Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Групповые политики (Group Policy, GPO): документация, ссылки

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123

Открыть новую тему     Написать ответ в эту тему

lynx



Advanced lynx
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Групповые политики (Group Policy)


  • Групповые политики Active Directory
  • Структура объекта групповой политик
  • http://www.gpanswers.com/  
  • Windows Server Group Policy Home

    См. также Общие вопросы по Active Directory (AD)

    FAQ

  • Не работают групповые политики
  • Безопасность
  • Восстановление политик
  • Групповые политики + Internet Explorer (IE)
  • Windows Vista & Windows Server 2008
  • Другие вопросы по групповым политикам

    Документация

  • Англоязычная:
  • Русскоязычная:


    Пост подготовлен: G14

  • Всего записей: 11712 | Зарегистр. 08-05-2001 | Отправлено: 19:33 13-12-2004 | Исправлено: Paromshick, 10:25 23-09-2016
    Frizen13



    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Member  
    А как сделать так чтобы мне не надо было загружать свой профиль чтобы я мог использовать учётку юзера но запускать файлик со своими правами... т.е. Run as вбил пароль и учётку и запустил... чтобы не требовалось заходить из под админа?

    Всего записей: 10 | Зарегистр. 31-01-2008 | Отправлено: 11:40 11-02-2008
    se111



    Advanced Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Frizen13
    с политикой Per Computer никак.  

    Цитата:
    или политикой запрет на запуск программ (User Policy)  


    Цитата:
    если второе то работать, должно так как и хочется

     

    Всего записей: 782 | Зарегистр. 21-04-2005 | Отправлено: 12:05 11-02-2008
    ra1n



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    А не подскажите, где можно найти Internet Explorer Enhanced Security Configuration  
     
    Я так понял, что пока этот параметр ВКЛЮЧЕН, не работает импорт настроек в Security Zones and Content Ratings (user conf. > win. sett. > ie maintenan. > security)
     
    Добавлено:
    Вопрос снимается)))
     
    На данный момент ситуация такая - все вроде работает, с одним НО.
     
    Когда захожу на сервак по RDP и запускаю IE, все ок. А когда запускаю через CITRIX чисто IE, то вылезает окошо -  

     
    И такое ощущение, что из за него не цепляется настройка групповой политики, и сайт не попадает в трастед зоне
     
    Я так понимаю, что проблема в том, что недоступна информация о том, когда сертификат будет аннулирован
    Можно где нибудь настроить IE так, чтоб ему пофиг было, есть эта информация или нет..
     
    Добавлено:
    Как сделать нашел..
     
    tools > inet options > advanced
     
    тама пару галочек убрать в подразделе security, связанные с аннулированием сертификатов  
     
    Теперь вопрос, как то же самое можно через групповые политики замутить?
    Что то я там не видел параметров аля на закладке Advanced <_<

    Всего записей: 327 | Зарегистр. 22-12-2006 | Отправлено: 12:31 11-02-2008
    ra1n



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    вообщем все вроде норм, но опять ПОЧТИ)))
     
    взял книжку по политикам, буду изучать

    Всего записей: 327 | Зарегистр. 22-12-2006 | Отправлено: 14:52 12-02-2008
    se111



    Advanced Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Frizen13
    конфигурация пользователя- административные шаблоны - запрет на запуск приложений.(тут список типа winword.exe, excel.exe)

    Всего записей: 782 | Зарегистр. 21-04-2005 | Отправлено: 20:31 12-02-2008 | Исправлено: se111, 09:00 13-02-2008
    ra1n



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    se111
    эт не мне наверно было))
     
    Добавлено:
    Наткнулся на такой момент:

    Цитата:
     Групповые политики применяются к клиентам с ОС Windows XP асинхронно, а с ОС Windows 2000 — синхронно

     
    А если ситуация следующая - терминальный доступ (Citrix) на сервер (Win2k3). Если запускается чисто IE, то некоторые политики не применяются, а именно сайт в трастед зоне не добавляется. Захожу через RDP под этим пользователем, выхожу, запускаю IE - все норм, нужный сайт в нужной зоне.
     
    Мне кажеться как раз из за этих асинхронных/синхронных режимов.
     
    Поправьте если неверно мыслю

    Всего записей: 327 | Зарегистр. 22-12-2006 | Отправлено: 08:50 13-02-2008 | Исправлено: ra1n, 10:39 13-02-2008
    Mushroomer



    Platinum Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Frizen13
    Цитата:
    А как сделать так чтобы мне не надо было загружать свой профиль чтобы я мог использовать учётку юзера но запускать файлик со своими правами... т.е. Run as вбил пароль и учётку и запустил... чтобы не требовалось заходить из под админа
    Если таких файлов не много и то у команды Runas (подсказали в свое время в сисдаминком флейме) есть очень интересный ключ /savecred . У меня некоторые проги запускаются под обычным пользователем, но от админской учетки. Пароль вводится только один раз (при организации всего этого дела).
    Как это применить вместе с групповой политикой - не знаю

    Всего записей: 22801 | Зарегистр. 19-01-2002 | Отправлено: 00:18 14-02-2008
    AlexStud

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Frizen13
    Но надо иметь в виду, что RUNAS /SAVECRED is huge security hole

    Всего записей: 28 | Зарегистр. 07-12-2002 | Отправлено: 04:39 14-02-2008 | Исправлено: AlexStud, 04:40 14-02-2008
    Frizen13



    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Нет. Чтобы они потом без меня запускали мне ето не надо. Это не безопасно. Надо чтобы я подошёл и запустил от своего имени какую либо программу.

    Всего записей: 10 | Зарегистр. 31-01-2008 | Отправлено: 08:09 14-02-2008
    Mushroomer



    Platinum Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Frizen13
    Цитата:
    Надо чтобы я подошёл и запустил от своего имени какую либо программу.
    Тогда какие проблемы? Подошел. В проводнике нажимаешь Shift, тыкаешь на файле правой кнопкой мыши и выбираешь запуск от имени.

    Всего записей: 22801 | Зарегистр. 19-01-2002 | Отправлено: 08:45 14-02-2008
    se111



    Advanced Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Mushroomer

    Цитата:
    тыкаешь на файле правой кнопкой мыши и выбираешь запуск от имени

    в доступе будет отказано т.е. политика которая настроена у господина Frizen13
    действует на компьютер, а не на пользователя.
    надо делать так.  

    Цитата:
    конфигурация пользователя- административные шаблоны - запрет на запуск приложений.(тут список типа winword.exe, excel.exe)

     
    тогда и только тогда можно пользоваться runas и\или shift что собственно одно и тоже.

    Всего записей: 782 | Зарегистр. 21-04-2005 | Отправлено: 09:05 14-02-2008
    Frizen13



    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Mushroomer
     
    =) да ето понятно в доустпе отказано пишет.
     
    se111

    Цитата:
    se111

    попробую по вашему совету...

    Всего записей: 10 | Зарегистр. 31-01-2008 | Отправлено: 09:14 14-02-2008
    fragpit



    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
       
    Существует такая проблема. В сети есть 2 контроллера домена. На обоих команда gpupdate выполняется правильно. На клиентских же рабочих станциях она зависает надолго и все...  
     
       При сборе rsop на рабочих станциях в файле gpedit.log следующее
     

    Код:
    GPEDIT(280.80c) 16:59:06:897 CRSOPComponentData::BuildGPOList: GetObject for GPO RSOP_GPO.id="cn={4FFCAD72-B190-422C-B013-BAC4F35D7B99},cn=policies,cn=system,DC=domain,DC=local" failed with 0x80041002

     
       Когда вводишь машинку в домен, то политики применяются, далее если перенести ее в другую группу, то новые политики не применяются..  
     
       

    Всего записей: 13 | Зарегистр. 28-09-2007 | Отправлено: 17:17 19-02-2008
    ra1n



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Как думаете, в чем м.б. дело?
     
    Компьютер (WinXP Pro SP2) в сети, один единственный с такой проблемой
     
    2 ошибки
     
    -Системный журнал\Приложения

    Цитата:
     Тип события:    Ошибка
    Источник события:    Userenv
    Категория события:    Отсутствует
    Код события:    1054
    Дата:  21.02.2008
    Время:  12:11:55
    Пользователь:  NT AUTHORITY\SYSTEM
    Описание:
    Не удалось получить имя контроллера домена в этой сети. (Указанный домен не существует или к нему невозможно подключиться. ). Обработка групповой политики прекращена.  

     
    -Системный журнал\Система

    Цитата:
     Тип события: Ошибка
    Источник события: NETLOGON
    Категория события: Отсутствует
    Код события: 5719
    Дата: 21.02.2008
    Время: 12:11:55
    Пользователь: Н/Д
    Описание:
    Для домена TAPB нет доступного контроллера домена. Ошибка:  
    Отсутствуют серверы, которые могли бы обработать запрос на вход в сеть. .  
    Убедитесь в том, что компьютер подключен к сети и повторите попытку. Если ошибка повторяется, обратитесь к сетевому администратору.
    Данные:
    0000: c000005e  

    Всего записей: 327 | Зарегистр. 22-12-2006 | Отправлено: 12:23 21-02-2008 | Исправлено: ra1n, 12:25 21-02-2008
    Lykym



    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    ra1n
    Ну он же сказал тебе  

    Цитата:
    Не удалось получить имя контроллера домена в этой сети. (Указанный домен не существует или к нему невозможно подключиться. ). Обработка групповой политики прекращена.  
    .
    Проверяй сеть, сделай ping TAPB, nslookup TAPB.  
     

    Всего записей: 105 | Зарегистр. 09-04-2004 | Отправлено: 13:08 21-02-2008
    ra1n



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    ping проходит
    dns задан верно
    ipconfig выдает правильные адреса (как у всех)

    Всего записей: 327 | Зарегистр. 22-12-2006 | Отправлено: 14:13 21-02-2008
    S4astliff4ik



    Advanced Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Ребят,скажите,пожалуйста!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! Создаю пользователя,любого!!!! В группе админ,юзеры... и ни у одного нету кнопки
    Цитата:
    т.е. в меню пуск у него есть  кнопка завершения сеанса, а выключения компьтера нет!  
     
    но при этом он может завершить свой сеанс а потом в меню (где надо нажать ctrl+alt+del для входа) сожет нажать завершить работу.  
     
     
    КАК такуое может быть???


    ----------
    S4astliff4ik - он такой один ...

    Всего записей: 855 | Зарегистр. 20-01-2008 | Отправлено: 16:44 21-02-2008
    Lykym



    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    ra1n
    Заведи машину в домен еще раз, или на контроллере домена нажми переустановить учетную запись.
    А вообще тема не та , тут про Gp.
     
    S4astliff4ik
    Gp->конфигурация компьютера->конфигурация windows->параметры безопасности->назначение прав пользователя-> завершение работы системы, тут указать пользователей которые имеют права выключать компьютер.
    Gp->конфигурация компьютера->конфигурация windows->параметры безопасности->параметры безопасности->выключение: разрешить выключение системы без входа, тут разрешить или запретить, если не хочешь чтоб могли выключать систему незалогиневшись.
     
     

    Всего записей: 105 | Зарегистр. 09-04-2004 | Отправлено: 18:49 21-02-2008
    ra1n



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Lykym
    ок, не буду оффтопить
     
    только на последок:
    заводил заново - не помогло
    переустановить попробую..
     
    я понимаю что про GP
    они у меня на машину не применяются
    поэтому сюда и написал..

    Всего записей: 327 | Зарегистр. 22-12-2006 | Отправлено: 08:23 22-02-2008
    InsideTM



    Junior Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    подскажите пожалуйста как с помощью ГПО обрубить возможность расшаривать папки. Цель, чтобы шарть могли только админы. Спасибо.

    Всего записей: 70 | Зарегистр. 06-12-2007 | Отправлено: 13:50 26-02-2008
    Открыть новую тему     Написать ответ в эту тему

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Групповые политики (Group Policy, GPO): документация, ссылки

    Имя:
    Пароль:
    Сообщение

    Для вставки имени, кликните на нем.

    Опции сообщенияДобавить свою подпись
    Подписаться на получение ответов по e-mail
    Добавить тему в личные закладки
    Разрешить смайлики?
    Запретить коды


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.Board
    © Ru.Board 2000-2018

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru