Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Групповые политики (Group Policy, GPO): документация, ссылки

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123

Открыть новую тему     Написать ответ в эту тему

lynx



Advanced lynx
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Групповые политики (Group Policy)


  • Групповые политики Active Directory
  • Структура объекта групповой политик
  • http://www.gpanswers.com/  
  • Windows Server Group Policy Home

    См. также Общие вопросы по Active Directory (AD)

    FAQ

  • Не работают групповые политики
  • Безопасность
  • Восстановление политик
  • Групповые политики + Internet Explorer (IE)
  • Windows Vista & Windows Server 2008
  • Другие вопросы по групповым политикам

    Документация

  • Англоязычная:
  • Русскоязычная:


    Пост подготовлен: G14

  • Всего записей: 11712 | Зарегистр. 08-05-2001 | Отправлено: 19:33 13-12-2004 | Исправлено: Paromshick, 10:25 23-09-2016
    Desempare



    Newbie
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Решилось с помошью сайта указанного в шапке(http://www.gpanswers.com/). Поиск рулит, но иногда долго и закоулками.
    Вставим следующее в текстовый файл:

    Код:
     
    CLASS USER
     
    CATEGORY !!RegistrySettings
     
      POLICY !!EnableKerberos
     
        KEYNAME "Software\Microsoft\Windows\CurrentVersion\Policies\Internet Settings"
     
        EXPLAIN !!EnableKerberos_Explain
     
      VALUENAME "EnableNegotiate"
      VALUEON NUMERIC 1
      VALUEOFF NUMERIC 0
     
      END POLICY
     
    END CATEGORY
     
    [strings]
     
    EnableKerberos="Enable Integrated Windows Authentication"
    EnableKerberos_Explain="Allows Internet Explorer to use Kerberos to authenticate when allowed by a web server"
    RegistrySettings="My Custom Settings"
     

    Сохраняем под *.adm и в групповой политике добавляем в административные шаблоны созданый файл.

    Всего записей: 16 | Зарегистр. 17-01-2007 | Отправлено: 04:52 23-04-2008
    SAVage22



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    2 all
     
    Имеется домен в нём 2 сайта, по идеи политика домена выше сайта, а как сделать чтобы политика сайта применялась последней???

    Всего записей: 1104 | Зарегистр. 30-12-2003 | Отправлено: 23:17 23-04-2008
    greenfox



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    есть ли ГП позволяющая запретить сохранять в 2007 офисе док-ты в новом формате docx? (или хотя бы сделать так что бы по умолчанию они сохранялись в старом формате doc)
     
    SAVage22
    по идее изменить порядок применения ГП по элементам (локал\сайт\домен\оу) нельзя, можно попытаться решить твою проблему путём скажем блокировки или запрета какой-то политики ...
    По гуглю море сслылок как и тут в шапке

    ----------
    Три вещи вечны: смерть, налоги и потеря данных...

    Всего записей: 4139 | Зарегистр. 29-07-2003 | Отправлено: 13:28 24-04-2008
    SAVage22



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    2all
     
    Ещё такая задачка, как сделать в груповой политике, чтобы у всех пользователей раскладка переключалась только по Shift+Ctrl а то всех обходить и вручную менять не прокатывает.

    Всего записей: 1104 | Зарегистр. 30-12-2003 | Отправлено: 11:27 25-04-2008
    kazavo4ka



    Advanced Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    SAVage22
    Я в свое время нашел на каком-то сайте набросок административного шаблона и дописал немного (там было только добавление языков ввода), получилось вот так.

    Всего записей: 1655 | Зарегистр. 17-02-2006 | Отправлено: 19:33 25-04-2008 | Исправлено: kazavo4ka, 19:35 25-04-2008
    SAVage22



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    kazavo4ka
     
    Спасиб, поковыряюсь на выходных.

    Всего записей: 1104 | Зарегистр. 30-12-2003 | Отправлено: 23:58 25-04-2008
    kfroma

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Господа вопрос такой - можно ли разрешить User-у в win xp pro sp2 шарить папки с помощью групповых политик или нет????
    наподобии этой штуки http://www.commodore.ca/windows/remove_sharing_security_tab.htm

    Всего записей: 1 | Зарегистр. 28-04-2008 | Отправлено: 10:29 28-04-2008
    contrafack

    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Вопрос:

    Цитата:
     
    старшие коллеги, из за чего может быть, что GPO не выполняется ?  
    Структура и ситуация такая:  
    На VMWare поднят W2k3 и Winx XP pro SP2. На W2k3 подят DNS, DHCP, AD и IIS.
    AD настрил, и гостевой WIND XP ввел в домен ! все прошел БЕЗ никакого ошибки, как надо.  
    И вот хотел развертовывать ПО, все делал как на видео-уроке, расшарил папку, скопировал туда .msi файл, в GPO сделал запись, показал сетевой путь (как надо).  
    перезагрузил гостевой клиент, зашел домен, но 0 прогресса, ничего не установился (в AD имеется и уч.запись пользователья и компьютера)
    Думал наверно .msi файл испорчен или что то в этом роде.
    решил просто в политиках OU "поиграть", опять в политиках отключил пользовательям CONTROL PANEL, заного все перезагрузил и зашол опять в домен и свободно смог зайти Contorl panel (((( и уже окончательно убедился, что не выполняется GPO, по этому решил обратится к вам за помошью.

    ответ:

    Цитата:
     gpupdate /force
    rsop.msc  

    -----------------------
    Первый пошел безошибочно, но без результатно, а во время второго - выдал вот такое дело:
     
       
     
    а потом далее отобразился тима GPO и логом:
     

    Цитата:
    Group Policy Infrastructure failed due to the error listed below.
    The specified domain either does not exist or could not be contacted.
     
    Note:  Due to the GP Core failure, none of the other Group Policy components processed their policy.  Consequently, status information for the other components is not available.

     
    В чем может быть проблема ? почему не выполняется ничего ?

    Всего записей: 2890 | Зарегистр. 21-04-2008 | Отправлено: 00:25 04-05-2008
    PhoenixUA

    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    contrafack
    1. Просмотри файлик "%systemroot%\debug\usermode\userenv.log" на наличие каких-нибудь подозрительных записей.
    2.  

    Цитата:
     
    The following are common reasons why GPO settings are failing to apply
    to a user or computer (8-point check):
    1) Machine or user must be a domain member and authenticate with the
    domain
    2) DNS client configuration problem. Is the client's preferred DNS
    server setting pointing to a DNS server that handles the zone for AD domain
    3) User or machine is not in the container to which the GPO is linked.
    Run rsop.msc or gpresult.exe /v on the users workstation to check that the
    policy is actually being applied or not.
    4) User or machine is under a hierarchy which is blocking the GPO
    5) There is group filtering which is preventing the user or machine
    from reading the GPO
    6) The user is a member of a group which is being filtered from the
    effect of Group Policy. For example, the 'Authenticated Users' has "Deny"
    selected for 'Appy Group Policy'.
    7) If ICMP is blocked for administrative reasons, group policies will
    not apply. (Clients test the link speed by sending an IMCP packet of 2048
    bytes.)
    8) Check to see if the user is a member of too many groups.  
     

    Всего записей: 2150 | Зарегистр. 17-11-2005 | Отправлено: 01:10 04-05-2008
    contrafack

    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    удалил все GPO, заного делал, всем пользовательнм в расшаренную папку дал полный доступ, пробовал пинговать на DNS, DHCP - все ОК, все пинги нормлаьно.  
    А вот у клиента такой userenv.log файл, я много чего не понимаю, и кажется там много ошибок, если не все.
    Подробнее...
     
    Есть какие то еще мнение ?

    Всего записей: 2890 | Зарегистр. 21-04-2008 | Отправлено: 17:03 04-05-2008
    Lykym



    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    contrafack
    Начать надо с сервера, Imho 90% процентов проблема в нем. Смотри логи сервера, если все нормально проверь как работаю политики на самом севере, но не локальные а те что применяются к контроллеру домена.

    Всего записей: 105 | Зарегистр. 09-04-2004 | Отправлено: 04:28 05-05-2008
    contrafack

    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Lykym
    да политики КД нормально функционируют ! все точно работает для сервера.  
    мне кажется дела в "сети".

    Всего записей: 2890 | Зарегистр. 21-04-2008 | Отправлено: 14:56 05-05-2008
    Lykym



    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    У меня не большой парк машин всего 20 штук, но за три года работы все проблемы какие были, были по вине сервера. Если клиент вошел в домен то про клиента можно практически забыть, максимум я им только тестирую что то. Конечно в сети тоже может быть проблема, пробуй завести в домен другую машину, и посмотри что будет с ней. Ну и обычно еще на клиение надо проверить Dns, ну типа nslookup domen.ru, или nslookup контроллер.
     
    Добавлено:
    Можешь на сервере запустить dcdiag /q и выложить результат сюда, правда сначала нужно установить support tools, он находится на установочном диске от сервера.

    Всего записей: 105 | Зарегистр. 09-04-2004 | Отправлено: 16:30 05-05-2008
    contrafack

    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Lykym
    да вот какой-то интересный момент получается, пинги идут с клиента на сервер, даже по DNS именом, а вот с nslookup - тихо:
    вот лог:

    Цитата:
    C:\>ping contoso-server
     
    Pinging contoso-server [192.168.1.20] with 32 bytes of data:
     
    Reply from 192.168.1.20: bytes=32 time=15ms TTL=128
    Reply from 192.168.1.20: bytes=32 time<1ms TTL=128
    Reply from 192.168.1.20: bytes=32 time<1ms TTL=128
    Reply from 192.168.1.20: bytes=32 time=45ms TTL=128
     
    Ping statistics for 192.168.1.20:
        Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
    Approximate round trip times in milli-seconds:
        Minimum = 0ms, Maximum = 45ms, Average = 15ms
     
    C:\>nslookup
    *** Default servers are not available
    Default Server:  UnKnown
    Address:  127.0.0.1
     
    > contoso-server
    Server:  UnKnown
    Address:  127.0.0.1
     
    *** UnKnown can't find contoso-server: No response from server
    >

    имя сервера: contoso-server, контроллер-домена - CONTOSO.COM. В nslookup пробовал все варианты, но все без результатно. а в сервере, локально все нормлаьно определяется.
    Разве сервер тут виноват ?

    Всего записей: 2890 | Зарегистр. 21-04-2008 | Отправлено: 23:34 05-05-2008
    Lykym



    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    Разве сервер тут виноват ?

    Dns тут виноват. Как клиент ip получает? Статически или по dhcp? Если динамически смотри dhcp сервер, или переведи пока на статический. Если статически то какой dns задал, надеюсь доменный, или давай сюда лучше ipconfig /all.
    И еще кинь сюда dcdiag /q?

    Всего записей: 105 | Зарегистр. 09-04-2004 | Отправлено: 03:15 06-05-2008
    rkhodjaev



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
     Ребята в чем может быть проблема.В логах сервера есть такое сообщение:
     
     The nTFRSMember object cn=backup,cn=domain system volume (sysvol share),cn=file replication service,cn=system,dc=first,dc=TTU has a invalid value for the attribute frsComputerReference.
     Following is the summary of warnings and errors encountered by File Replication Service while polling the Domain Controller secondary.first.TTU for FRS replica set configuration information.  
      The nTFRSMember object cn=backup,cn=domain system volume (sysvol share),cn=file replication service,cn=system,dc=first,dc=TTU has a invalid value for the attribute frsComputerReference.
     
     Здесь backup,first и secondary являются DC.А DC backup давно был удален из списка.Где можно настраивать настройки репликации.Ну что бы не было ошибок в логах.

    Всего записей: 1002 | Зарегистр. 05-05-2006 | Отправлено: 07:36 06-05-2008
    Lykym



    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    rkhodjaev

    Цитата:
    Где можно настраивать настройки репликации.Ну что бы не было ошибок в логах.

    Смотреть тут - Active Directory Sites and Services.
     
     
    Добавлено:
    А если ты удалил контроллер просто из Ad, не понизив его в роли при этом, то дуй на сайт микрософта или google.ru , там есть статья как при помоши ntdsutils можно корекно его удалить.

    Всего записей: 105 | Зарегистр. 09-04-2004 | Отправлено: 08:39 06-05-2008
    rg2570

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Добрый день всем !
    Недавно поднимал тут вопрос об автоматическом завершении сеанса по постою в определенное время ... проблему решил включением в групповых политиках экранной заставки и подменой пути той самой заставки на bat-овский скрипт с logoff-ом ...но спустя месяц..куда-то это все пропало и компьютеры не блокируются вообще ... проверил rsop-ом все политики - все как я задавал ...в чем может быть проблема ???... bat-овский файл "вырубающий" компы лежит на сервере, где развернута AD и DNS в расшаренной папке "\\сервер\SYSVOL\мойДНС\scripts".

    Всего записей: 24 | Зарегистр. 11-12-2007 | Отправлено: 16:36 06-05-2008
    contrafack

    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Lykym
     
    мдааа, у меня серезные проблемы и мне кажется в самом DNS сервере.
    вот Ipconfig /all
    Подробнее...
     
    Вот в самом DNS сервере выполняю nslookup, и ...

    Цитата:
    DNS request timed out.
        timeout was 2 seconds.
    *** Can't find server name for address 192.168.1.20: Timed out
    Default Server:  UnKnown
    Address:  192.168.1.20
     

    И вот тоже не прошол dcdiag /q

    Цитата:
    C:\>dcdiag /q
             An Error Event occured.  EventID: 0x80001778
                Time Generated: 05/06/2008   14:47:29
                (Event String could not be retrieved)
             An Error Event occured.  EventID: 0xC0001B58
                Time Generated: 05/06/2008   14:48:55
                (Event String could not be retrieved)
             An Error Event occured.  EventID: 0xC0001B59
                Time Generated: 05/06/2008   14:48:55
                (Event String could not be retrieved)
             ......................... CONTOSO-SERVER failed test systemlog
     
    C:\>

     
    DNS вроде установлен нормально, установился автоматом, когда установил AD. Если честно - больше туда не лазил.

    Всего записей: 2890 | Зарегистр. 21-04-2008 | Отправлено: 16:50 06-05-2008
    Lykym



    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    contrafack

    Цитата:
    вот Ipconfig /all

    Ты или не весь ipconfig выложил или у тебя не задан dns -сервер в настройках ip.
    Сервер и клиент должны обрашаться к одному и томуже Dns серверу. Если у тебя dns на самом контроллере, это еще не значит что в настройках ip не надо задавать dns сервер(там надо задать свой же ip адрес), ну и клиент естесно должен на тот же dns сервер ходить.
     

    Цитата:
    И вот тоже не прошол dcdiag /q

    Тут ругается на системный журнал, что мол там ошибки, странно, а ты говорил что в логах все нормально.
     

    Всего записей: 105 | Зарегистр. 09-04-2004 | Отправлено: 07:25 07-05-2008
    Открыть новую тему     Написать ответ в эту тему

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Групповые политики (Group Policy, GPO): документация, ссылки

    Имя:
    Пароль:
    Сообщение

    Для вставки имени, кликните на нем.

    Опции сообщенияДобавить свою подпись
    Подписаться на получение ответов по e-mail
    Добавить тему в личные закладки
    Разрешить смайлики?
    Запретить коды


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.Board
    © Ru.Board 2000-2018

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru