» Групповые политики (Group Policy, GPO): документация, ссылки

Цитата:

соответственно ходить и на каждой тачке сносить шары - совершенно нет желания никакова.

1 вариант:
net share <имя> /delete

Придется немного потрудится и пособирать список расшаренных ресурсов, в инете есть масса утилит сетевых, которые могут сканить компы нап редмет расшаренных NETBIOS ресурсов.

2 вариант:
поставь например очень хорошую утилиту HYENA (здесь есть кажись, варезная). В ней в списках каждый комп и и можно неспеша подключаться и смотреть список ресурсов, в т.ч. и шары.

ну и 3 вариант - Управление своим компом и оттуда подключится к др. компу, соответственно все видно будет и можно отключить...

а как это автоматизировать?
можно думаю, но надо леззть в скрипты... долго и геморно для одноразовой операции

m2a

Цитата:

можно думаю, но надо леззть в скрипты... долго и геморно для одноразовой операции

операция не думаю что будет одноразовая, хочется поставить это на поток, в смысле в стартап скрипты или политики. что бы уж если сделале шару - то что бы хотябы при следующем ребуте она снеслась автоматом.

попробую копать в р-н реестра, если нет системных аля net share * /file /delete

Цитата:

На работе злые админы! Запретили записывать что-либо на флешку!

тут 2 варианта, номер раз, стоит утиля типа девайс лок или что-то подобное, тогда прямая дорога в гугл с запросом а-ля: пАмАгите лАмануть дивайслог, или в гипермаркет за ящиком пива и мешком креветок, потом к админам......и второй вариант ребятишки у вас как-то выкрутились с помощью политик и прямых рук, над чем я уже месяц бьюсь http://forum.ru-board.com/topic.cgi?forum=8&topic=8921&start=220#lt, и все безрезультатно(((( в этом случае снимаю шляпу перед вашими злыми админами

Antifriend

Цитата:

как-то выкрутились с помощью политик и прямых рук

политика так и называется - запретить запись на ремовабле медиа, работает на XP SP2+

Цитата:

проблема усугбляется тем, что на тачках стоит специфичный софт и юзерам нужен для работы локальный админ

Никак. Во-первых пользовательские политики применяться не будут, во-вторых будет извечная борьба, при загрузке (или в процессе работы) вы одним из одного миллиона пятисот тысяч способов убьете шары, которые пользователь тут же снова создаст, и так до бесконечности, в-третьих это честно говоря бардак, когда у пользователей права админа, вышеупомянутый админ-линк спасет отечество.....
Ну и как совет, в пользовательских политиках запретите публикацию общих ресурсов, и разрулите права на файлик net в system32, чтоб его могли запускать только правильные пацаны.....процентов 80 подлецов, любителей шарить папки отсеится

Добавлено:

Цитата:

политика так и называется - запретить запись на ремовабле медиа, работает на XP SP2+

порылся в политиках че-то ничего похожего не нашел, есть только в квотах, применять политику для сменных носителей, но это не то(((

Antifriend


Цитата:

порылся в политиках че-то ничего похожего не нашел, есть только в квотах, применять политику для сменных носителей, но это не то(((

гугль таки рулит (block access to usb storage):

Цитата:

Open the Registry Editor click on the Start button on your taskbar, then click on Run and type "regedit" and click on OK to start the regedit utility.

Expand HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control.

From there right click and create a new key and name it "StorageDevicePolicies". In the window on the right then create a new DWORD value and label it WriteProtect, give it a value of "1" and users can no longer write to USB drives. To re-enable this option change the value to 0 and users are again allowed to write.


The modifications you made will be in effect after you reboot your PC.

в политиках я это тоже где-то видел. может просто домен в каком-то из смешанных режимов работает и данная политика просто не отображается.

работает это (по заявлениям) только на XP SP2.

на счет шар, буду пытаться найти решение: сносить при загрузке все файловые шары которые есть, и скрыть из юзерскова меню вкладку про общий доступ. про net share 99% юзеров не в курсе, так что данный момент рассматривать(доступ к файлу net.exe) небудем априори.

Цитата:

на счет шар, буду пытаться найти решение: сносить при загрузке все файловые шары которые есть, и скрыть из юзерскова меню вкладку про общий доступ. про net share 99% юзеров не в курсе, так что данный момент рассматривать(доступ к файлу net.exe) небудем априори

а в чем проблема то забрать административный доступ??

