Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Групповые политики (Group Policy, GPO): документация, ссылки

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126

Открыть новую тему     Написать ответ в эту тему

lynx



Advanced lynx
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Групповые политики (Group Policy)


  • Групповые политики Active Directory
  • Структура объекта групповой политик
  • Group Policy Administrative Templates Catalog
  • http://www.gpanswers.com/  
  • Windows Server Group Policy Home

    См. также Общие вопросы по Active Directory (AD)

    FAQ

  • Не работают групповые политики
  • Безопасность
  • Восстановление политик
  • Групповые политики + Internet Explorer (IE)
  • Windows Vista & Windows Server 2008
  • Другие вопросы по групповым политикам

    Документация

  • Англоязычная:
  • Русскоязычная:


    Пост подготовлен: G14

  • Всего записей: 11712 | Зарегистр. 08-05-2001 | Отправлено: 19:33 13-12-2004 | Исправлено: Paromshick, 20:16 03-06-2020
    amstudia



    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Решение было найдено, отвечу сам себе, может пригодится...
     

    Цитата:
    amstudia  
    Цитата:Как применить политики для пользователя из дочернего домена?  

     
    Итак,  
     
    Задача: Есть сервер терминалов, есть дочерние домены или домены с доверительными отношениями.  
    Есть политики которые ограничивают некоторых пользователей терминала.  
     
    Когда эти ограниченные пользователи в моем корневом домене - к ним применяется политика их OU и все и так хорошо. Воросы начинаются когда ограниченные пользователи в других доменах - к ним политику для терминала надо применять по другому, а именно:
     
    Инструментарий: GPMC.msi (скачивается с MS, требует framework 1.1, можно ставить на XP) и AD - Users&Comp.
     
    Описание: Чтобы применить политики для пользователей дочерних/доверительных доменов, политику надо применять к самому серверу терминалов и включить в ней замыкание (то есть применение блока конф.польз. политики ко всем пользователям в рамках этого выбранного компа).
     
     
    Порядок работ:
     
    1. Создать OU Terminal Servers (с нему будем крутить политики).
    2. Скопировать имеющиеся политики с ограничениями - нужна копия т.к. мы будем у политик менять списки доступа ACL по отношению к тем что уже у нас были раньше.
    Копируем политики через gpmc.msc - контейнер Group Policy Objects - на политику пр.кн. копировать - на этот контейнер Group вставить. Скопированная политика вставится как copy of... и ее можно переименовать F2.
    3. Скопированные политики применяем к OU (в User&Comp - OU - пр.кн.свойства - гр.политика - добавить - все - выбираем наши.
    4. В политиках которые мы скопировали и прикрутили выше включаем замыкание (конф.комп. – адм.шаблоны – система – груп.политики. – режим обработки замыкания - включить).
    5. Настраиваем ACL для применения политик, здесь самое интересное! Можно настраивать через User&Comp - OU - пр.кн.свойства - гр.политика - свойства - безопасность, но значительно нагляднее через GPMC - правда через GPMC можно только добавлять группы на чтение/применение, но нельзя ставить запрет - а через безопасность можно запрет на политику.
    6. В этот OU запихиваем сервер терминалов и перегружаем его.
    Все!
     
    Про 5й пункт и тонкости.
     
    В корневом домене создадим локальную группу Chuzhie_Users, в нее помещаем пользователей из дочернего домена. В корневом домене создаем группу Nashi_Users с супер-доверенными юзверями - для них не будет ограничений, либо это будет domain users вся.
     
    За выполнение политики отвечают две галки в безопасности политики 1) чтение 2) применение. Они всегда и на разрешение политики и на запрет должны ставиться в паре, иначе что-то может не срабатывать (то есть группе (а) разрешено чтение+применение, группе (б) запрещено чтение+применение конкретной политики).
     
    Дальше два варианта:
     
    1) Мы всем пользователям всех доменов (группа прошедшие проверку) ставим применение ограничивающей политики и тогда любой зашедший на терминал видит все обрезанное - что хорошо. И уже потом нужным группам ставим запрет на чтение+применение политики то есть делаем исключения - например группе (Nashi_Users = запрет чтение+применение и тогда на них политика не будет распространяться - они будут видеть нормальный терминал).
     
    2) Обратный вариант: Мы убираем у политики разрешение на Прошедшие проверку вообще (GPMC). Ставим применение политики для Chuzhie_Users и тогда только у них будет обрезанный терминал, у всех остальных нормальный.
     
    3) И теперь тонкость - сам сервер терминалов тоже должен считывать политику (а как же!). Поэтому создаем еще группу Term_SRVs в нее закидываем комп сервер терминалов (компы тоже можно в группы добавлять - кнопка типы объектов при добавлении в группу - и этой группе ставим чтение / применение. В случае 1) это не нужно - там прошедшие проверку уже читают политику. В случае 2) без этого не работает!
     
    PS.
    To TCPIP

    Цитата:
    Block Policy Inheritance  
    к сожалению не подошел, наследование у дочернего включено (кажется по умолчанию), только политика применялась к OU (дочерний домен с ней не пересекается).

    Всего записей: 30 | Зарегистр. 05-03-2007 | Отправлено: 18:19 25-12-2008
    TCPIP

    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    amstudia

    Цитата:
    к сожалению не подошел, наследование у дочернего включено (кажется по умолчанию)

    Ух-ты. Ясно. Спасибо что ответили. Очень интересно!

    Всего записей: 4667 | Зарегистр. 31-01-2003 | Отправлено: 02:20 27-12-2008
    shadyflash

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Добрый день. Ситуация такая:
    Если пользователь не состоит в группе администраторов, но ему были добавлены роли администратора, то после перезагрузки сервера эта роль убивается. Как сделать, чтоб этого не происходило. Спасибо!)

    Всего записей: 3 | Зарегистр. 26-12-2008 | Отправлено: 10:33 29-12-2008
    SHRIKE74



    Advanced Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    shadyflash есть политики вышестоящие или ниже?

    Всего записей: 983 | Зарегистр. 10-09-2006 | Отправлено: 16:16 29-12-2008
    Karlik

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Может кто сталкивался с такой проблемой. Хотелось бы реализовать такую схему:
    - при входе на контроллер домена использовать логин Domenadmin
    - при входе на компьютер пользователя использовать логин Localadmin
    Для тестирования в Vmware создал контроллер домена и клиентский комп под ХР. Создал сеть виртуальную (работает, комп видит контроллер, получает с него IP c DHCP). Прочитал это. Далее сделал следующее:
    - для GPO домена в ветке Конфигурация компьютера-Конфигурация Windows-Параметры безопасности-Локальные политики-Параметры безопасности для Учетные записи: переименовывать учетную запись администратора задал Domenadmin. Учетные записи: состояние учетной записи "Администратор" поставил включено
    - создал OU
    - для GPO OU сделал так же, как и для GPO домена, только здесь Учетные записи: переименовывать учетную запись администратора задал Localadmin
    - ввел клиентский комп в домен и переместил его в созданное OU, где Учетные записи: переименовывать учетную запись администратора задано Localadmin
      Вот далее и непонятки. Если захожу на контроллер, то логин Domenadmin. При входе на клиентский комп должен (ИМХО) срабатывать логин Localadmin. Но этого не происходит, работает логин Domenadmin. Это вот и непонятно мне. Может что не так сделал. Или же эта ветка GPO отрабатывает только на уровне домена. Хотя везде сказано, что такое ограничение наложено на ветку Политики учетных записей.

    Всего записей: 79 | Зарегистр. 22-03-2003 | Отправлено: 18:04 29-12-2008 | Исправлено: Karlik, 18:12 29-12-2008
    lavren



    Full Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Есть домен с АД, и есть несколько админов в штате фирмы. Нужно сделать так чтобы только некоторые с админов могли изменять групповую политику, тоесть: как запретить некоторым администраторам изменять групповую политику?

    Всего записей: 545 | Зарегистр. 29-05-2007 | Отправлено: 14:48 08-01-2009
    veryom



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    lavren
    DACL

    Всего записей: 1242 | Зарегистр. 24-03-2006 | Отправлено: 16:37 08-01-2009
    lavren



    Full Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    veryom

    Цитата:
    DACL

    А можно по подробнее? Что, как и после чего сделать?

    Всего записей: 545 | Зарегистр. 29-05-2007 | Отправлено: 17:19 08-01-2009
    TCPIP

    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    lavren

    Цитата:
    А можно по подробнее? Что, как и после чего сделать?

    Загрузите и установите Microsoft Group Policy Management Console SP1 на свой сервер.
    А теперь делегируйте права на редактирование/применение/чтение групповой политики, выставив соответствующий Discretionary Access Control List. Тем самым, вы установите, кто из ваших администраторов сможет выполнять конкретные действия с конктретными групповыми политиками или контейнерами Active Directory.
     
    Karlik
    Скорее всего, я не до конца понял, что вы хотите, но, возможно, вам стоит попробовать воспользоваться техникой фильтрации пользователей (и локальных администраторов в well-known SID BUILTIN\Administrators) с помощью функционала Restricted group.
    Читайте как это можно сделать в следующей статье: Adding a Global Group to the Local Administrators Group
    Кроме того, раз вы хотите переименовать ваших администраторов, читайте статью Securing the Local Administrators Group on Every Desktop. Другое дело этого не рекомендуется делать. По простой причине. Бессмысленно. Имя меняется, а идентификатор, по которому собственно и происходит идентификация (SID) - остается прежним. Он же well-known SID.
    Если вы все же хотите переименовать администратора, вот еще статьи.
    Protecting the Administrator Account
    HOW TO: Rename the Administrator and Guest Account in Windows Server 2003
    Rename The Administrator Account
    Вот неплохой треп на эту тему.
    А вот, что Микрософт говорит по поводу переименовываания учетных записей:

    Цитата:
    We have stopped recommending renaming the account for some time now.  
    Security by obscurity is never a good idea. If someone wants to find your  
    admin accounts, they will, no matter what you name them

    В списке Baseline Server Hardening процедура переименования учетных записей, тем не менее, все еще присутствует...
    Вот неплохая статья по защите сервера: 19 Smart Tips for Securing Active Directory
    Вот неплохой пример, объясняющий почему переименовывание учетной записи больше запутывает вас самих, нежели защищает домен. Смотрите, как просто выяснить, была ли переименована учетная запись How Can I Determine if the Local Administrator Account has been Renamed on a Computer?.

    Всего записей: 4667 | Зарегистр. 31-01-2003 | Отправлено: 19:28 08-01-2009 | Исправлено: TCPIP, 20:03 08-01-2009
    koosok22

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    подскажи после моих урезок у юзеров не отображаются системные в шрифты в разных программах http://s46.radikal.ru/i113/0901/76/0497c0910cfc.jpg

    Всего записей: 89 | Зарегистр. 27-08-2006 | Отправлено: 11:56 14-01-2009
    IeugeniyI

    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    тупой вопрос........
    А где находяться эти групповые политики....... как их найти если есть домен ???
    Вот локально знаю - набрал gpedit.msc  и вот все политики локальные.....
    А де это все находиться ели есть домен ???

    Всего записей: 262 | Зарегистр. 08-03-2006 | Отправлено: 11:22 16-01-2009
    koosok22

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    тупой вопрос........
    А где находяться эти групповые политики....... как их найти если есть домен ???
    Вот локально знаю - набрал gpedit.msc  и вот все политики локальные.....
    А де это все находиться ели есть домен ???  

    Active Directory User and Computers - Название домена - Properties - Group Policy

    Всего записей: 89 | Зарегистр. 27-08-2006 | Отправлено: 12:06 16-01-2009
    IeugeniyI

    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    koosok22 ок.......    
    еще.....
    почему если смотрю групповые политики у себя на компьютере ( установии набор Административе тулс для свызи с сервером) то они видны, могу что то глянуть..
    А если клацну на сервере на домене, то показует совершенно другое окно с какиме то вкладками Linked Group Policy           Group Policy Inheritance      Delegation
     
     
    в чем отличие

    Всего записей: 262 | Зарегистр. 08-03-2006 | Отправлено: 13:16 16-01-2009
    koosok22

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    IeugeniyI
    я не знаю не пользуюсь утилитами так что не подскажу

    Всего записей: 89 | Зарегистр. 27-08-2006 | Отправлено: 16:28 19-01-2009
    ixc

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    домен, сервак w2k3, клиентские машины - winxp. поднят dfs. включены политики ограниченного использования программ - по умолчанию все запрещено, есть список разрешенных прог. на локальном диске политики ограничения работают на ура. при попытках разрешить прогу на сетевом  (dfs) диске - не работает.
    т.е. например правило ""z:\Правовые системы\Гарант\" - неограничено" игнорируется, блочит по дефолтной политике. пробывал создавать англ имена папок - то же самое.  
    работает только если указать ""Z:\" - неограничено" но мне такое не надо . подскажите где затык плз.
     
    ----------
    неактуально более.

    Всего записей: 25 | Зарегистр. 11-06-2008 | Отправлено: 07:04 20-01-2009 | Исправлено: ixc, 05:38 22-01-2009
    bort2

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Подскажите, мож GPO  такое может...
    Нужно в проводнике принудительно при входе в домен делать вид файлов с сортировкой по Date Modified
    Может ключик какой есть, меняющий дефолтный вид сортировки?
    А так получается сортировка для каждой папки хранится здесь
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\Bags\1 и далее\Shell\Inherit]
    "Sort"=dword:00000003

    Всего записей: 92 | Зарегистр. 31-03-2005 | Отправлено: 01:06 23-01-2009
    ShriEkeR



    Moderator
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Policy Template File Editor

    ----------
    Absit invidia verbo

    Всего записей: 6382 | Зарегистр. 27-09-2004 | Отправлено: 12:58 23-01-2009
    qrock



    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Товарищи, выручайте
    На выходных обновлял Win2000 до Win2003. После обновления вылез BSOD, решил отключением сторонних драйверов. Сегодня обнаружил новую проблему: отчистилась папка SYSVOL (стала полностью пустая), хотя ссылки на соответствующие политики остались. Создал новые политики, но старые не могу удалить, т.к. выдается ошибка file not found (в event viewer по этому поводу сплошные красные кресты). Пробовал ручками создать в папке SYSVOL нужные папки, при удалении стала вылазить новая ошибка: "server is unwilling to process request".
    Как же избавиться  от ссылок на старые GPO, реестр вручную чистить или есть более "нежные" способы?

    Всего записей: 128 | Зарегистр. 19-01-2005 | Отправлено: 10:55 26-01-2009
    BULLDOG



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    qrock
    Нужны сообщения в красных крестах

    Всего записей: 387 | Зарегистр. 29-08-2003 | Отправлено: 15:57 26-01-2009
    qrock



    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    BULLDOG
    Спасибо, за ответ.
    Там были сообщения, что не найден скрипт, политика и т.п. Проблему решил самостоятельно с помощью двух чудных команд:  
    dcgpofix /target:Domain
    dcgpofix /target:DC
     
    вдруг кому-то тоже пригодится

    Всего записей: 128 | Зарегистр. 19-01-2005 | Отправлено: 07:14 27-01-2009
    Открыть новую тему     Написать ответ в эту тему

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Групповые политики (Group Policy, GPO): документация, ссылки


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.B0ard
    © Ru.B0ard 2000-2024

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru