Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Групповые политики (Group Policy, GPO): документация, ссылки

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126

Открыть новую тему     Написать ответ в эту тему

lynx



Advanced lynx
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Групповые политики (Group Policy)


  • Групповые политики Active Directory
  • Структура объекта групповой политик
  • Group Policy Administrative Templates Catalog
  • http://www.gpanswers.com/  
  • Windows Server Group Policy Home

    См. также Общие вопросы по Active Directory (AD)

    FAQ

  • Не работают групповые политики
  • Безопасность
  • Восстановление политик
  • Групповые политики + Internet Explorer (IE)
  • Windows Vista & Windows Server 2008
  • Другие вопросы по групповым политикам

    Документация

  • Англоязычная:
  • Русскоязычная:


    Пост подготовлен: G14

  • Всего записей: 11712 | Зарегистр. 08-05-2001 | Отправлено: 19:33 13-12-2004 | Исправлено: Paromshick, 20:16 03-06-2020
    eminazeri



    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Помогите люди добрые. GPO становится не доступным. Ошибка при открытии.  
     
    The domain controller for Group Policy operations is not available. You may cancel this operation for this session or retry using one of the following domain controller choices:
    The one with the Operations Master token for the PDC emulator
     
    The one used by the Active Directory Snap-ins
     
    Use any available domain controller
     
    Перегружаю сервак, все нормально, но через некоторое время опять у юзверей начинаются проблемы, смотрю опять GPO Editor не доступен, красный крест. Пишут мол есть две причины
    1) File and Printer Sharing for Microsoft Networks is not enabled on the domain controller.
    2) The TCP/IP NetBIOS Helper service is disabled.
    Но с этим все нормально.  
    Че делать?

    Всего записей: 76 | Зарегистр. 02-05-2003 | Отправлено: 17:04 06-11-2008
    TCPIP

    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    eminazeri
    Первое, с чего надо начать - проверка DNS с помощью dcdiag. Выполните команду

    Цитата:
    dcdiag /test:dns

    Затем, включите - режим отладки групповых политик.
    Попробуйте также влючить режим отладки Active Directory.
    И посмотрите сюда.
    Приведите, пожалуйста, список остальных ошибок журналов Application и System.

    Всего записей: 4667 | Зарегистр. 31-01-2003 | Отправлено: 20:05 06-11-2008
    eminazeri



    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    <b>TCPIP</b> Посмотрите, что то с DNS не то, но что?
     
    C:\Program Files\Support Tools>dcdiag /test:dns
     
    Domain Controller Diagnosis
     
    Performing initial setup:
       Done gathering initial info.
     
    Doing initial required tests
     
       Testing server: Default-First-Site-Name\DC
          Starting test: Connectivity
             The host 74d5731f-9d88-4141-8bf1-7be7ca18fab3._msdcs.mydomain.com could n
    ot be resolved to an
             IP address.  Check the DNS server, DHCP, server name, etc
             Although the Guid DNS name
             (74d5731f-9d88-4141-8bf1-7be7ca18fab3._msdcs.mydomain.com) couldn't be
             resolved, the server name (dc.mydomain.com) resolved to the IP address
             (10.200.0.1) and was pingable.  Check that the IP address is
             registered correctly with the DNS server.
             ......................... DC failed test Connectivity
     
    Doing primary tests
     
       Testing server: Default-First-Site-Name\DC
     
    DNS Tests are running and not hung. Please wait a few minutes...
     
       Running partition tests on : ForestDnsZones
     
       Running partition tests on : DomainDnsZones
     
       Running partition tests on : Schema
     
       Running partition tests on : Configuration
     
       Running partition tests on : mydomain.com
     
       Running enterprise tests on : mydomain.com
          Starting test: DNS
             Test results for domain controllers:
     
                DC: dc.mydomain.com
                Domain: mydomain.com
     
     
                   TEST: Authentication (Auth)
                      Error: Authentication failed with specified credentials
     
                   TEST: Basic (Basc)
                      Error: No LDAP connectivity
                      Warning: adapter [00000007] HP NC7761 Gigabit Server Adapter h
    as invalid DNS server: 213.172.64.134 (<name unavailable>)
                      Warning: adapter [00000007] HP NC7761 Gigabit Server Adapter h
    as invalid DNS server: 213.172.64.130 (<name unavailable>)
                      Error: all DNS servers are invalid
                      Error: The A record for this DC was not found
     
                   TEST: Forwarders/Root hints (Forw)
                      Error: Root hints list has invalid root hint server: a.root-se
    rvers.net. (198.41.0.4)
                      Error: Root hints list has invalid root hint server: b.root-se
    rvers.net. (192.228.79.201)
                      Error: Root hints list has invalid root hint server: c.root-se
    rvers.net. (192.33.4.12)
                      Error: Root hints list has invalid root hint server: d.root-se
    rvers.net. (128.8.10.90)
                      Error: Root hints list has invalid root hint server: e.root-se
    rvers.net. (192.203.230.10)
                      Error: Root hints list has invalid root hint server: f.root-se
    rvers.net. (192.5.5.241)
                      Error: Root hints list has invalid root hint server: g.root-se
    rvers.net. (192.112.36.4)
                      Error: Root hints list has invalid root hint server: h.root-se
    rvers.net. (128.63.2.53)
                      Error: Root hints list has invalid root hint server: i.root-se
    rvers.net. (192.36.148.17)
                      Error: Root hints list has invalid root hint server: j.root-se
    rvers.net. (192.58.128.30)
                      Error: Root hints list has invalid root hint server: k.root-se
    rvers.net. (193.0.14.129)
                      Error: Root hints list has invalid root hint server: l.root-se
    rvers.net. (198.32.64.12)
                      Error: Root hints list has invalid root hint server: m.root-se
    rvers.net. (202.12.27.33)
     
                   TEST: Dynamic update (Dyn)
                      Error: Dynamic update is not enabled on the zone mydomain.com.
     
                TEST: Records registration (RReg)
                   Error: Record registrations cannot be found for all the network a
    dapters
     
             Summary of test results for DNS servers used by the above domain contro
    llers:
     
                DNS server: 128.63.2.53 (h.root-servers.net.)
                   1 test failure on this DNS server
                   This is not a valid DNS server. PTR record query for the 1.0.0.12
    7.in-addr.arpa. failed on the DNS server 128.63.2.53
     
                DNS server: 128.8.10.90 (d.root-servers.net.)
                   1 test failure on this DNS server
                   This is not a valid DNS server. PTR record query for the 1.0.0.12
    7.in-addr.arpa. failed on the DNS server 128.8.10.90
     
                DNS server: 192.112.36.4 (g.root-servers.net.)
                   1 test failure on this DNS server
                   This is not a valid DNS server. PTR record query for the 1.0.0.12
    7.in-addr.arpa. failed on the DNS server 192.112.36.4
     
                DNS server: 192.203.230.10 (e.root-servers.net.)
                   1 test failure on this DNS server
                   This is not a valid DNS server. PTR record query for the 1.0.0.12
    7.in-addr.arpa. failed on the DNS server 192.203.230.10
     
                DNS server: 192.228.79.201 (b.root-servers.net.)
                   1 test failure on this DNS server
                   This is not a valid DNS server. PTR record query for the 1.0.0.12
    7.in-addr.arpa. failed on the DNS server 192.228.79.201
     
                DNS server: 192.33.4.12 (c.root-servers.net.)
                   1 test failure on this DNS server
                   This is not a valid DNS server. PTR record query for the 1.0.0.12
    7.in-addr.arpa. failed on the DNS server 192.33.4.12
     
                DNS server: 192.36.148.17 (i.root-servers.net.)
                   1 test failure on this DNS server
                   This is not a valid DNS server. PTR record query for the 1.0.0.12
    7.in-addr.arpa. failed on the DNS server 192.36.148.17
     
                DNS server: 192.5.5.241 (f.root-servers.net.)
                   1 test failure on this DNS server
                   This is not a valid DNS server. PTR record query for the 1.0.0.12
    7.in-addr.arpa. failed on the DNS server 192.5.5.241
     
                DNS server: 192.58.128.30 (j.root-servers.net.)
                   1 test failure on this DNS server
                   This is not a valid DNS server. PTR record query for the 1.0.0.12
    7.in-addr.arpa. failed on the DNS server 192.58.128.30
     
                DNS server: 193.0.14.129 (k.root-servers.net.)
                   1 test failure on this DNS server
                   This is not a valid DNS server. PTR record query for the 1.0.0.12
    7.in-addr.arpa. failed on the DNS server 193.0.14.129
     
                DNS server: 198.32.64.12 (l.root-servers.net.)
                   1 test failure on this DNS server
                   This is not a valid DNS server. PTR record query for the 1.0.0.12
    7.in-addr.arpa. failed on the DNS server 198.32.64.12
     
                DNS server: 198.41.0.4 (a.root-servers.net.)
                   1 test failure on this DNS server
                   This is not a valid DNS server. PTR record query for the 1.0.0.12
    7.in-addr.arpa. failed on the DNS server 198.41.0.4
     
                DNS server: 202.12.27.33 (m.root-servers.net.)
                   1 test failure on this DNS server
                   This is not a valid DNS server. PTR record query for the 1.0.0.12
    7.in-addr.arpa. failed on the DNS server 202.12.27.33
     
                DNS server: 213.172.64.130 (<name unavailable>)
                   1 test failure on this DNS server
                   This is not a valid DNS server. PTR record query for the 1.0.0.12
    7.in-addr.arpa. failed on the DNS server 213.172.64.130
                   Name resolution is not functional. _ldap._tcp.mydomain.com. failed
    on the DNS server 213.172.64.130
     
                DNS server: 213.172.64.134 (<name unavailable>)
                   1 test failure on this DNS server
                   Name resolution is not functional. _ldap._tcp.mydomain.com. failed
    on the DNS server 213.172.64.134
     
             Summary of DNS test results:
     
                                                Auth Basc Forw Del  Dyn  RReg Ext
                   ________________________________________________________________
                Domain: mydomain.com
                   dc                           FAIL FAIL FAIL PASS FAIL FAIL n/a
     
             ......................... mydomain.com failed test DNS
     
     
    Добавлено:
    вот что в логе userenv.log
     
    USERENV(270.19c0) 18:18:28:859 GetGPOInfo:  Entering...
    USERENV(270.19c0) 18:18:28:859 GetGPOInfo:  Server connection established.
    USERENV(270.19c0) 18:18:28:859 GetGPOInfo:  Bound successfully.
    USERENV(270.19c0) 18:18:28:875 SearchDSObject:  Searching <OU=Domain Controllers,DC= mydomain,DC=org>
    USERENV(270.19c0) 18:18:28:875 SearchDSObject:  Found GPO(s):  < >
    USERENV(270.19c0) 18:18:28:875 SearchDSObject:  Searching <DC=mydomain,DC=org>
    USERENV(270.19c0) 18:18:28:875 SearchDSObject:  Found GPO(s):  <[LDAP://cn={AF2E93DF-661E-4BE8-BA4A-144A9EC72BAD},cn=policies,cn=system,DC= mydomain,DC=org;0]>
    USERENV(270.19c0) 18:18:28:875 ProcessGPO:  ==============================
    USERENV(270.19c0) 18:18:28:875 ProcessGPO:  Deferring search for <LDAP://cn={AF2E93DF-661E-4BE8-BA4A-144A9EC72BAD},cn=policies,cn=system,DC=o mydomain,DC=org>
    USERENV(270.19c0) 18:18:28:890 SearchDSObject:  Searching <CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mydomain,DC=org>
    USERENV(270.19c0) 18:18:28:890 SearchDSObject:  No GPO(s) for this object.
    USERENV(270.19c0) 18:18:28:890 EvaluateDeferredGPOs:  Searching for GPOs in cn=policies,cn=system,DC= mydomain,DC=org
    USERENV(270.19c0) 18:18:28:890 ProcessGPO:  ==============================
    USERENV(270.19c0) 18:18:28:890 ProcessGPO:  Searching <cn={AF2E93DF-661E-4BE8-BA4A-144A9EC72BAD},cn=policies,cn=system,DC=osi-az,DC=org>
    USERENV(270.19c0) 18:18:28:890 ProcessGPO:  Machine does not have access to the GPO and so will not be applied.
    USERENV(270.19c0) 18:18:28:890 ProcessGPO:  Found functionality version of:  2
    USERENV(270.19c0) 18:18:28:906 ProcessGPO:  Found file system path of:  <\\mydomain\SysVol\ mydomain\Policies\{AF2E93DF-661E-4BE8-BA4A-144A9EC72BAD}>
    USERENV(270.19c0) 18:18:28:906 ProcessGPO:  Sysvol access skipped because GPO is not getting applied.
    USERENV(270.19c0) 18:18:28:906 ProcessGPO:  Found common name of:  <{AF2E93DF-661E-4BE8-BA4A-144A9EC72BAD}>
    USERENV(270.19c0) 18:18:28:906 ProcessGPO:  Found display name of:  <OSI-AF>
    USERENV(270.19c0) 18:18:28:906 ProcessGPO:  Found machine version of:  GPC is 17, GPT is 65535
    USERENV(270.19c0) 18:18:28:906 ProcessGPO:  Found flags of:  0
    USERENV(270.19c0) 18:18:28:906 ProcessGPO:  Found extensions:  [{35378EAC-683F-11D2-A89A-00C04FBBCFA2}{0F6B957D-509E-11D1-A7CC-0000F87571E3}][{827D319E-6EAC-11D2-A4EA-00C04F79F83A}{803E14A0-B4FB-11D0-A0D0-00A0C90F574B}]
    USERENV(270.19c0) 18:18:28:906 ProcessGPO:  ==============================
    USERENV(270.19c0) 18:18:28:921 GetGPOInfo:  GPO Local Group Policy doesn't contain any data since the version number is 0.  It will be skipped.
    USERENV(270.19c0) 18:18:28:921 GetGPOInfo:  Leaving with 1
    USERENV(270.19c0) 18:18:28:921 GetGPOInfo:  ********************************
    USERENV(270.19c0) 18:18:28:921 ProcessGPOs: Logging Data for Target <DC>.
    USERENV(270.19c0) 18:18:28:921 ProcessGPOs: OpenThreadToken failed with error 1008, assuming thread is not impersonating

    Всего записей: 76 | Зарегистр. 02-05-2003 | Отправлено: 12:50 07-11-2008 | Исправлено: eminazeri, 18:29 07-11-2008
    eminazeri



    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Кажется добираюсь до истины...
    Собака где-то  тут зарыта.
     
    TEST: Dynamic update (Dyn)  
    Error: Dynamic update is not enabled on the zone mydomain.com.  
     
    Потому что когда с DC все в порядке, эта ошибка остается и кроме того, методом тыка пришел к выводу что после рестарта служб DHCP, Distributed File System, File Replication Service - все приходит в норму, до следующего раза...
    Что бы это могло быть? Может в DHCP address leases что то перемешалось?

    Всего записей: 76 | Зарегистр. 02-05-2003 | Отправлено: 19:16 07-11-2008
    TCPIP

    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    eminazeri
    Стоит начать с простого
    Проверьте с помощью оснастки DNS (dnsmgmt.msc), что DNS имени соответствует правильный IP. Проверка показывает, что у вас GUID не пингуется даже.
    До динамического обновления, вроде бы, еще далеко. Сорри, что отвечаю с перерывами. Начните с этого.
    Ну и это
    исправьте.
    По-мне так у вас в DNS написаны IP не тех адаптеров. Но я дааалеко не специалист, так что относитесь скептически.
    С групповыми политиками начинайте разбираться ТОЛЬКО после того, как пройдете тест DNS (то есть все будет PASS), ну, кроме, быть может, тестов корневых DNS, если вы сделали у себя внутренний DNS корневым (это, вроде бы, строго не рекомендуестся делать).
    От себя вопрос: после включения отладки журналирования GP, у вас в журнале Application появляются отладочные сообщения от Userenv? Их должно быть просто море (если я указал вам на правильную статью). Возможно, там есть еще какой-то ключ в реестре. Забыл... Возможно, такую отладку включает отладка AD.
     
    Последнее, используйте тег [more][/more] для помещения больших врезок текста.

    Всего записей: 4667 | Зарегистр. 31-01-2003 | Отправлено: 05:13 08-11-2008 | Исправлено: TCPIP, 05:34 08-11-2008
    av3nger

    Newbie
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    помогите пожалуйста. у меня есть групповая политика, которая выдает определенным пользователям определенный статический ip адрес. при этом, на серверах не должен меняться ip адрес. как правильно сделать так, чтобы при входе пользователя на сервер, ip адрес сервера не менялся.

    Всего записей: 21 | Зарегистр. 12-02-2005 | Отправлено: 11:48 25-11-2008
    intruder

    Newbie
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    на некоторых компах в домене не применяются политики.. вернее применяются но не все... политики Computer Configuration не применяются... привожу gpresult c компа на котором применяются
     
    --cut--
    Программа формирования отчета групповой политики операционной системы
    Microsoft (R) Windows (R) XP версии 2.0
    (С) Корпорация Майкрософт, 1981-2001
     
    Создано на 26.11.2008 в 12:41:28
     
     
     RSOP-результаты для xxx\cherednichenko на SEKRETAR : Режим журналирования
    ------------------------------------------------------------------------------
     
    Тип ОС:                     Microsoft Windows XP Professional
    Конфигурация ОС:            Рядовая рабочая станция
    Версия ОС:                  5.1.2600
    Имя домена:                 xxx
    Тип домена:                 Windows 2000
    Имя сайта:                  Default-First-Site-Name
    Перемещаемый профиль:                      
    Локальный профиль:          C:\Documents and Settings\cherednichenko
    Подключение по медленному каналу?:        Нет
     
     
    Конфигурация компьютера
    ------------------------
        CN=sekretar,OU=hosts,DC=xxx,DC=ru
        Последнее применение групповой политики:  26.11.2008 at 12:05:54
        Групповая политика была применена с:      actived.xxx.ru
        Порог медленной связи групповой политики: 500 kbps
     
        Примененные объекты групповой политики
        ---------------------------------------
            firewall off
            rdp
            startup
            Default Domain Policy
     
        Следующие политики GPO не были приняты, поскольку они отфильтрованы
        --------------------------------------------------------------------
            Политика локальной группы
                Фильтрация:  Не применяется (пусто)
     
        Компьютер является членом следующих групп безопасности:
        -------------------------------------------------------
            Администраторы
            Все
            Пользователи
            СЕТЬ
            Прошедшие проверку
            SEKRETAR$
            Компьютеры домена
             
     
    Конфигурация пользователя
    --------------------------
        CN=Кристина Чередниченко,OU=yyy,DC=xxx,DC=ru
        Последнее применение групповой политики:  26.11.2008 at 12:18:12
        Групповая политика была применена с:      actived.xxx.ru
        Порог медленной связи групповой политики: 500 kbps
     
        Примененные объекты групповой политики
        ---------------------------------------
            public drive o mapping
            Default Domain Policy
     
        Следующие политики GPO не были приняты, поскольку они отфильтрованы
        --------------------------------------------------------------------
            Политика локальной группы
                Фильтрация:  Не применяется (пусто)
     
            startup on users
                Фильтрация:  Не применяется (пусто)
     
        Пользователь является членом следующих групп безопасности:
        ----------------------------------------------------------
            Пользователи домена
            Все
            Администраторы
            Пользователи
            ИНТЕРАКТИВНЫЕ
            Прошедшие проверку
            ЛОКАЛЬНЫЕ
            xxx
    --cut--
     
    и вот с компа на котором не работает...
     
    --cut--
    Программа формирования отчета групповой политики операционной системы
    Microsoft (R) Windows (R) XP версии 2.0
    (С) Корпорация Майкрософт, 1981-2001
     
    Создано на 26.11.2008 в 12:47:04
     
     
     RSOP-результаты для xxx\aukin на AUKIN : Режим журналирования
    ------------------------------------------------------------------
     
    Тип ОС:                     Microsoft Windows XP Professional
    Конфигурация ОС:            Рядовая рабочая станция
    Версия ОС:                  5.1.2600
    Имя домена:                 xxx
    Тип домена:                 Windows 2000
    Имя сайта:                  Default-First-Site-Name
    Перемещаемый профиль:                      
    Локальный профиль:          C:\Documents and Settings\aukin
    Подключение по медленному каналу?:        Да
     
     
    Конфигурация компьютера
    ------------------------
        CN=AUKIN,OU=hosts,DC=xxx,DC=ru
        Последнее применение групповой политики:  26.11.2008 at 12:23:07
        Групповая политика была применена с:      Н/Д
        Порог медленной связи групповой политики: 500 kbps
     
        Примененные объекты групповой политики
        ---------------------------------------
            Н/Д
     
        Следующие политики GPO не были приняты, поскольку они отфильтрованы
        --------------------------------------------------------------------
            Политика локальной группы
                Фильтрация:  Не применяется (пусто)
     
        Компьютер является членом следующих групп безопасности:
        -------------------------------------------------------
            Администраторы
            Все
            Прошедшие проверку
             
     
    Конфигурация пользователя
    --------------------------
        CN=Алексей Аукин,OU=yyy,DC=xxx,DC=ru
        Последнее применение групповой политики:  26.11.2008 at 12:23:52
        Групповая политика была применена с:      actived.xxx.ru
        Порог медленной связи групповой политики: 500 kbps
     
        Примененные объекты групповой политики
        ---------------------------------------
            public drive o mapping
            Default Domain Policy
     
        Следующие политики GPO не были приняты, поскольку они отфильтрованы
        --------------------------------------------------------------------
            Политика локальной группы
                Фильтрация:  Не применяется (пусто)
     
            startup on users
                Фильтрация:  Не применяется (пусто)
     
        Пользователь является членом следующих групп безопасности:
        ----------------------------------------------------------
            Пользователи домена
            Все
            Администраторы
            Пользователи
            ИНТЕРАКТИВНЫЕ
            Прошедшие проверку
            ЛОКАЛЬНЫЕ
            xxx
    --cut--
     
    где копать...  спасибо
     
    Добавлено:
    очевидно что разница в
     
    на работающем
    Компьютер является членом следующих групп безопасности:  
        -------------------------------------------------------  
            Администраторы  
            Все  
            Пользователи  
            СЕТЬ  
            Прошедшие проверку  
            SEKRETAR$  
            Компьютеры домена  
     
    на неработающем
        Компьютер является членом следующих групп безопасности:  
        -------------------------------------------------------  
            Администраторы  
            Все  
            Прошедшие проверку  
     
    но по факту если заходить через  
    Active Directory Users and Computers и смотреть в свойствах учётки компа то написано что он член группы "Компьютеры домена"

    Всего записей: 25 | Зарегистр. 18-03-2006 | Отправлено: 13:07 26-11-2008
    formatBCE

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Господа, нужен хелп. Стоит задача: для юзверей в терминале (на тонких клиентах) на серваке настроить доступ к флешкам таким образом: чтобы копировать С ФЛЕШКИ можно было строго В ОПРЕДЕЛЕННУЮ ПАПКУ И ТОЛЬКО В НЕЕ, а НА флешку - с другой, тоже четко определенной папки, и только ИЗ НЕЕ. Я тут начальству сказал, что такое невозможно устроить средствами Винды, но, блин, во-первых, начальство не очень-то мне поверило, а во-вторых - самому интересно!... Может, кто что знает??
    Флеши-то я перенаправил с тонких клиентов на сервак, но могу сделать только одно - закрыть или открыть доступ на все папки на запись... ... Буду премного благодарен за любую инфу по этому поводу!

    Всего записей: 32 | Зарегистр. 16-09-2008 | Отправлено: 18:48 03-12-2008
    SeT



    Full Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    formatBCE с безопасностью в папках поиграй...

    Всего записей: 433 | Зарегистр. 05-02-2004 | Отправлено: 12:44 04-12-2008
    formatBCE

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Э.... Там ведь можно настроить только безопасность на уровне пользователя, а не УСТРОЙСТВ... Как я папке поставлю разрешение или запрет на запись со съемного устройства???

    Всего записей: 32 | Зарегистр. 16-09-2008 | Отправлено: 12:04 05-12-2008
    Aushkin

    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Ну так сделай группу, помести туда нужных юзеров. Оставь им доступной одну единственную папку с возможностью чтения записи для этой группы, на остальное кислород перекрой.
    Но вообще не очень понятно что и для чего именно тебе нужно. Немного подробнее требования распиши, что юзеры на серваке делают(1С?), зачем такие ограничения? Может быть можно будет сделать проще.

    Всего записей: 387 | Зарегистр. 06-05-2004 | Отправлено: 02:25 08-12-2008
    Vadim SVN

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Доброго дня.
     
    Вопрос по административным шаблонам.
    Как добавить в адм.шаблон значение ключа реестра, содержащее кавычки?
     
    Т.е. имеем ключ реестра со значением

    Код:
    "C:\Program Files\7-Zip\7zFM.exe\" "%1"
     
    Можно ли сделать подключение адм.шаблона, чтобы эти кавычки остались на месте?
    У меня получилось только с одинарными ...

    Код:
       PART Default EDITTEXT
       KEYNAME "Software\CLASSES\7-Zip.rar\shell\open\command"
       DEFAULT "'C:\Program Files\7-Zip\7zFM.exe\' '%1'"
       VALUENAME ""
       END PART

    Всего записей: 58 | Зарегистр. 25-04-2002 | Отправлено: 16:35 08-12-2008
    NektoAlexSKG

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Доброго времени суток...
    Совсем недавно начал заниматься администрированием AD, возникла такая проблема:
    При попытке вывести результирующую политику пользователя на КД выдается такая ошибка: "Оснастке RSoP не удалось перечислить пользователей на выбранном компьютере. Пользователь с указанным именем не существует"
     
    Пользователь точно он-лайн, работает под доменной учеткой.
    Причем для этого же пользователя формируется результирующая политика на его компьютер.
     
    Также нет проблем с формированием результирующей политики для администраторов домена.
     
    Информация по развернутому домену: 2 КД(основной и резерв), 2 DNS сервера, репликация проходит нормально...
     
    Подскажите пожалуйста, в чем здесь может быть проблема?

    Всего записей: 2 | Зарегистр. 10-12-2008 | Отправлено: 15:51 10-12-2008
    amstudia



    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Как применить политики для пользователя из дочернего домена?  
     
    У меня в домене есть OU  к которой привязана нужная политика, она действует для пользователей из этого OU при входе в мой домен (конкретно на терминал). Теперь появились юзвери из дочернего домена. Я создал группу локальную в этом же OU (с политикой) и в группу запихнул чужих пользователей дочернего домена. Результат -политика не применяется для группы с дочерними пользователями. Как разрешить применение политики.  
     
    Вариант добавить руками в безопасность политики разрешение на чтение и исполнение группу CHILD\domainusers не прокатывает. Вариант как то разрешать наследование из моего домена в дочерний (не нашел где) и вставить все эту политику - тоже нельзя - политика должна выполняться тока на моем терминале и для избранных юзверей дочернего домена (группа локальная у меня в домене).  
     
    Всем thnx заранее и большой как это решить...

    Всего записей: 30 | Зарегистр. 05-03-2007 | Отправлено: 14:01 22-12-2008
    Kovryga

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    приветствую!
     
    столкнулся с такой проблемкой:
    на клиенте добавляю в локальные администраторы доменного пользователя.
    после перезагрузки этот пользователь переносится в обыкновенные пользователи.
     
    скрипты дополнительные не висят.
    понимаю, что надо где-то копать в политиках
     
    подскажите, чего-нибудь?
     

    Всего записей: 34 | Зарегистр. 23-11-2005 | Отправлено: 08:17 24-12-2008
    rkhodjaev



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Kovryga
    тебе надо что бы у юзеров было лок.админовские права на конкретной машине?
    а что если добавишь его в группу Administrators, то есть
     Start->Programs->Admin Tools->Computer Managment->Подключаешься нужному компьютеру->Local Users and Groups->Groups-> Administrators->  добавляешь нужную учетную запись, который(е) будет(будут) иметь админовские права для этой машины.
     

    Всего записей: 1002 | Зарегистр. 05-05-2006 | Отправлено: 08:38 24-12-2008
    Kovryga

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    так как раз и делаю...
    после перезагрузки доменный пользователь удаляется из из группы Админов

    Всего записей: 34 | Зарегистр. 23-11-2005 | Отправлено: 10:45 24-12-2008
    amstudia



    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Уважаемые знатоки,  
     
    Все-таки как сделать политики для пользователей дочернего домена при логине на мой терминал?
     

    Цитата:
    Как применить политики для пользователя из дочернего домена?  
       
    У меня в домене есть OU  к которой привязана нужная политика, она действует для пользователей из этого OU при входе в мой домен (конкретно на терминал). Теперь появились юзвери из дочернего домена. Я создал группу локальную в этом же OU (с политикой) и в группу запихнул чужих пользователей дочернего домена. Результат -политика не применяется для группы с дочерними пользователями. Как разрешить применение политики.  
       
    Вариант добавить руками в безопасность политики разрешение на чтение и исполнение группу CHILD\domainusers не прокатывает. Вариант как то разрешать наследование из моего домена в дочерний (не нашел где) и вставить все эту политику - тоже нельзя - политика должна выполняться тока на моем терминале и для избранных юзверей дочернего домена (группа локальная у меня в домене).    
       
    Всем thnx заранее и большой как это решить...

     
     
    Добавлено:
    Kovryga
     
    Есть способ политиками назначать админские локальные права на машину какой то группе в AD (и выкидывать всех остальных, кто себя руками добавит вдруг).
     
    Доменная политика (в локальной нет такого), конф.комп - конф. виндовз - параметры безопасности -   группы с ограниченным доступом (папка) в ней создать группу administrators и в ее свойствах вписать нужную группу из AD (dom\admins; dom\programers).
     
    При применении политики из компа выкидываются все админы (локальная группа Администраторы) и назначаются вышеуказанные. при выкидывании машины из домена (отмены политики) + 2 перезагрузки - список админов вернется какой был раньше на этой машине - до создания политики.
     
    Чтобы некоторым юзверям (ноутбуков, руководству и тд.) эту политику не распространять - то в безопасности политики (всегда создавать новую политику а не править default) поставить запрет чтения и выполнения для группы BezPolotiki а в нее добавить нужные компы (для отмены).

    Всего записей: 30 | Зарегистр. 05-03-2007 | Отправлено: 12:04 24-12-2008
    PhoenixUA



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    http://wraxall.blogspot.com/2008/04/disabling-autoruninf-adm-file-for-group.html

    Код:
     
    CLASS MACHINE
     
    CATEGORY !!CustomIniFileMapping
     
    POLICY !!DisableAutorunInf
    KEYNAME "SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf"
    EXPLAIN !!DisableAutorunInf_Explain
    VALUENAME ""
    VALUEON "@SYS:DisableAutoRun"
    VALUEOFF DELETE
    END POLICY
     
    END CATEGORY
     
    [strings]
    CustomIniFileMapping="Custom Ini File Mapping"
    DisableAutorunInf="Map autorun.inf"
    DisableAutorunInf_Explain="Maps autorun.inf to DisableAutoRun"
     

    Всего записей: 2184 | Зарегистр. 17-11-2005 | Отправлено: 14:18 24-12-2008
    TCPIP

    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    amstudia

    Цитата:
    Как применить политики для пользователя из дочернего домена?

    Попробуйте сделать вот так, как советует Гай Теверовский.
    Иными словами, снимите флажок Block Policy Inheritance на объекте дочернего домена. (По умолчанию, наследование политик выключено на дочерних объектах)

    Всего записей: 4667 | Зарегистр. 31-01-2003 | Отправлено: 04:20 25-12-2008
    Открыть новую тему     Написать ответ в эту тему

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Групповые политики (Group Policy, GPO): документация, ссылки


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.B0ard
    © Ru.B0ard 2000-2024

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru