Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Групповые политики (Group Policy, GPO): документация, ссылки

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126

Открыть новую тему     Написать ответ в эту тему

lynx



Advanced lynx
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Групповые политики (Group Policy)


  • Групповые политики Active Directory
  • Структура объекта групповой политик
  • Group Policy Administrative Templates Catalog
  • http://www.gpanswers.com/  
  • Windows Server Group Policy Home

    См. также Общие вопросы по Active Directory (AD)

    FAQ

  • Не работают групповые политики
  • Безопасность
  • Восстановление политик
  • Групповые политики + Internet Explorer (IE)
  • Windows Vista & Windows Server 2008
  • Другие вопросы по групповым политикам

    Документация

  • Англоязычная:
  • Русскоязычная:


    Пост подготовлен: G14

  • Всего записей: 11712 | Зарегистр. 08-05-2001 | Отправлено: 19:33 13-12-2004 | Исправлено: Paromshick, 20:16 03-06-2020
    Frizen13



    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Member  
    А как сделать так чтобы мне не надо было загружать свой профиль чтобы я мог использовать учётку юзера но запускать файлик со своими правами... т.е. Run as вбил пароль и учётку и запустил... чтобы не требовалось заходить из под админа?

    Всего записей: 10 | Зарегистр. 31-01-2008 | Отправлено: 11:40 11-02-2008
    se111



    Advanced Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Frizen13
    с политикой Per Computer никак.  

    Цитата:
    или политикой запрет на запуск программ (User Policy)  


    Цитата:
    если второе то работать, должно так как и хочется

     

    Всего записей: 782 | Зарегистр. 21-04-2005 | Отправлено: 12:05 11-02-2008
    ra1n



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    А не подскажите, где можно найти Internet Explorer Enhanced Security Configuration  
     
    Я так понял, что пока этот параметр ВКЛЮЧЕН, не работает импорт настроек в Security Zones and Content Ratings (user conf. > win. sett. > ie maintenan. > security)
     
    Добавлено:
    Вопрос снимается)))
     
    На данный момент ситуация такая - все вроде работает, с одним НО.
     
    Когда захожу на сервак по RDP и запускаю IE, все ок. А когда запускаю через CITRIX чисто IE, то вылезает окошо -  

     
    И такое ощущение, что из за него не цепляется настройка групповой политики, и сайт не попадает в трастед зоне
     
    Я так понимаю, что проблема в том, что недоступна информация о том, когда сертификат будет аннулирован
    Можно где нибудь настроить IE так, чтоб ему пофиг было, есть эта информация или нет..
     
    Добавлено:
    Как сделать нашел..
     
    tools > inet options > advanced
     
    тама пару галочек убрать в подразделе security, связанные с аннулированием сертификатов  
     
    Теперь вопрос, как то же самое можно через групповые политики замутить?
    Что то я там не видел параметров аля на закладке Advanced <_<

    Всего записей: 328 | Зарегистр. 22-12-2006 | Отправлено: 12:31 11-02-2008
    ra1n



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    вообщем все вроде норм, но опять ПОЧТИ)))
     
    взял книжку по политикам, буду изучать

    Всего записей: 328 | Зарегистр. 22-12-2006 | Отправлено: 14:52 12-02-2008
    se111



    Advanced Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Frizen13
    конфигурация пользователя- административные шаблоны - запрет на запуск приложений.(тут список типа winword.exe, excel.exe)

    Всего записей: 782 | Зарегистр. 21-04-2005 | Отправлено: 20:31 12-02-2008 | Исправлено: se111, 09:00 13-02-2008
    ra1n



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    se111
    эт не мне наверно было))
     
    Добавлено:
    Наткнулся на такой момент:

    Цитата:
     Групповые политики применяются к клиентам с ОС Windows XP асинхронно, а с ОС Windows 2000 — синхронно

     
    А если ситуация следующая - терминальный доступ (Citrix) на сервер (Win2k3). Если запускается чисто IE, то некоторые политики не применяются, а именно сайт в трастед зоне не добавляется. Захожу через RDP под этим пользователем, выхожу, запускаю IE - все норм, нужный сайт в нужной зоне.
     
    Мне кажеться как раз из за этих асинхронных/синхронных режимов.
     
    Поправьте если неверно мыслю

    Всего записей: 328 | Зарегистр. 22-12-2006 | Отправлено: 08:50 13-02-2008 | Исправлено: ra1n, 10:39 13-02-2008
    Mushroomer



    Platinum Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Frizen13
    Цитата:
    А как сделать так чтобы мне не надо было загружать свой профиль чтобы я мог использовать учётку юзера но запускать файлик со своими правами... т.е. Run as вбил пароль и учётку и запустил... чтобы не требовалось заходить из под админа
    Если таких файлов не много и то у команды Runas (подсказали в свое время в сисдаминком флейме) есть очень интересный ключ /savecred . У меня некоторые проги запускаются под обычным пользователем, но от админской учетки. Пароль вводится только один раз (при организации всего этого дела).
    Как это применить вместе с групповой политикой - не знаю

    Всего записей: 22838 | Зарегистр. 19-01-2002 | Отправлено: 00:18 14-02-2008
    AlexStud

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Frizen13
    Но надо иметь в виду, что RUNAS /SAVECRED is huge security hole

    Всего записей: 28 | Зарегистр. 07-12-2002 | Отправлено: 04:39 14-02-2008 | Исправлено: AlexStud, 04:40 14-02-2008
    Frizen13



    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Нет. Чтобы они потом без меня запускали мне ето не надо. Это не безопасно. Надо чтобы я подошёл и запустил от своего имени какую либо программу.

    Всего записей: 10 | Зарегистр. 31-01-2008 | Отправлено: 08:09 14-02-2008
    Mushroomer



    Platinum Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Frizen13
    Цитата:
    Надо чтобы я подошёл и запустил от своего имени какую либо программу.
    Тогда какие проблемы? Подошел. В проводнике нажимаешь Shift, тыкаешь на файле правой кнопкой мыши и выбираешь запуск от имени.

    Всего записей: 22838 | Зарегистр. 19-01-2002 | Отправлено: 08:45 14-02-2008
    se111



    Advanced Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Mushroomer

    Цитата:
    тыкаешь на файле правой кнопкой мыши и выбираешь запуск от имени

    в доступе будет отказано т.е. политика которая настроена у господина Frizen13
    действует на компьютер, а не на пользователя.
    надо делать так.  

    Цитата:
    конфигурация пользователя- административные шаблоны - запрет на запуск приложений.(тут список типа winword.exe, excel.exe)

     
    тогда и только тогда можно пользоваться runas и\или shift что собственно одно и тоже.

    Всего записей: 782 | Зарегистр. 21-04-2005 | Отправлено: 09:05 14-02-2008
    Frizen13



    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Mushroomer
     
    =) да ето понятно в доустпе отказано пишет.
     
    se111

    Цитата:
    se111

    попробую по вашему совету...

    Всего записей: 10 | Зарегистр. 31-01-2008 | Отправлено: 09:14 14-02-2008
    fragpit



    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
       
    Существует такая проблема. В сети есть 2 контроллера домена. На обоих команда gpupdate выполняется правильно. На клиентских же рабочих станциях она зависает надолго и все...  
     
       При сборе rsop на рабочих станциях в файле gpedit.log следующее
     

    Код:
    GPEDIT(280.80c) 16:59:06:897 CRSOPComponentData::BuildGPOList: GetObject for GPO RSOP_GPO.id="cn={4FFCAD72-B190-422C-B013-BAC4F35D7B99},cn=policies,cn=system,DC=domain,DC=local" failed with 0x80041002

     
       Когда вводишь машинку в домен, то политики применяются, далее если перенести ее в другую группу, то новые политики не применяются..  
     
       

    Всего записей: 13 | Зарегистр. 28-09-2007 | Отправлено: 17:17 19-02-2008
    ra1n



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Как думаете, в чем м.б. дело?
     
