Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Групповые политики (Group Policy, GPO): документация, ссылки

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123

Открыть новую тему     Написать ответ в эту тему

lynx



Advanced lynx
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Групповые политики (Group Policy)


  • Групповые политики Active Directory
  • Структура объекта групповой политик
  • http://www.gpanswers.com/  
  • Windows Server Group Policy Home

    См. также Общие вопросы по Active Directory (AD)

    FAQ

  • Не работают групповые политики
  • Безопасность
  • Восстановление политик
  • Групповые политики + Internet Explorer (IE)
  • Windows Vista & Windows Server 2008
  • Другие вопросы по групповым политикам

    Документация

  • Англоязычная:
  • Русскоязычная:


    Пост подготовлен: G14

  • Всего записей: 11712 | Зарегистр. 08-05-2001 | Отправлено: 19:33 13-12-2004 | Исправлено: Paromshick, 10:25 23-09-2016
    veryom



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    koosok22

    Цитата:
    столкнулся с проблемой Far.exe разрешен в GPO но cmd.exe запрещен.

    Используйте Software Restriction Policies.

    ----------
    Как обойти административные ограничения

    Всего записей: 1242 | Зарегистр. 24-03-2006 | Отправлено: 15:38 17-09-2008
    koosok22

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    спасибо за наводку но можно чуть чуть по подробней что прописать нужно и где, я так понял что по умолчанию она отключена... я вкл но не очень стало понятно

    Всего записей: 87 | Зарегистр. 27-08-2006 | Отправлено: 16:54 17-09-2008 | Исправлено: koosok22, 16:56 17-09-2008
    veryom



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    koosok22

    Цитата:
    спасибо за наводку но можно чуть чуть по подробней что прописать нужно и где

    Читайте: Software Restriction Policies
     

    Цитата:
    я так понял что по умолчанию она отключена

    Отключена.
     

    Цитата:
    я вкл но не очень стало понятно  

    Лучше наоборот: стало понятно - включил.
     
      Конкретно по вашему примеру.
    1. Запретите запуск по-умолчанию.
    2. Разрешите пути %SystemRoot% и %ProgramFiles%.
    3. Запретите по хешу запуск cmd.exe.
    4. Для локальных администраторов можете разрешить запуск программ без ограничений (естественно, пользователи ни в коем случае не должны работать ни под административной учетной записью, ни под Опытным пользователем - только под ограниченной учетной записью).
    5. Все программы нужно ставить в %ProgramFiles%. Для идиотских программ, которые не могут работать в %ProgramFiles% (в основном всякие программки от госструктур), а хотят только в C:\ - разрешаем по хешу или по пути.

    После этого, ограниченный пользователь не сможет запускать cmd.exe, а также и многое другое, на что у вас хватит фантазии.

    ----------
    Как обойти административные ограничения

    Всего записей: 1242 | Зарегистр. 24-03-2006 | Отправлено: 19:32 17-09-2008
    koosok22

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    veryom
     
    в Additinal rules сделал  
    1 %SystemRoot% unrestricted
    2 %ProgramFiles% unrestricted
    3 C:\ unrestricted
    4 правило по хешу 53aeeaf4e7f12b8e91b3a474cafb4115:395776:32771 disallowed
    security level
    Software will not run, regardless of the access rights of the user

    но что то эффекта нет может что то пропустил?

    Всего записей: 87 | Зарегистр. 27-08-2006 | Отправлено: 12:31 18-09-2008
    veryom



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    koosok22
    1. Обратите внимание на наследование данного GPO. Подопытный пользователь или компьютер (если вы настраиваете SRP на уровне компьютера) подпадает под данный GPO?
    2. Не входит ли подопытный пользователь в группу администраторов при условии, что вы разрешили администраторам выполнение ПО?
    3. Хеш вычисляли по cmd.exe на станции назначения или на сервере? Нужен хеш того файла, где будут применяться политики, т.е. хеш cmd.exe с рабочей станции. Этот хеш можно вычислить при помощи оснастки локального GPO gpedit.msc.


    ----------
    Как обойти административные ограничения

    Всего записей: 1242 | Зарегистр. 24-03-2006 | Отправлено: 13:05 18-09-2008
    koosok22

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    veryom
    1 я создал новую политику и в ней сделал все вышеперечисленное затем данному узеру поставил применять эту политику
    2 нет он простой пользователь
    3 Хеш вычислял и на сервере и на лок машине (у меня она VMWare незнаю имеет это значение)

    Всего записей: 87 | Зарегистр. 27-08-2006 | Отправлено: 14:13 18-09-2008
    veryom



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    koosok22

    Цитата:
    я создал новую политику и в ней сделал все вышеперечисленное затем данному узеру поставил применять эту политику  

    А SRP где настраивали? В данном случае нужно в ветке User configuration.

    ----------
    Как обойти административные ограничения

    Всего записей: 1242 | Зарегистр. 24-03-2006 | Отправлено: 14:19 18-09-2008
    koosok22

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    veryom

    Цитата:
    А SRP где настраивали? В данном случае нужно в ветке User configuration

    дурочина простофиля я (( Вы правы...
    а подскажите а разве 1 и 2 не являются что только оттуда можно запускать проги?  
    если есть папка на раб столе как запретить запуск exe любых ?

    Всего записей: 87 | Зарегистр. 27-08-2006 | Отправлено: 14:49 18-09-2008 | Исправлено: koosok22, 15:00 18-09-2008
    veryom



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    koosok22

    Цитата:
    а подскажите а разве 1 и 2 не являются что только оттуда можно запускать проги?  

    Не понял вопроса.
     

    Цитата:
    если есть пака на раб столе как запретить запуск exe любых ?  

    Запретить запуск всех .exe из папки? Путь до папки - запрет.
     
    Но лучше всего сделать так: переустановить все программы в правильное место (%ProgramFiles%) и запретить запуск по-умолчанию. У пользователя нет прав на запись в %SystemRoot% и %ProgramFiles%, а из все других мест запуск запрещен. Никакая бяка сквозь такую систему не пролезет, ни с флешек, ни с дискет, ниоткуда.

    ----------
    Как обойти административные ограничения

    Всего записей: 1242 | Зарегистр. 24-03-2006 | Отправлено: 15:07 18-09-2008
    snayper7



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    подскажите плз.
    как запретить открытие учетки на 2-ом компе? а то парятся (не знаю как) и открывают свою учетку на другом компе - как следствие создается новая чистая учетка (

    Всего записей: 1088 | Зарегистр. 18-07-2006 | Отправлено: 15:18 18-09-2008 | Исправлено: snayper7, 15:21 18-09-2008
    koosok22

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    veryom

    Цитата:
    запретить запуск по-умолчанию

    я вот это не понял где  
     

    Всего записей: 87 | Зарегистр. 27-08-2006 | Отправлено: 15:44 18-09-2008
    TokImota



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    snayper7
    использовать учетную запись только на 1 компе ? это делается  через свойства учетки в Ад, (вкладка Учетная запись- вход на..)

    Всего записей: 713 | Зарегистр. 21-08-2007 | Отправлено: 15:59 18-09-2008
    veryom



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    koosok22

    Цитата:
    я вот это не понял где


    Цитата:
    security level
    Software will not run, regardless of the access rights of the user


    ----------
    Как обойти административные ограничения

    Всего записей: 1242 | Зарегистр. 24-03-2006 | Отправлено: 16:01 18-09-2008
    gap5



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Планирую на некоторое время вывезти часть компов (членов домена) за пределы локальной сети, собрал роутер, который по VPN будет цепляться к локалке, но т.к. канал в том месте, где будут находиться эти компы узковат (1,5мбита) - то неплохо было бы умерить аппетиты всяких апдейтов-рефрешей групповых политик, т.е. выставить все по минимуму - помнится в GPO были какие-то настройки, отвечающие за работу клиентов через dial-up?

    Всего записей: 769 | Зарегистр. 30-05-2006 | Отправлено: 16:05 18-09-2008
    veryom



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    gap5

    Цитата:
    канал в том месте, где будут находиться эти компы узковат (1,5мбита)

    Если вы не будете устанавливать ПО, для фоновых обновлений должно хватить. Объем трафика там достаточно мал, больше будет уходить на регистрацию компьютеров и пользователей в домене. Лучше, конечно, выделить контроллер домена и организовать сайт.
     

    Цитата:
    помнится в GPO были какие-то настройки, отвечающие за работу клиентов через dial-up?

    Core Group Policy сам определит, когда связь плохая (перед обновлением политик проверяется связь с контроллером домена, в Windows XP посылается ICMP запрос).

    ----------
    Как обойти административные ограничения

    Всего записей: 1242 | Зарегистр. 24-03-2006 | Отправлено: 16:25 18-09-2008
    gap5



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    veryom
    При каком значении мс он признает связь плохой?

    Всего записей: 769 | Зарегистр. 30-05-2006 | Отправлено: 20:48 18-09-2008
    veryom



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    gap5

    Цитата:
    При каком значении мс он признает связь плохой?

    Порог составляет 500 Kb/s. Если скорость меньше, то связь признается плохой и определенные CSE (Client-Side Extensions) не выполняются, а именно те, которые отвечают за установку ПО, перенаправление папок и настройки IE. Литература: Optimizing Group Policy Performance.

    ----------
    Как обойти административные ограничения

    Всего записей: 1242 | Зарегистр. 24-03-2006 | Отправлено: 21:55 18-09-2008
    kapiton1

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Растолкуйте мне пожалуйста, политики к компу в домене применяются всякий раз, когда он их получает или самый первый раз, а затем только при изменении каких-либо значений в политике? А то у нас в политиках есть пунктик, где некоторые юзеры прописаны локальными админами на компах в домене. Так вот, чем больше времени проходит, тем меньше компов становится с этими юзерами в локальных администраторах. Такое ощущение создаётся, что если пользователь компа сносит из лок админов этих юзеров, то потом они не восстанавливаются. То же самое относится к режимам запуска сервисов, которые раздаются через политики домена. Или здесь надо копать в другом направлении.

    Всего записей: 138 | Зарегистр. 20-07-2005 | Отправлено: 18:48 19-09-2008
    veryom



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    kapiton1

    Цитата:
    Растолкуйте мне пожалуйста, политики к компу в домене применяются всякий раз, когда он их получает или самый первый раз, а затем только при изменении каких-либо значений в политике?

    Если в политиках не было изменений, то они НЕ применяются в процессе загрузки или логона и при фоновом обновлении. Исключение составляют политики безопасности, в которые входят и "Группы с ограниченным доступом" - каждые 16 часов они применяются принудительно, не зависимо от того, были ли изменения в политиках или нет. Т.е. через 16 часов членство в группе локальных администраторов у вас должно восстановиться. Быть может причиной невосстановления являются пользователи, которые периодически удаляют "лишние" учетки.
     

    Цитата:
    Такое ощущение создаётся, что если пользователь компа сносит из лок админов этих юзеров, то потом они не восстанавливаются.

    Применение групповых политик подразумевает работу пользователей под ограниченными учетными записями. Если пользователь работает под администратором или под Опытным пользователем, то групповые политики теряют всякий смысл. Пользователь может их просто отменить, способов на то множество. Поэтому, если вы хотите нормальной работы - соблюдайте элементарные правила гигиены безопасности.

    ----------
    Как обойти административные ограничения

    Всего записей: 1242 | Зарегистр. 24-03-2006 | Отправлено: 19:54 19-09-2008
    Tempter



    Tracker Mod
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    У пользователя на компьютере не применяются политики домена. Не ответите - почему? Не хочет пользователь (компьютер) через WSUS обновляться и всё тут. Раньше это было у всех пользователей в домене. После правки GPO  (ограничение на установку программ я снял), у всех всё стало нормально, подцепились все к WSUS и обновляются. А один - так и не хочет! Где копать?

    ----------
    Intel® Core™ i7 950 3,07 GHz/12Gb RAM/GF GTX 680 /LG 24EA53VQ-P/Windows 10 Корпоративная x64

    Всего записей: 3993 | Зарегистр. 21-06-2006 | Отправлено: 16:26 23-09-2008
    Открыть новую тему     Написать ответ в эту тему

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Групповые политики (Group Policy, GPO): документация, ссылки

    Имя:
    Пароль:
    Сообщение

    Для вставки имени, кликните на нем.

    Опции сообщенияДобавить свою подпись
    Подписаться на получение ответов по e-mail
    Добавить тему в личные закладки
    Разрешить смайлики?
    Запретить коды


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.Board
    © Ru.Board 2000-2018

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru