» Групповые политики (Group Policy, GPO): документация, ссылки

mozers

Цитата:

на грабли при использовании GPO

Разве это грабли
Наоборот (имхо) правильно. Некое подобие при вводе в строй нормального файера, у которого по умолчанию - все запрещено. МС хоть компромисс предоставляет - не все закручено до упора, а могли бы..

Цитата:

Видимо пустые шаблоны для GPO уже создаются с урезанными правами...

ну ты же не шаблоны создаешь, а как раз новую политику из шаблона. А шаблон - да, как писал - безопасно скомплектован

5555555
Цитата:

А шаблон - да, как писал - безопасно скомплектован

Хочется матерно выразится в сторону Мелкософта за такую "доброту".
Возникает вопрос: Можно ли как то сделать правильный шаблон и сделать так чтобы он использовался при нажатии на кнопку "Создать новый GPO"? Вручную все опции протыкать - сами понимаете - дурдом.
Под "правильным" (или как ты выразился "небезопасным") шаблоном, я понимаю такой шаблон в котором все установки находятся в отключеном состоянии. (Не в состоянии "Включен" или "Отключен", а в состоянии "Не задан")

Lykym
Репликация между КД проходить нормально.
2 All
Вот последние дни хочу применить GPO по ограничению использования USB,Floppy,CD-ROM но политика никак не применяется,то есть машине все работает после перезагрузки.А когда даю команду gpresult в командной строке там выводится следующая сообщения:
………
……..

Следующие политики GPO не были приняты, поскольку они отфильтрованы
_ _ _ __ _ _ _ __ _ _ _ __ _ _ _ _ _ _ __ _ _ _ __ _ _ _ _ __ _ _ _ __ _ ______ _ _ __
usb
Фильтрация: Не применяется <пусто>
Политика локальной группы
Фильтрация: Не применяется <пусто>

З.Ы. Здесь usb имя групповой политика, которую я создал.

Статья по ADM и ADMX:
http://www.microsoft.com/technet/technetmag/issues/2008/01/Layout/default.aspx?loc=ru

FreemanRU
А что постеснялся в шапку положить?

Здрасте!
Посоветуйте пожалуйста литературу хорошую по Груповым политикам и AD для тех кто впервые слышит эти слова)

G14
Я положил

Есть ли в природе админ шаблон, с помощью которого можно было бы менять разрешение экрана у клиентов периодически? Или может кто-нибудь знает какой-нибудь другой вариант.
К сожалению, скрипты не делают этого!

За любую помощь, благодарен.

Друзья, подскажите,какую политику нужно подрихтовать,чтобы запретить всем юзерам домена установку и удаление любых программ?

concorde
отобрать права администратора.

sVx
каким образом?на каждой машине отбирать замудохаешься,хочется через групповушку.
да и не уверен я,что не под админом нельзя установить абсолютнол никакие проги....

concorde
контролировать членство в группе built-in\administrators (и не только) можно через групповую политику (Restricted Groups)
Computer Configuration\Windows Settings\Security Settings\Restricted Groups

Цитата:

да и не уверен я,что не под админом нельзя установить абсолютнол никакие проги....

Большинству программ для установки нужны права администратора ...

домен вин2003
создал организационную группу для нескольких компов.. положил их туда.
на одном из компов расшарил папку.. пользователи не могу подключиться к компу?
что подскажете? gpo для новой ou не настраивал..

Всем привет, нужен совет.
Никак не могу защитить диск С:\ от создания папок.
Сервер 2003, клиенты Windows XP.

В групповых политиках:

"конфигурация компьюетра" > "конфигурация windows" > "параметры безопасности" > "Файловая система"

создал тут файл %SystemDrive%\test

В свойствах проставил "группы и пользователи безопасности" на своё усмотрение.
Итог: Ничего не работает, как были "группы и пользователи безопасности" по умолчанию так и остались...
выполнял GPupdate
потом проверял GPresult пишет, что политика работает, но ничего не происходит.

после чего ещё раз изменив свойства, оставив только пользователя и дав ему атрибут "чтение" настройки применились , но радость моя была преждевеременной.
Хотел ещё раз проверить и увы, опять ничего не работает, теперь там только этот пользователь с атрибутом "чтение" и доступ к папке мне с помощью GPO не вернуть.

Если кто знает, что я не так делаю, подскажите, или в каком направлении смотреть вообще. Или может есть другой способ закрыть диск С:\ от создания папок?

EXformat


Цитата:

выполнял GPupdate
потом проверял GPresult пишет, что политика работает, но ничего не происходит.

Машину надо перезагрузить, а потом смотреть.

Lykym

Машину перезагрузил, несколько раз. Эффект тот же:

Конфигурация компьютера
------------------------
Последнее применение групповой политики: 31.01.2008 at 16:40:00
Групповая политика была применена с: server.local
Порог медленной связи групповой политики: 500 kbps

Примененные объекты групповой политики
---------------------------------------
Политика паролей домена Small Business Server
Закрыть диск C:\
Политика локальной группы

P.S. Политику прикрутить только к себе как к пользователю домена.

EXformat

Цитата:

P.S. Политику прикрутить только к себе как к пользователю домена.

Вот тут трудно сказать, групповая политика состоит из двух частей раздел для компьютера("конфигурация компьютера" ), раздел для пользователя("конфигурация пользователя"). Первая чать работает для компьютера помещенного в подразделение, к которому применяется данная политика, применяется при загрузке компьютера.
Вторая часть, т.е. раздел для пользователя, применяется к пользователю помещенному в данное подразделение, применяется при входе - выходе. Политика будет применяется к пользователю, если он входит в группу, которой разрешено читать и выполнять данную политику(задается на вкладке ,безопасность политики). По умолчанию так и есть, все users входят в группу "прошедшие проверку". Но как тогда быть с компьютерам, которые входят в группу Domain computers, которая не входит не в какую другую группу, и на вкладке безопасность политики, данной группы нет?

Lykym
Да, уже и так и так перепробовал, не проходит. Все другие настройки хавает, а тут хоть тресни. Уже и группу Пк пробовал и ПК по отдельности и на ползователей вешал и на всех и на одного и полиику новую делал...

Пока сделал по другому. Закрыл запуск всего с диска С, разрешил только с Program files и Windows, а по выходу из системы трутся все лишние файлы и папки с диска C.

В домене групповой политикой запрещено настраивать локально некоторые параметры безопасности.
Допустим, компьютер физически отключается от локальной сети, домен его не видит.
Производится локальный вход в систему под учетной записью администратора.
Параметры безопасности по-прежнему настраивать запрещено. Как разрешить?
Спасибо за внимание.

ckotick
Правила имеют свойство кэшироваться

Пользователь может войти в домен под своей учётной записью с любой станции в домене .. причём одновременно с нескольких станций под одной учётной записью могут работать несколько человек на разных станциях
Как ограничить доступ пользователей 1 учётная запись - 1 станция?

Patap_Kolobrodov
можно указать на какие рабочие станции пользователю разрешено входить:
Active Directory Users and Computers - Учетная запись - Вход на ... - Только на указанные компьютеры

sVx
Спсибо! ..
этот метод помогает ... но мне не во всех случаях подходит! ...
есть пользователи которым нельзя чётко задавать рабочее место ..
но при этом их тоже нужно ограничивать по числу подключений к домену
возможно есть какое-то решение от стороннего производителя .. или надстройка на AD?

Ребята подскажите как руссифицировать Групповые политики для

Microsoft Windows Server 2003 R2
Enterprise Edition
Service Pack 2

Booklet

Цитата:

Правила имеют свойство кэшироваться

Значит, должна быть возможность очистить кэш.
Вообще, ситуация у меня забавная. Есть сисадмины, которые используют политики для упрощения своей работы, а есть хитрые пользователи, которые всячески стараются сделать так, чтобы сисадмины не лезли в их систему. Я к последним отношусь. Сисадмины-то бывают разные.. А я за своей системой и сам приглядеть в состоянии.
Нашел у мелкомягких какие-то инструменты для восстановления настроек. С их помощью смог сбросить значения параметров в стандартные, но не смог разблокировать. На текущий момент политики не применяются. Но хотелось бы также разблокировать возможность настройки параметров. Судя по всему, это регулируется локально на системе, а не в домене. Вопрос – где именно?
Или же фишка в том, что мне нужно соответствующим образом подправить ADM-файлы и применить их?

Уважаемые посетители данного форума, подскажите пжалста где в ГП отрубить финдовый брандмауер?

Wukuze
Конфигурация компьютера-Административные шаблоны-Сеть-Сетевые подключения-Запретить использование брандмауэра подключения к Интернет в сети DNS-домена.

Спасибо большое

Добавлено:
Может еще кто знает как игрушки политикой грохнуть, ну косынку там и остальные?

Помогите кто знает, условие
на 1 машине winserver 2003 standart SP2
на 1 машине winserver 2003 R2 Enterprise SP2
задача
необходимо АД перенести с 1 на 2 машину
ошибка несоответствие структуры АД

shadow_kanнасколько я знаю это невозможно, ГП не переносятся, придется создавать заново