    Компьютер (WinXP Pro SP2) в сети, один единственный с такой проблемой
     
    2 ошибки
     
    -Системный журнал\Приложения

    Цитата:
     Тип события:    Ошибка
    Источник события:    Userenv
    Категория события:    Отсутствует
    Код события:    1054
    Дата:  21.02.2008
    Время:  12:11:55
    Пользователь:  NT AUTHORITY\SYSTEM
    Описание:
    Не удалось получить имя контроллера домена в этой сети. (Указанный домен не существует или к нему невозможно подключиться. ). Обработка групповой политики прекращена.  

     
    -Системный журнал\Система

    Цитата:
     Тип события: Ошибка
    Источник события: NETLOGON
    Категория события: Отсутствует
    Код события: 5719
    Дата: 21.02.2008
    Время: 12:11:55
    Пользователь: Н/Д
    Описание:
    Для домена TAPB нет доступного контроллера домена. Ошибка:  
    Отсутствуют серверы, которые могли бы обработать запрос на вход в сеть. .  
    Убедитесь в том, что компьютер подключен к сети и повторите попытку. Если ошибка повторяется, обратитесь к сетевому администратору.
    Данные:
    0000: c000005e  

    Всего записей: 328 | Зарегистр. 22-12-2006 | Отправлено: 12:23 21-02-2008 | Исправлено: ra1n, 12:25 21-02-2008
    Lykym



    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    ra1n
    Ну он же сказал тебе  

    Цитата:
    Не удалось получить имя контроллера домена в этой сети. (Указанный домен не существует или к нему невозможно подключиться. ). Обработка групповой политики прекращена.  
    .
    Проверяй сеть, сделай ping TAPB, nslookup TAPB.  
     

    Всего записей: 113 | Зарегистр. 09-04-2004 | Отправлено: 13:08 21-02-2008
    ra1n



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    ping проходит
    dns задан верно
    ipconfig выдает правильные адреса (как у всех)

    Всего записей: 328 | Зарегистр. 22-12-2006 | Отправлено: 14:13 21-02-2008
    S4astliff4ik



    Advanced Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Ребят,скажите,пожалуйста!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! Создаю пользователя,любого!!!! В группе админ,юзеры... и ни у одного нету кнопки
    Цитата:
    т.е. в меню пуск у него есть  кнопка завершения сеанса, а выключения компьтера нет!  
     
    но при этом он может завершить свой сеанс а потом в меню (где надо нажать ctrl+alt+del для входа) сожет нажать завершить работу.  
     
     
    КАК такуое может быть???


    ----------
    S4astliff4ik - он такой один ...

    Всего записей: 858 | Зарегистр. 20-01-2008 | Отправлено: 16:44 21-02-2008
    Lykym



    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    ra1n
    Заведи машину в домен еще раз, или на контроллере домена нажми переустановить учетную запись.
    А вообще тема не та , тут про Gp.
     
    S4astliff4ik
    Gp->конфигурация компьютера->конфигурация windows->параметры безопасности->назначение прав пользователя-> завершение работы системы, тут указать пользователей которые имеют права выключать компьютер.
    Gp->конфигурация компьютера->конфигурация windows->параметры безопасности->параметры безопасности->выключение: разрешить выключение системы без входа, тут разрешить или запретить, если не хочешь чтоб могли выключать систему незалогиневшись.
     
     

    Всего записей: 113 | Зарегистр. 09-04-2004 | Отправлено: 18:49 21-02-2008
    ra1n



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Lykym
    ок, не буду оффтопить
     
    только на последок:
    заводил заново - не помогло
    переустановить попробую..
     
    я понимаю что про GP
    они у меня на машину не применяются
    поэтому сюда и написал..

    Всего записей: 328 | Зарегистр. 22-12-2006 | Отправлено: 08:23 22-02-2008
    InsideTM



    Junior Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    подскажите пожалуйста как с помощью ГПО обрубить возможность расшаривать папки. Цель, чтобы шарть могли только админы. Спасибо.

    Всего записей: 70 | Зарегистр. 06-12-2007 | Отправлено: 13:50 26-02-2008
    Открыть новую тему     Написать ответ в эту тему

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Групповые политики (Group Policy, GPO): документация, ссылки


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.B0ard
    © Ru.B0ard 2000-2024

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru