» Групповые политики (Group Policy, GPO): документация, ссылки

Booklet
ИМХО проблема в том, что командная строка XP не умеет работать с сетевыми путями. Попробуй вместо BAT файла, выполняющего \\server\folder\1.exe, переместить этот 1.exe на DC и указать его в качестве скрипта.

Booklet
1. Ты уверен что политика вообще применяется, проверь сначала это. напр: Запрети чего-нибудь и посмотри есть результат?

2.
Цитата:

4. добавить - обзор - выбор
Кстати, не пофигу ли где этот батник лежит? У меня просто в сет. папке

Эту папку должна видеть машина на которой будет выполняться скрипт, лучше всего ложить в domainn.ru\script, а на контроллере, т.е. на жестком диске контроллера это будет c:\windows\ntds\sysvol\domain\script\ (c:\windows\ntds - не уверен, я устанавливал в другую директорию, щас не помню как поумолчанию)


Добавлено:
RoDeZiya

Цитата:

ИМХО проблема в том, что командная строка XP не умеет работать с сетевыми путями.

Можно поподробнее, я просто не встречался с такими проблемами, а то как говорится век живи -век учись.


Добавлено:

Цитата:

лучше всего ложить в domainn.ru\script, а на контроллере, т.е. на жестком диске контроллера это будет c:\windows\ntds\sysvol\domain\script\ (c:\windows\ntds - не уверен, я устанавливал в другую директорию, щас не помню как поумолчанию)

Тогда они нормально будут реплицироваться, а так если у тебя два и болле контроллера будут грабли.


Добавлено:

Цитата:

Кстати, подскажите, как выяснить который их них PDC.

Говорю за win 2003, но думаю на 200 также.
Открываешь консоль пользователи и компьютеры, выбираешь свой домен, ПКМ и выбираем хозяева операций, нам нужна вторая вкладка.

Booklet

Цитата:

1. Создал группу безопасности и запихнул в этот новый OU

Политики применяются к пользователям и компьютерам, а не к группам безопасности...

Lykym

Цитата:

Можно поподробнее, я просто не встречался с такими проблемами, а то как говорится век живи -век учись

Огромное сорри за внесение путаницы. Мое предположение неверно. Сейчас специально проверил - дело не в командной строке и сетевых путях. Еще раз сорри за дезинформацию.

кто подскажет, поддается ли настроенная для OU политика экспорту-импорту???
если да, ТО КАК ИМЕННО?

concorde
Система такая:
В некой папке лежат OGP с самыми различными настройками.
(Из этой папки их можно скопировать куда нить в укромное место или добавить к ним новые...)
В OU помещаются не сами OGP, а ссылки на них.
Т.е. один OU может содержать несколько ссылок на самые разные политики.
Когда мы нажимаем в OU - "Свойства" - "Групповая политика" - "Создать", то одновремменно создается и новый OGP и ссылка на него.
Если я где-то неправ - поправьте.

concorde
Да, с помощью GPMC. Экспорт\импорт\бэкап...и т.д.
Только экспорт\импорт нужен только при переносе GPO в другой домен, внутри одного домена используется просто линк...
mozers

Цитата:

Если я где-то неправ - поправьте.

Практически нигде не прав, разве что кроме
Цитата:

В некой папке лежат OGP с самыми различными настройками.

, да и то с поправкой на то, что OGP GPO
Пред тем как писать подобное неплохо б было почитать документацию. Хотя бы самого начального уровня.

G14
Цитата:

Практически нигде не прав

Все таки я был бы очень благодарен если бы Вы процитировали хотя бы одну фразу из моего сообщения в которой я неправ.
concorde задал вопрос про OU. Я хотел лишь уточнить что OU является лишь контейнером ссылок на различные GPO. Я так понимаю...
Нет, я не настаиваю на своей правоте. Просто очень хочется разобраться...
Что же касается документации, то там, например, явно написано что политики не применяются к группам безопасности, однако если помудрить, то, оказывается все можно! (см. на предыдущей странице)

mozers

Цитата:

Что же касается документации, то там, например, явно написано что политики не применяются к группам безопасности, однако если помудрить, то, оказывается все можно! (см. на предыдущей странице)

Тогда вопрос знатоку,исходя из того что ты говоришь, если пользовать User входит в группу group1 и группу group2. User находится по умолчанию в папке users. Далее как ты и говоришь group1 находится в OU1 к которой применяется политика GPO1, а Group2 находится в OU2 к которой соответственно применяется GPO2. Тогда какая из политик GPO1 или GPO2 будет применяться к пользователю User. Пример: GPO1 запрещая менять обои на рабочем столе,а GPO2 разрешает? Сможет ли пользователь при таком раскладе установить себе красивые обои или нет ?

mozers
цитирую:

Цитата:

OU является лишь контейнером ссылок на различные GPO

бред.

Цитата:

Что же касается документации, то там, например, явно написано что политики не применяются к группам безопасности, однако если помудрить, то, оказывается все можно!

А если почитать документацию, то окажется, что "помудрить" называется фильтрацией...
И к группам политики по-прежнему НЕ применяются.
Lykym

Цитата:

Тогда какая из политик GPO1 или GPO2 будет применяться к пользователю User

Напиши мне плз сам ответ в ПМ? Мне просто интересно, а как ТЫ на это ответишь?

Lykym
Цитата:

Тогда вопрос знатоку

Ну это - явно не ко мне
Если человек пытается поделится с другими какой то удачной находкой, то почему другие, которые это давно уже знали, но не смогли популярно изложить, теперь начинают ерничать над ним?

Цитата:

Далее как ты и говоришь

Опять все не так Да, вначале я именно так и хотел, но вы же сами натолкнули меня на верное и главное, РАБОЧЕЕ, решение!

---

1. Создаем OU и засовываем в него всех наших пользователей.

2. В этом OU создаем GPO с именем "_Remome My Computer icon" (OU - "Свойства" - "Групповая политика" - "Создать" потом на нем - "Изменить" - и устанавливаем в этом GPO - "Remome My Computer icon on the desktop" в положение "Enabled").
3. Создаем группу пользователей. Называем ее "_Remome My Computer icon"
4. Заходим в свойства созданного нами GPO (OU - "Свойства" - "Групповая политика" - курсор на нужном GPO - "Свойства") и там на закладке "Безопасность" удаляем "Прошедшие проверку" и добавляем группу "_Remome My Computer icon".

5. В этом же OU создаем новый GPO с именем "_Remome Recycle Bin icon" и создаем новую группу "_Remome Recycle Bin icon" (т.е. повторяем шаги со 2го по 4й).

6. Все зависит от конкретных задач, но очевидно что шаги со 2го по 4й вы будете повторять многкратно. Каждый раз результатом будет новый GPO и новая одноименная группа.
Каждый из GPO может содержать любое количество параметров (а не только по одному как в примере) но обязательно все эти парамерты должны содержать уникальные параметры настройки, отсутвующие в других GPO. Иначе сработает установка из того GPO, который окажется последним в списке.

После завершения процесса создания GPO о групповой политике можно будет забыть навсегда, поскольку теперь для того чтобы на пользователя действовала та или иная установка GP, будет достаточно этого пользователя добавить в члены соответсвующих групп.
Т.е. на пользователя, члена групп "_Remome My Computer icon" и "_Remome Recycle Bin icon" будут действовать обе этих установки.

Если кто то предложит более изящный способ моментального изменения набора политик, действующих на конкретного пользователя, то я буду очень благодарен.

---

Это решение я искал давно. Облазил весь инет и убедился что я не одинок в своих вопросах. Готового рецепта не нашел нигде. Зато советов почитать документацию и плохо скрываемой злобы на ламерюг, которые лезут в системные администраторы - хоть отбавляй. И только на ru-board, с помощью RoDeZiya, TCPIP, PhoenixUA и других я смог найти это решение. СПАСИБО им!

u menia est domain i vniom okolo 50 kampiuterov
pastavil na servere symantec corporate no ne delaet abnavlenie
kak ia viisnil nada na vsex kompax gde stait windows xp v fairvole nada atkrit kakieta eti porti
TCP порт 2967
UDP порт 2967
UDP порт 38293
po vsem kompiuteram begat i vruchnuiu atkrivat len
ne pamojite kak spomoshiu domain servera vsem useram vfairvele windows xp atkrit eti porti ?


zaranie spasibo za pomosh

izvinite net ruskava shrifta

svanidze
Kopatj tyt
OU(v kotoryu vhodyat kompij)->gpo->computer configuration->administrative temples->network->network connections->windows firewall

Какие существуют программы и способы для обхода групповой политики ?
Интересует программа,которая бы блокировала применение политик (в том числе и доменных).
Вот что мне удалось найти по этой теме:

GPCul8r - Group Policy Bypassing Tool
Circumventing Group Policy as a Limited User

В последней статье описана утилита gpdisable , но ссылка на нее уже нерабочая,поскольку сайт sysinternals.com мигрировал на microsoft.com,где подобных программ есс-но выкладывать не будут.Ни у кого случаем не завалялась ?

СИТУАЦИЯ: комп ХР в домене, на машину логинится локальный админ, НО не вдомен, в локальную машину. лок.админ желает подправить лок.групп политики, как то длина пароля и т.п. но выясняется что в gpedit.msc это не представляется возможным. там высталенны доменные политики БЕЗ возможности корректироваь.

ВОПРОС: как поступить, чтобы иметь возможность корректировать лок.политики в плане паролей для локальных пользователей?

Народ, а как через групповые политики задать язык по дефолту до логинивания, после входа и комбинацию клавиш для переключения языков?

Cyril Konst

Цитата:

Народ, а как через групповые политики задать язык по дефолту до логинивания, после входа и комбинацию клавиш для переключения языков?

Не встречал такого. Вот: http://forum.ru-board.com/topic.cgi?forum=62&topic=7381&start=260#20.

Мы сейчас Всем уствнавливаем корпоративный Антивирус,то есть надо централтзованно управлять АВ.Всем машинам подкляемся без проблем,а вот возникает проблема когда у польз.машине включен Брендмаэр,поэтому для того что установить или удалить надо спустится и выключить брэндмауэр,надо машин много и в различных территориях.Не подскажите можно ли удаленно через пол.безопасности Всем выкл. Firewall?

rkhodjaev
Можно.
Computer Configuration->Administrative Templates->Network->Network Connection->Prohibit use of Internet Connection Firewall on your DNS domain network

veryom
чот не нашёл там...
Нашёл в другом месте, какие записи должны быть в реестре.
Как их реплицировать на клиентские компы через GP?

Cyril Konst

Цитата:

Как их реплицировать на клиентские компы через GP?

Через скрипт, запускающийся при запуске компьютера (в ГП на автозагрузку повесить)?

RoDeZiya
Для GPO одной OU

Computer Configuration->Administrative Templates->Network->Network Connection->Prohibit use of Internet Connection Firewall on your DNS domain network

сделал Enable.но все равно остался вкл.?

rkhodjaev
Попробуй обновить политики/перезагрузить машины пользователей. Я этой политикой неоднократно пользовался. Нормально работает.

veryom

Цитата:

Через скрипт, запускающийся при запуске компьютера (в ГП на автозагрузку повесить)?

Нужно чтоб этот скрипт один раз тока отработал.

RoDeZiya

Цитата:

Попробуй обновить политики/перезагрузить машины пользователей. Я этой политикой неоднократно пользовался. Нормально работает.

Все равно не отк. брэндмаур.Кстати как можно уточнить выкл или нет.Сам переключатель переключается на выкл. что ли? или по дрогому отображается данная инфор что ли?
Или можете более подробно описать данную операцию?
Спасибо заранее

Cyril Konst

Цитата:

Нужно чтоб этот скрипт один раз тока отработал.

Поставить проверку. Если соответствующее значение в реестре на машине пользователя уже есть - ничего не делать. По-другому только с админстративными шаблонами нужно заморачиваться.

С шаблонами, имхо, не получится.
Они действуют только на HKCU и HKLM, опять же имхо, судя по синтаксису шаблонов.

Натолкнулся на грабли при использовании GPO
Я полагал, что когда создаешь новый GPO то все опции в нем задизаблены.
Однако это оказалось не так.
Создал GPO в котором ограничил лишь одну мелочь, а когда применил эту политику на конкретного пользователя, то оказалось что он дико ограничился в правах. Даже при клике на часах в трее календарик открыть не может - "Обратитесь к администратору за соответствующими правами".
Дурдом какой то. Видимо пустые шаблоны для GPO уже создаются с урезанными правами...
А можно создать новый GPO без ограничений?

Не подскажите почему GPO у меня не применяется? Может быть я не так создаю их? Просто последнее время что бы не делал, но все равно грабли при использовании каких-либо политик.
Все делаю таким образом:
1)До меня было создан домен, я в свойствах OU перехожу на вкладку Group Policy> Создаю новую GP,далее редактирую некоторые параметры и закрываю все.
2)Делаю gpupdate на командной строке у пользователя после чего restart.
3)Ну все равно политики не работает после перезагрузки.

Не подскажите что не так я делаю?

З.Ы. Все GPO ограничения я делаю на резервном DC делаю!

rkhodjaev


Цитата:

З.Ы. Все GPO ограничения я делаю на резервном DC делаю!

Всеравно на каком, раз сервак контроллер домена то, настройки реплицируется на остальные, правда если все нормально и репликация идет. Хотя репликацию довольно легко проверить достаточно открыть туже OU на главном Dc и посмотреть есть там твоя GP или нет.
Так же логи сервака и рабочей станции не мешало бы глянуть на предмет появления там нехороших слов по части GP.
Ну и конечно правильно ли ты все создал, для этого можно посмотреть предыдущие два или три поста, мы та подробненько все рассмотрели.