Ru-Board.club
← Вернуться в раздел «В помощь системному администратору»

» Групповые политики (Group Policy, GPO): документация, ссылки

Автор: stop27
Дата сообщения: 31.03.2008 08:43
Т.е. я создаю подразделение (Organizational Unit), в ней создаю группы пользователей, и пользователей, и группам пользователей даю доступ через NTFS.
Так или я не прав?
получается масло масленое!
Например:
подразделение TECH
группа пользователей TECH
пользователи technik1, technik2, technik3
Автор: RoDeZiya
Дата сообщения: 31.03.2008 09:04
stop27

Цитата:
Т.е. я создаю подразделение (Organizational Unit), в ней создаю группы пользователей, и пользователей, и группам пользователей даю доступ через NTFS.
Так или я не прав?

Прав. И никакого масла масленого здесь не получается. Достаточно гибкая и удобная схема работы. Вы не забывайте что в одном OU можно создать кучу групп с разными именами.
Автор: stop27
Дата сообщения: 31.03.2008 09:36

Цитата:
OU можно создать кучу групп с разными именами.

Можно не спорю, но мне бы вообще группы убрать и использовать только OU
Автор: nbt
Дата сообщения: 31.03.2008 16:44
Срочно! Как с помощью групповой политики запретить на всех компьютерах домена запуск програм из из папок "Автозапуска" и HKLM\HKCU \Software\Microsoft\Windows\CurrentVersion\Run.

Да и какой MMC snapshot за это отвечает?

Перерыл весь Инет - ответа не нашёл.

Добавлено:
неужели никто не знает?
Автор: alexsunn
Дата сообщения: 01.04.2008 12:54
Помогите разобраться с политикой ограниченного использования программ!!!
Просто имеется машина с XP, требуется чтобы только загружались нужные программы ( для примера word, почта, сапер).
Делаю через локальные политики - secpol.msc политики огр. использования программ -уровень безопасности - не разрешено по умолчанию.
Добавляю в дополнительных правилах к имеющимся по дефолту 4-м правилам -правила по хэш (для соответственно ворд, почта ,сапер -использование неограниченно). В итоге получается, что по ярлыку не могу запустить не одну программу , в том мне нужные. Но когда просто тупо лезу в папку с любой программой
она без проблем запускается( без разницы какая программа_).
Что предпринять в моем случае -чтоб работали только нужные мне программы, а не нужные отсекались политикой!?
Просто требуется, чтобы не завелись и не запускались вирусы через автозагрузку. Обычно вирусы прописываются и запускаются из папки %systemroot% - а одно из правил по умолчанию разрешает на запуск программ из данной папки неограниченно.
Помогите ткните носом меня в нужном направлении плиз
Автор: klimusu
Дата сообщения: 01.04.2008 13:27
У пользователей в домене win 2003 перемещаемые профили.
в users and computers созда несколько организационных единиц (по назначению компьютеров), можно ли через групповые политики отменить перемещаемые профили (будут локальные, можно какие-нить чистые) на одну организационную единицу?
Автор: Etalon
Дата сообщения: 01.04.2008 17:42
stop27

Цитата:
но мне бы вообще группы убрать и использовать только OU

Совсем убрать не получиться.
Но можно немного автоматизировать процесс. Т.е. использовать следующую ГП

Конфигурация компьтера\Конфигурация Windows\Файловая система
Автор: Refugee
Дата сообщения: 01.04.2008 20:43
alexsunn
Выкини .LNK из Designated File Types в политике

Цитата:
Обычно вирусы прописываются и запускаются из папки %systemroot%

Права администратора не отобрал еще?
Автор: alexsunn
Дата сообщения: 02.04.2008 09:55
Refugee
Спасиб тебе добр человек!
еще убрал одно правило по дефолту
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir% (просто не все программы запускаются на установку под админом - тот же QIP)
и все стало вроде на свои места.
Делаю не себе, просто устал людям систему чистить от букашек.
Да и им инетернет уж больно дороговато обходится, когда букашки траффик накручивают + системные ресурсы кушают!

Еще раз спасиб.
Автор: klimusu
Дата сообщения: 04.04.2008 12:21
помогите решить проблему.. ошибка mmc связанная с файлом mshtml.dll появляется когда захожу в групповых политиках в computer settings или users settings.
Автор: rg2570
Дата сообщения: 07.04.2008 13:29
добрый день всем ....
Работаю в домене под управлением windows 2003 server, рабочие станции - WinXP SP2
сейчас в домене одна из настроек блокирует рабочие станции по простою... в результате чего разблокировать раб. стпнцию может только админ или последний пользователь... в общем, подобная схема не подходит (по ряду причин), нужно чтобы по истечению определенного времени-простоя сеанс пользователя принудительно закрывался (как выход пользователя из системы) ...
у меня вопрос: можно ли и как это сделать ???
п.с. перерыл весь инет.... схема, предложенная, здесь - http://forum.ru-board.com/topic.cgi?forum=8&topic=10254#1 ... отсутствует в настройках GPO моего сервера + я не уверен, что она то - что мне нужно ....
п.с.2. заранее спасибо всем откликнувшимся !
Автор: snayper7
Дата сообщения: 07.04.2008 14:20
rg2570
тут же написано - покопайся, только там между параметрами безопасности должны быть локальные политики
Автор: rg2570
Дата сообщения: 07.04.2008 14:35
копался .... нашел похожее :
Сервер сети Microsoft: Длительность простоя перед отключением сеанса
и
Сетевая безопасность:Принудительный выход из сеанса по истечении допустимых часов работы (но по-мойму это не то) ...
... но не знаю то ли это ??? ...ставить эксперименты к сожалению мне нельзя

http://technet2.microsoft.com/windowsserver/ru/library/1df9cf5b-58ea-44f6-8ffd-5a5ef2f645e81049.mspx?mfr=true
- то же как то невнятно про рабочие станции написано...

подскажите, кто точно знает какие флажки трогать в 2003 по данной проблеме???
Автор: MoonAngel
Дата сообщения: 07.04.2008 16:15

Цитата:
Срочно! Как с помощью групповой политики запретить на всех компьютерах домена запуск програм из из папок "Автозапуска" и HKLM\HKCU \Software\Microsoft\Windows\CurrentVersion\Run.

Да и какой MMC snapshot за это отвечает?

Перерыл весь Инет - ответа не нашёл.

Добавлено:
неужели никто не знает?

Пишешь скрипт который удаляет все линки из автозапуска и запихиваешь его в ГП

Добавлено:
rg2570
Есть вариант, но не знаю отработает он или нет. Короче надо пробывать.
Написать скрипт для логофа юзера, поставить таймаут на экранную заставку, а вместо заставки по умолчанию (Имя исполняемого файла экранной заставки) воткнуть данный скрипт.
Почему то кажется что должно работать

logoff - это команда

Неа... Не работает через скрипт
Автор: rg2570
Дата сообщения: 08.04.2008 13:39
чито же делать ???
Автор: Serggg
Дата сообщения: 09.04.2008 17:07
Привет всем.
Вопрос. Можно ли, и если да то как, в Винь2000Серв + ХР с помощью GP сменить на всех клиентах пароль локального Администратора?
Автор: snayper7
Дата сообщения: 09.04.2008 18:31
Serggg
скрипт есть
завтра могу скинуть, надо? в личку напомни
Автор: sVx
Дата сообщения: 10.04.2008 06:26
Serggg
как вариант:
батник следующего содержания

Код: net user Administrator здесь_пароль
chcp 1251
net user Администратор здесь_пароль
chcp 866
Автор: cn
Дата сообщения: 11.04.2008 07:53
помогите плиз после миграции на одном из компьютеров появилась такая проблема:
пользователь (причем он входит в группу domain admins ) не может установить программу на свой комп. Пишет нет админских прав. Он в админах есть и в локальных и как выше сказано было -входит в domain admins.
что может быть?

пробовл другим юзеров на другом мигрированном компе установить - все нормально.
другой юзер не является domain adminom, просто в локальных админах есть и все.
Автор: sarti
Дата сообщения: 11.04.2008 14:31
rg2570, блин, а мне как раз нужна такая фишка, чтобы станция блокировалась ("win + L"), т.е. log-off не нужен, нужен именно lock.
Скринсейвер не подходит - его отключают.
Какая Галя за это отвечает в ГП?
Автор: FreemanRU
Дата сообщения: 11.04.2008 17:11
sarti

Цитата:
Какая Галя за это отвечает в ГП

Явно прописанный скринсейвер + отключение управления его настройками.
Автор: klimusu
Дата сообщения: 14.04.2008 11:29
Работаю в домене под управлением windows 2003 server, рабочие станции - WinXP SP2.
У пользователей перемещаемые профили.
Можно ли на одном компьютере запретить перемещаемые профили пользователей?
Чтобы использовались какие-нить локальные? или какой-нить 1 локальный профиль.
Автор: MoonAngel
Дата сообщения: 14.04.2008 12:18
klimusu
А в чем собственно проблема?
Почему нельзя создать отдельную политику и прикрутить ее к пользователю или машине?


Добавлено:


Цитата:
помогите плиз после миграции на одном из компьютеров появилась такая проблема:
пользователь (причем он входит в группу domain admins ) не может установить программу на свой комп. Пишет нет админских прав. Он в админах есть и в локальных и как выше сказано было -входит в domain admins.
что может быть?

пробовл другим юзеров на другом мигрированном компе установить - все нормально.
другой юзер не является domain adminom, просто в локальных админах есть и все.



Включай полный аудит и смотри на что не хватает прав.
Также полезно посмотреть результирующую политику - команда rsop.msc

Добавлено:
rg2570
Видимо придется какую-нибудь софтинку для этого юзать.
Поищи - наверняка что-то такое есть.
Автор: JekaRus
Дата сообщения: 16.04.2008 15:25
cn
Лучший способ определить где не хватает прав это Regmon+Filemon от Sysinternals. Запусти их начни устанавливать свой софт. В логах напишет конкретный файл или ключ реестра где не хватает прав.
http://download.sysinternals.com/Files/Filemon.zip
http://download.sysinternals.com/Files/Regmon.zip
Автор: gnomnv
Дата сообщения: 16.04.2008 19:37
В унивире и на некоторых предприятиях стоит блокировка на флэшки (usb носители) (и некоторые др функции), я так понимаю это через груповые политики, как можно включить usb? слышал что достаточно вести чтото в строку "выполнить"
Автор: RoDeZiya
Дата сообщения: 18.04.2008 13:19
Возник вопрос:
Для одного OU создал политику. В ней включил перемещение папок пользователей в сетевой каталог (Переместил "Рабочий стол" и "Мои документы"). Политика применилась, и все бы ничего. Но теперь при открытии каталога "Мои документы" вылазит предупреждение о том, что загружаемая страница имеет потенциальные уязвимости в безопасности. Мешает в работе.
Как-бы это сообщение убрать?
Автор: Wukuze
Дата сообщения: 21.04.2008 13:47
можно ли как то политиками копирнуть файлик на рабочий стол? установить прогу удаленного администрирования? определенным образом настроить эксплорер? может кто знает? подскажите пожалуйста, очень прошу.

Добавлено:
может лучше скриптами, подскажите как?
Автор: Wukuze
Дата сообщения: 22.04.2008 08:07
еще бы ip как то поменять через ГП, это возможно?пароль админа сменить? знает кто? подскажите пожалуйста...
Автор: Desempare
Дата сообщения: 22.04.2008 08:21
Есть Internet Explorer, есть вкладка Дополнительно в свойствах обозревателя.
Как раздавать эти галочки через групповую, ну например параметр "Включить интегрированную проверку подлинности Windows"? В групповых есть только некоторые из этих галочек. Интересует легкий и изящный способ этих галочек, с максимальным ограничением пользователя.
Автор: Desempare
Дата сообщения: 23.04.2008 03:52
Решилось с помошью сайта указанного в шапке(http://www.gpanswers.com/). Поиск рулит, но иногда долго и закоулками.
Вставим следующее в текстовый файл:

Код:
CLASS USER

CATEGORY !!RegistrySettings

POLICY !!EnableKerberos

KEYNAME "Software\Microsoft\Windows\CurrentVersion\Policies\Internet Settings"

EXPLAIN !!EnableKerberos_Explain

VALUENAME "EnableNegotiate"
VALUEON NUMERIC 1
VALUEOFF NUMERIC 0

END POLICY

END CATEGORY

[strings]

EnableKerberos="Enable Integrated Windows Authentication"
EnableKerberos_Explain="Allows Internet Explorer to use Kerberos to authenticate when allowed by a web server"
RegistrySettings="My Custom Settings"

Страницы: 12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565758596061626364656667686970717273747576

Предыдущая тема: Шарю по net share: Системная ошибка 5. Отказано в доступе


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.