Подскажите, а можно ли применить принудительно GP на удаленных машинах без их перезагрузки?

Цитата:

Подскажите, а можно ли применить принудительно GP на удаленных машинах без их перезагрузки?

Так она и применяется, с интервалом 90 минут. (меняется)... Можно командой gpudate /force. Но кажется только, если изменения были на уровне пользователей.... В противном случае (иногда и на уровне пользователей) лучше перегрузить.

m2a
Пo gpupdate /force он обновляет даже настройки компа (ntfs permissions, restricted groups) в общем почти все обновляет, разве что скрипты не выполняет

Цитата:

Можно командой gpudate /force

Да, я про команду знаю, но она обновляет GP на локальной машине. Как запуститть данную команду удаленно на других машинах (кроме удаленного рабочего стола)?

Timans78
psexec юзай, там можно все компы в домене из одной строчки обработать...

ALL
Никто не юзает
Settings\Windows Settings\Security Settings\Local Polices\Account Lockout Policy\Account lockout ?!

Правильно ли я понимаю, что если включена эта политика, то я могу легко подставить соседа? Попытаюсь со своего компа зайти под его аккаунтом несколько раз и в итоге заблокируется его аккаунт на какое-то время... или блокируется вход под этим аккаунтом с конкретного компа?

gap5
Синтаксис смотрел. А как применить к OU или к домену?

Подскажите плз, где в груп. политиках можно разрешить пользователям переводить сис.время. (Заходят под одним профилем)

Домен под Win2003.

SemGemdgi
Конфигурация компьютера -> Конф.Windows -> Параметры безопасности -> Локальные политики -> Назначение прав пользователя - политика "Изменение системного времени"

kazavo4ka
Не работает, изменяю, вхожу под созданным пользователем, пытаюсь изменить время и ничего... не меняет...

А вообще этот раздел
Цитата:

Конфигурация компьютера

для чего служит?
спрашиваю т.к. что там не делаю, на доменного пользователя, которым логинюсь не действует, да и вообще там нет такого как в
Цитата:

Конфигурации пользователя

, если в "конф.пользователя" просто можно задавыть параметры "отключен"\"включен"\"не задан", то там написано "Определить указанные ниже политики" и далее "Добавить пользователя или группу"... (простите меня, тёмного...)

SemGemdgi

Цитата:

Не работает, изменяю, вхожу под созданным пользователем, пытаюсь изменить время и ничего... не меняет...

gpupdate /force или перезагрузку компьютера делали?


Цитата:

А вообще этот раздел
Цитата:Конфигурация компьютера
для чего служит?

-

Цитата:

• Конфигурация компьютера (Computer Configuration) - используется для задания групповых политик, применяемых к определенным компьютерам независимо от того, кто входит на них.
• Конфигурация пользователя (User Configuration) - предназначена для задания групповых политик, применяемых к определенным пользователям независимо от того, на какой компьютер они входят.

kazavo4ka

Цитата:

gpupdate /force или перезагрузку компьютера делали?

делаю после каждого изменения.

У меня создано подразделение, а в нем профиль пользователя. У этого подразделения создан объект групп. политики и вот там все я и настраиваю. Так вот вопрос:
как "прикрутить" определенные компьютеры к этому подразделению, а соответственно к этой политике? И еще вопрос, если к компьютеру применяется политики не зависимо от пользователя тогда можно и не создавать профиль пользователя?

SemGemdgi

Цитата:

как "прикрутить" определенные компьютеры к этому подразделению, а соответственно к этой политике?

вынести компьютеры в отдельное OU и к нему прикрутить созданную политику (или к тому OU где сейчас находятся компьютеры).


Цитата:

если к компьютеру применяется политики не зависимо от пользователя тогда можно и не создавать профиль пользователя?

наверно я с утра торможу, но что за "профиль пользователя"?

kazavo4ka
сделал принт скрин ,
подразделение 203, профиль studens.

И еще, я так понял, что если пользователи логинятся под локальными, то к ним применяется политика OU из "конфигурации компьютера", а если под пользователем доменным то политики из "конфигурации пользователя" или из обеих?

