  
    Программа Adprep скопировала файл D:\bin\_\r2\BRMSCD2FRE_RU\CMPNENTS\R2\ADPREP\sch31.ldf из папки установки на локальный компьютер в каталог C:\WINDOWS\system32.  
    Программа Adprep скопировала файл D:\bin\_\r2\BRMSCD2FRE_RU\CMPNENTS\R2\ADPREP\dcpromo.csv из папки установки на локальный компьютер в каталог C:\WINDOWS\system32\debug\adprep\data.  
    Программа Adprep скопировала файл D:\bin\_\r2\BRMSCD2FRE_RU\CMPNENTS\R2\ADPREP\409.csv из папки установки на локальный компьютер в каталог C:\WINDOWS\system32\debug\adprep\data.  
    Программа Adprep успешно установила подключение LDAP к локальному контроллеру домена ACE.
    Программа Adprep пыталась вызвать следующую API-функцию LDAP. ldap_search_s(). Базовый элемент для начала поиска: (null).
    API-функция LDAP ldap_search_s() завершена, код возврата 0x0  
    Программа Adprep успешно получила данные из локальной службы каталогов.
    Программа Adprep успешно инициализировала глобальные переменные.
    [Состояние/результат]
    Выполнение Adprep продолжается.
    Предупреждение ADPREP.
    Прежде чем выполнять ADPREP, следует обновить все контроллеры доменов Windows 2000 в составе леса до уровня Windows 2000 с пакетом обновления 1 (SP1) и исправлением QFE 265089 или Windows 2000 с пакетом обновления 2 (SP2) и более поздним.
    QFE 265089 (входит в Windows 2000 SP2 и более поздний) требуется для предотвращения возможного повреждения контроллера домена.  
    Дополнительно о подготовке леса и домена читайте в статье Q331161 базы знаний http://www.microsoft.com
    [Действия пользователя]  
    Если все существующие контроллеры домена Windows 2000 соответствуют этому требованию, введите "C" в командной строке и нажмите клавишу ENTER; для выхода введите любой другой знак и нажмите ENTER.
    Adprep не может проверить состояние обновления леса.
    [Состояние/результат]
    Adprep опрашивает каталог и проверяет, не выполнялась ли ранее подготовка леса. При отсутствии сведений Adprep продолжает выполняться, пропуская эту операцию.  
    [Действие пользователя]  
    Перезапустите Adprep и просмотрите файл Adprep.log. Проверьте по журналу, не был ли этот лес успешно подготовлен ранее.
    При выполнении Adprep обнаружена ошибка LDAP.  
    Код ошибки: 0x20. Расширенный код ошибки сервера: 0x208d. Сообщение об ошибке сервера: 0000208D: NameErr: DSID-031001CD, problem 2001 (NO_OBJECT), data 0, best match of:
        'CN=Servers,CN=Default-First-Site,CN=Sites,CN=Configuration,DC=ups,DC=don,DC=ua'
    .
     
     
     
     

    Всего записей: 12 | Зарегистр. 16-01-2006 | Отправлено: 10:17 07-02-2008 | Исправлено: shadow_kan, 10:27 07-02-2008
    Nand



    Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Wukuze
    более оптимального решения я в свое время не нашел. Однако, сами исполняемые файлы игр остаются на месте. Если нужен сам скрипт - могу озвучить...

    Всего записей: 208 | Зарегистр. 27-03-2004 | Отправлено: 10:22 07-02-2008 | Исправлено: Nand, 10:23 07-02-2008
    Wukuze

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Nand Ну это же все же лучше чем ничего, юзвери те исчо хитрованы, насяльника постоянно замечает что они играются, руками с каждого грохать уж совсем не хочется, тем более что компов многа, вот и хотелось чтоб ГП где поправить чтоб игрушки сами удалились да и потом чтоб вводишь комп в домен и вот тебе щастье

    Всего записей: 112 | Зарегистр. 25-05-2007 | Отправлено: 12:05 07-02-2008
    InsideTM



    Junior Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Nand
    Файлы можно удалить скриптом, при том написанном на чём угодно ) Начиная с бат файлов )

    Всего записей: 70 | Зарегистр. 06-12-2007 | Отправлено: 11:34 08-02-2008
    ra1n



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Подскажите pls, а возможно с помощью GPO, добавить определенный сайт в надежные узлы и дать ему там определенные разрешения?
     
    Причем, только для определенной группы юзеров в AD и только при удаленной работе на определенных компьютерах  
     
    Добавлено:
    И тут же еще один вопрос: почему в разделе "Конфигурация Windows" нет никаких подразделов, а только Remote Installation Services?
     

    Всего записей: 327 | Зарегистр. 22-12-2006 | Отправлено: 14:22 08-02-2008
    InsideTM



    Junior Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    ra1n
    1. Можно, если я правильно понял, что речь идёт о траст сайтах.  
    Идёте так:
    Настройки пользователя -> Административные шаблоны -> Компоненты винды ->  Internet Explorer -> Internet Control Panel -> Security Page
    на ней самой найдёте ГПО для разбития сайтов по группам, ГПО включения различных групп, в папках же более тонкие настройки.
    2. Поставте ГПО админ нормальный, думаю поможет.  
     
    Добавлено:
    shadow_kan
    А что в целом в сети твориться? Сколько контроллеров всего сейчас, были ли убитые так или иначе? Где сейчас какие роли? Может диагностикой поделитесь, а вообще это в топик про АД.

    Всего записей: 70 | Зарегистр. 06-12-2007 | Отправлено: 17:25 08-02-2008
    ra1n



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    Настройки пользователя -> Административные шаблоны -> Компоненты винды ->  Internet Explorer -> Internet Control Panel -> Security Page  

    хм.. или что то не так, или одно из двух..
    дома посмотрел, есть такое.. а на работе - нет
    такое возможно?  
    т.е. раздел этот есть, а параметра в нем, например "шаблон зоны надежных узлов" - нет
     

    Цитата:
    Поставте ГПО админ нормальный, думаю поможет.  

    это какой например?

    Всего записей: 327 | Зарегистр. 22-12-2006 | Отправлено: 23:17 08-02-2008
    InsideTM



    Junior Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Group Policy Management Console with Service Pack 1

    Цитата:
    хм.. или что то не так, или одно из двух..  
    дома посмотрел, есть такое.. а на работе - нет  
    такое возможно?  

    Проверяйте какие адм файлы подключаются дома, какие на работе. Это тут:
    Настройка пользователей -> правая кнопка на административные шаблоны -> добавить\удалить шаблоны.
    За интернетэксплорер отвечает inetres.adm

    Всего записей: 70 | Зарегистр. 06-12-2007 | Отправлено: 08:40 10-02-2008
    ra1n



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    Настройки пользователя -> Административные шаблоны -> Компоненты винды ->  Internet Explorer -> Internet Control Panel -> Security Page  

    нашлось))  
    Но там же нет параметров, таких чтоб я мог конкретный сайт поместить в надежные узлы
     
    И до сих пор не понятно, почему в Конфигурации пользователя >> Конфигурация Windows нет никаких подразделов..

    Всего записей: 327 | Зарегистр. 22-12-2006 | Отправлено: 08:23 11-02-2008
    InsideTM



    Junior Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    ra1n
    Есть, смотри внимательнее. Там есть настройка список этих сайтов ) Я тоже в первый раз искал минут 10 )
     
    Добавлено:
    ALL
    Как вы считаете (вопрос к вашей практике скорее, ну можно и рекомендации мелкомягких) Что лучше 1 политика определяющая всё и вся. (Меньше грузить компьютеру с DC, но запутанней в плане пока найдёшь в ней что то)  
    Или много политик, типа 1 за интернет, другая за доступы и т д. (Можно запутаться в линках, приоритеты, много грузить)

    Всего записей: 70 | Зарегистр. 06-12-2007 | Отправлено: 09:45 11-02-2008
    Frizen13



    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Приветствую всех! Такой вопрос, запретил для юзеров в AD запуск некторых програм, подхожу к юзеру запускаю прогу от Run AS вбиваю всё(являясь администратором), но прога не запускается захожу из под админской учётки всё запускается. Как сделать так что бы она запускалась и у юзера с  использованием моих прав, чтоб не переходить в систему!?

    Всего записей: 10 | Зарегистр. 31-01-2008 | Отправлено: 10:45 11-02-2008
    se111



    Advanced Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

    Цитата:
    Как вы считаете  

    чем больше политик, "Организационных единиц", групп тем удобнее администрировать.  
    называть группы и обьекты ГП логичными названиями т.е. internet_marketing, allowed web sites, ipsec enabled и т.д.  
     
    не запутаетесь. используйте GPMC и правильные(логичные названия) - и путаться не прийдется.
     
    Добавлено:
    Frizen13
    какой конкретно политикой вы запрещали?  
    политикой ограниченного использования программ (Computer Policy)
    или политикой запрет на запуск программ (User Policy)
     
    если второе то работать, должно так как и хочется.
    если первое то пользователь значения не имеет.

    Всего записей: 782 | Зарегистр. 21-04-2005 | Отправлено: 10:49 11-02-2008 | Исправлено: se111, 10:51 11-02-2008
    Frizen13



    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    второе Computer Policy по компам... Software restriction policies\ в это  разделе я указал програмы которые незя запускать юзерам.

    Всего записей: 10 | Зарегистр. 31-01-2008 | Отправлено: 11:13 11-02-2008 | Исправлено: Frizen13, 11:15 11-02-2008
    se111



    Advanced Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Frizen13
    ну тогда и на администратора будет действовать пока не загрузится его профиль.

    Всего записей: 782 | Зарегистр. 21-04-2005 | Отправлено: 11:34 11-02-2008
    Открыть новую тему     Написать ответ в эту тему

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Групповые политики (Group Policy, GPO): документация, ссылки

    Имя:
    Пароль:
    Сообщение

    Для вставки имени, кликните на нем.

    Опции сообщенияДобавить свою подпись
    Подписаться на получение ответов по e-mail
    Добавить тему в личные закладки
    Разрешить смайлики?
    Запретить коды


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.Board
    © Ru.Board 2000-2018

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru