#
Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Групповые политики (Group Policy, GPO): документация, ссылки

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123

Открыть новую тему     Написать ответ в эту тему

lynx



Advanced lynx
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Групповые политики (Group Policy)


  • Групповые политики Active Directory
  • Структура объекта групповой политик
  • http://www.gpanswers.com/  
  • Windows Server Group Policy Home

    См. также Общие вопросы по Active Directory (AD)

    FAQ

  • Не работают групповые политики
  • Безопасность
  • Восстановление политик
  • Групповые политики + Internet Explorer (IE)
  • Windows Vista & Windows Server 2008
  • Другие вопросы по групповым политикам

    Документация

  • Англоязычная:
  • Русскоязычная:


    Пост подготовлен: G14

  • Всего записей: 11712 | Зарегистр. 08-05-2001 | Отправлено: 19:33 13-12-2004 | Исправлено: Paromshick, 10:25 23-09-2016
    yazzi

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Подумал и решил выложить полную проблему может быть кто что подскажет. Существует домен. В домене есть рабочие станции и есть терминал. Некоторые пользователи работают на станциях, а некоторые на терминале. На терминале запрещено выполнение .exe скриптов. В групповой политики у пользователей было прописано "startup.exe". Проблема состоит в том чтобы на терминале не запускать логон скрипт. Я написал следующий скрипт  
    Option Explicit
    Dim WshNetwork
    Dim WshShell
    Dim Computer
    Set WshNetwork = WScript.CreateObject("WScript.Network")
    Set WshShell = WScript.CreateObject("WScript.Shell")
    Computer=WshNetwork.ComputerName
    If Computer<>"S915-TERMINAL" Then
      WshShell.Run "startup.exe"
    Else  
      WScript.Quit
    End If
    Но так как и выполнение скриптов на терминале для обычных пользователей запрешено он тоже не работает
    Отсюда и вопрос существует ли возможность запуска скрипта из под админа или системы. Или кто может подскажет другой вариант.

    Всего записей: 98 | Зарегистр. 14-08-2007 | Отправлено: 10:52 25-06-2008 | Исправлено: yazzi, 11:00 25-06-2008
    rkhodjaev



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    SHRIKE74

    Цитата:
    у меня прекрасно работает запрет на экзешник плеера в групповых политиках

     Вот не хочу через запрет экзешника,потому что если переименовать экзешник,то можно запросто запускать прогу.Есть другие варианты?просто когда-то слихал об ХЭШ-запрете,но ни разу не сделал.
     
     
    Добавлено:
     + у одного пользователя даже через экзешник не получается,хотя у себя и еще у одного запретилась.А одного польз. запускается

    Всего записей: 1002 | Зарегистр. 05-05-2006 | Отправлено: 13:54 25-06-2008
    russiauser

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Подскажите, плз, есть такая проблема - есть доменный пользователь, он пытается залогиниться на компьютер через удалйнный рабьочий стол, но система выдаёт ошибку: интерактивный вход в систему запрещён локальной политикой. Хотя он прописан на том компе, на который лезет, в группе удалённых пользователей

    Всего записей: 8 | Зарегистр. 26-06-2008 | Отправлено: 14:14 26-06-2008
    RoDeZiya



    NL25
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    russiauser
    Домен есть? Целевой компьютер не контроллер домена случайно?
     
    Конфигурация компьютера-конфигурация Windows-Параметры безопасности-Локальные политики-Назначение прав пользователей.
     
    Проверить значения параметров:
    -Разрешать вход через службы терминалов
    -Запретить вход в систему через службы терминалов
    -Локальный вход в систему
    -Отклонить локальный вход

    ----------
    Злой человек.

    Всего записей: 2238 | Зарегистр. 02-04-2006 | Отправлено: 14:37 26-06-2008 | Исправлено: RoDeZiya, 14:40 26-06-2008
    russiauser

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    PS ошибка вылезает при авторизавции
     
     
    Добавлено:
    Целевой компьютер, не контроллер, просто доменный комп. Все параметры проверил, там всё нормально, кроме "Разрешать вход в систему через службу терминалов", туда почему-то мне не даёт добавлять никого (логинился  на комп доменным администратором, пробовал даже локально на комп), но там уже были добавлены локальные админы, поэтому добавил пользователя в локальные админы, и после этого удалённо пустило.  
    PS  Этот параметр меняется только через политику? если да, то подскажите, плз, как, если нет, то подскажите почему

    Всего записей: 8 | Зарегистр. 26-06-2008 | Отправлено: 14:47 26-06-2008
    galakt_irk

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    russiauser - вот на предыдущей странице человек точно такой же вопрос задавал, даже со скриншетом такой же проблемы.. всё объяснили... RoDeZiya тоже же всё написал...
    Конфигурация компьютера-конфигурация Windows-Параметры безопасности-Локальные политики-Назначение прав пользователей это и есть групповая политика.
    А параметр "Разрешать вход в систему через службу терминалов" не доступен на локальной машине потому, что он перекрывается групповой политикой. Значчит заходи на сервер и меняй этот параметр как тебе надо.
    Т.е. на сервере в групповой политике надо настроить параметр
    конфигурация компьютера -- конфигурация Windows -- Параметры безопасности --  
    Локальные политики - Назначение прав пользователя -- разрешить вход в систему через службу терминалов

     
    Добавлено:
    rkhodjaev - если ставить запрет программы через Конфигурация компьютера - конфигурация Windows - параметры безопасности - политики ограниченного использования программ... то даже если будут этот exe файл переименовывать - то программа всё равно не запустится

    Всего записей: 57 | Зарегистр. 02-11-2005 | Отправлено: 06:39 27-06-2008 | Исправлено: galakt_irk, 06:40 27-06-2008
    contrafack

    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Требование:
    - пользователь должен иметь право на установку программу, локально управлять(создать-удалить) своими документами (и не только своими, просто все, что находится в папке МОИ ДОКУМЕНТЫ).  
    - пользователь НЕ должен иметь право на переконфигурацию сетевого интерфейса(TCP/IP), или менять сетевые конфигурации (домен, DNS суфикс, имя комьпютера).
     
    подскажите пожалуйся, как это организовать? вот создал OU, там уже создал все уч.записи, которые должны по требованию совпать! какую группу добавить ? и какие политики конфигурировать ?

    Всего записей: 2948 | Зарегистр. 21-04-2008 | Отправлено: 23:48 27-06-2008
    Sto50



    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Привет всем.Люди,у меня такая ситуация.Клиенты логинятся в домеин через впн.Как мне зделать так что бы перед входом в систему была опция логинется толко в домеин

    Всего записей: 36 | Зарегистр. 26-06-2005 | Отправлено: 17:31 28-06-2008
    russiauser

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    спасибо за помощь  
    PS впредь постараюсь сначала найти ответ на свой вопрос, прежде чем его задать, извиняюсь

    Всего записей: 8 | Зарегистр. 26-06-2008 | Отправлено: 12:42 29-06-2008
    russiauser

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    2 Sto50: создаёшь подключение, далее открываешь его - появляется окошко подключения с пользователем и паролем, далее жмёшь свойства ,переходишь на вкладку параметры и ставишь галочку "Включать домен входа в Windows", если я правильно понял вопрос, то вроде так

    Всего записей: 8 | Зарегистр. 26-06-2008 | Отправлено: 16:53 30-06-2008
    Sto50



    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    russiauserПосле ctrl alt del ,у тебя есть опция заходит локально или в domain.Так вот,мне надо что бы мои юзеры могли заходить толко в domain а не локально.При этом domain находится в другом офисе.И все юзеры конектятся через впн.

    Всего записей: 36 | Зарегистр. 26-06-2005 | Отправлено: 03:26 01-07-2008
    galakt_irk

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    ну а почему бы тогда не оставить только одного локального админа - а остальных пользователей локальных удалить. А пароль на локального админа никому не говорить.. ну и отключить гостя. Раз уж тебе надо чтобы никто локально не мог зайти.

    Всего записей: 57 | Зарегистр. 02-11-2005 | Отправлено: 03:33 01-07-2008
    Sto50



    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Спасибо за ответ,но мне надо подключать впн перед тем как юзер зашел в windows и убрать выбор  куда заходить,то-есть в domain или локально.

    Всего записей: 36 | Зарегистр. 26-06-2005 | Отправлено: 04:26 01-07-2008
    violant



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Подскажите как сделать так чтобы на клиентской машине в домене не накатывались определенные политики. Как правило это скрипты .js. Например скрипт удаления локальных доменных админов и добавления нужных для домена админов (скрипт есть в наличии). Надо чтобы в оснастке AD U&C показывало что накатываются гр пол, а на клиентской машине что-то сделать чтобы не накатывались (машина должна быть в домене).

    Всего записей: 360 | Зарегистр. 08-11-2006 | Отправлено: 10:28 03-07-2008 | Исправлено: violant, 10:31 03-07-2008
    0192406

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    подскажите плиз  
     
    политики ограниченного использования программ
     
    win 2003  
     
    не могу понять правильный синтаксис для пути реестра
     
    как дать доступ на ветку реестра полностью ?
     
    %hkey_local_machine\software\microsoft\% не работает
     

    Всего записей: 6 | Зарегистр. 09-07-2008 | Отправлено: 16:55 09-07-2008 | Исправлено: 0192406, 16:56 09-07-2008
    kazavo4ka



    Advanced Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    0192406

    Цитата:
    политики ограниченного использования программ


    Цитата:
    как дать доступ на ветку реестра полностью ?

    Управлять acl на реестр нужно не через политики ограниченного использования программ, а просто через групповые политики ("Конф.компьютера -> Конф. Windows -> Параметры безопасности -> Реестр"
     

    Всего записей: 1655 | Зарегистр. 17-02-2006 | Отправлено: 20:43 09-07-2008
    0192406

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    kazavo4ka
     
     
    спс.
     
    завтра посмотрю что получится...
     
     
    еще вдогонку вопрос...
     
    с запретом запуска программ проблем никаких нет, а вот с разрешением хуже... есть ли возможность сделать программу доступной для запуска под правами пользователя через GP.  
     
    теже самые политики ограниченного использования программ не спасают... через regmon выданы разрешения по реестру которые блокировались - толку ноль. локальный/доменный администратор могут запустить. domain users - нет.
     
     

    Всего записей: 6 | Зарегистр. 09-07-2008 | Отправлено: 00:05 10-07-2008
    docfbi



    Junior Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Народ посдкажиет как заставить через доменную политику машинам входить автоматом по определенным логинами паролем (сейчас прописываю в реесте DefaultDomainName и DefaultDomainName)  
     
    как это сделать через политику?

    Всего записей: 97 | Зарегистр. 28-08-2005 | Отправлено: 09:18 12-07-2008
    kazavo4ka



    Advanced Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    0192406

    Цитата:
    теже самые политики ограниченного использования программ не спасают... через regmon выданы разрешения по реестру которые блокировались - толку ноль. локальный/доменный администратор могут запустить. domain users - нет.

    Может быть программа требует не только наличия доступа к каким-либо ключам реестра, но также доступ на запись в определенные папки (например в какой-нибудь конфигурационный файл, который расположен в установочной папке программы)? Тоесть не помешало бы кроме regmon'а посмотреть filemon'ом.
    Что за программа, если не секрет?
     
    docfbi
    Ответ в соседнем топике вас не устроил?

    Всего записей: 1655 | Зарегистр. 17-02-2006 | Отправлено: 09:35 12-07-2008 | Исправлено: kazavo4ka, 09:49 12-07-2008
    vicpo



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Всем доброго времени суток!
    Может у кого есть полное описание политик в групповой политике, что -то типа:
    Отключить список каналов
    Объяснение:
    Этот параметр запрещает пользователям использовать Internet Explorer в качестве средства чтения каналов. Этот параметр не влияет на платформу RSS.
     
    Если данный параметр политики отключен, пользователи не могут получить доступ к списку каналов, расположенному в центре управления избранным.
     
    При отключенном или ненастроенном параметре политики пользователи будут иметь доступ к списку каналов, расположенному в центре управления избранным.  
     
    Если есть поделитесь пожалуйста.

    Всего записей: 295 | Зарегистр. 15-10-2005 | Отправлено: 08:38 14-07-2008
    Открыть новую тему     Написать ответ в эту тему

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Групповые политики (Group Policy, GPO): документация, ссылки

    Имя:
    Пароль:
    Сообщение

    Для вставки имени, кликните на нем.

    Опции сообщенияДобавить свою подпись
    Подписаться на получение ответов по e-mail
    Добавить тему в личные закладки
    Разрешить смайлики?
    Запретить коды


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.Board
    © Ru.Board 2000-2020

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru

    Рейтинг.ru