Впринципе со временем я понял, только там в "конфигурации компьютера" назначается запрет, а не разрешение, но не в этом суть.А суть в том, что когда они заходят под пользователем studens/domen, который я для низ создал, у них автоматом стоит запрет на изменение времени, т.е. в "конфигурации компьютера" сделать разрешение не могу
Честно гря, запарился уже, все вроде классно, только единственный затык, не могу разрешить им переводить время. А вообще это реально? В одной теме мне сказали, что нет?

Цитата:

сделал принт скрин ,
подразделение 203, профиль studens.

понятно


Цитата:

И еще, я так понял, что если пользователи логинятся под локальными, то к ним применяется политика OU из "конфигурации компьютера", а если под пользователем доменным то политики из "конфигурации пользователя" или из обеих?

из обеих
-

Цитата:

порядок применения политик - Локальный GPO -> GPO сайта -> GPO домена -> GPO OU (т.е. обрабатываются GPO, связанные с любыми OU, содержащими пользователя или компьютер. Параметры, заданные на уровне OU, переопределяют параметры, примененные на локальном уровне или уровне домена/сайта, с которыми они конфликтуют. Один и тот же объект может входить в несколько OU. В этом случае сначала обрабатываются GPO, связанные с OU, находящимся на самом высоком уровне иерархии Active Directory, затем — с OU, находящимся на следующем уровне и т.д. Если с одной OU связано несколько GPO, администратор, как и в предыдущих случаях, может задать порядок их обработки.)

Цитата:

Впринципе со временем я понял, только там в "конфигурации компьютера" назначается запрет, а не разрешение

Цитата:

А суть в том, что когда они заходят под пользователем studens/domen, который я для низ создал, у них автоматом стоит запрет на изменение времени

Проверьте, политика видимо не к тому OU применяется.


Цитата:

А вообще это реально?

Да, лично делал.

Конфигурацию опишите, 2000/2003, rus/eng? Более пошагово распишу тогда.

Есть некоторое количество рабочих станций WinXp Pro, входящих в домен Windows Server 2003. Необходимо унифицировать записи сервера входящей и исходящей почты для учетных записей Outlook Express на этих станциях (часть прописана в виде ip-адресов, часть dns-именами и т.п.). Можно ли это сделать с помощью Group Policy, и если да, то как?

Как сделать так, чтобы назначенные или опубликованные программы ставились с административными првами?
Никак не могу разобраться ((
Назначаю на компьютер программу - например клиент межсетевого экрана ISA, захожу от имени пользователя домена на комп - в установленных программах значится как установленная, но на самом деле ничего подобного (( такое впечатление что установка от имени пользователя запускается - и не ставится как положено соответсвенно... Пробовал по разному делать - уже запутался ((
Расскажите плз как можно более подробно. Где права настраивать? Почему не ставиться программа нормально ((
С опубликованными программами тоже самое - из под пользователя не могу установить т.к. нет прав ((

Подскажите, а на локальном компе (не в домене) под XP SP2 возможно настроить "групповые политики" для каждого юзера или хотя бы группы юзеров?

Видел Local Security Policy - но что-то там нет нифига привычных настроек...

Помогите плз кто знает ! я начинающий сисадмин ! есть сетка с сервером win 2003 и AD и 10 рабочих станций под XP !нужно чтобы юзеры не могли устанавливать программы! только объясните кому не жалко пошагово ! я облазил много ссылок на сайте много почитал но большинство не понял поэтому плз напишите подробно куда нажать что сделать !!оч прошу ! очень очень нужно ! я нашел GPO но не понял что там делать как это применять в общем ничего не понял ! плз помогите напишите все подробно ! можно на мыло Soulthiefer@mail.ru! помогите люди добрые!!!

kazavo4ka
2003 eng (MUI).
Да и еще, у меня почти на всех компах отключена служба "Windows Time" (просто для информации)

soulthiefer
пиши мне в аську разжую но не пытайся менять политики пока не разобрался во всём иначе сам себе можешь кислород перекрыть

Какая настройка в политике может запрещать пользователю возможность вкл/выкл языковой панели? Голову уже сломал =\

Ладно, другой вопрос:
где можно запретить срабатывание logon.bat ?

Тухляк =\