» Групповые политики (Group Policy, GPO): документация, ссылки

veryom - computer policy на то и coputer policy что применяется для компьютера, а не пользователей.
LazyLamer - Что за политика то хоть?.. что конкретно сделать хочешь?..
Тьфу блин.. сейчас первый твой пост прочитал и понял чо надо то)) действительно я не то писал) Хз - нельзя помоему политику компьютера применять для пользователя одного...
Tempter извини не понял...) объясни популярней что куда ломится... У меня если я ставлю в домашней странице нужный мне адрес - то при запуске осла он у меня никуда ни на какие го.майкрософт не ломится, а ломится куда ему сказано... Если ставлю домашнюю страницу about:blank - то пустая страница... У тебя что за проблема?))

Добавлено:
LazyLamer
http://forum.ru-board.com/topic.cgi?forum=8&topic=10132#1
тут про WMI Filtering написано... я не работал с ним - незнаю поможет это или нет...

Может кто то поможет с AD. Проблема в следующем, стоит Win2003ser

Добавлено:
Может кто-то поможет с AD. Проблема в следующем, стоит Win2003ser, на нем поднята AD, есть три компьютера на них я стал устанавливать драйвера для капир+сканер+принтер, который подключен напрямую к сети. Во время установки, когда дело доходит до установки Microsoft .NET Framework 2.0 он выдает ошибку, что нельзя установить этот компонент, так как windows запущен в безопасном режиме, после этого я вывожу компьютер из домена, переустанавливаю Windows Installer, запускаю драйвера все ставиться нормально, работает сканер, принтер, вообщем устройство работает так как надо. Потом я опять вхожу в домен, перезагружаю компьютер, все нормально, но как стоит еще раз перезагрузиться это многофункциональное устройство перестает сканировать, при попытке установить с ним связь выдает ошибку. Вот такая проблема! Причем есть компьютеры, которые тоже входят в один домен, у них все нормально все работает даже после перезагрузки. Помогите пожалуйста, я уже устал каждый день выводить их домена переустанавливать Windows Installer, а потом опять их водить в домен и все это до первой перезагрузки.
И еще я обратил внимание, что когда многофункциональное устройство не работает на этих компах, то и не выводиться подключения в низу в трее, а когда входишь в папку сетевые подключения, там ничего нету, делаешь обновить, он выдает что нельзя отобразить подключения. Потом выводишь комп из домена, делаешь переустановку Windows Installer, потом опять водишь его в домен, все работает нормально и подключение сетевое появляется в трее и сканирует, что это может быть?

Вскрылась у нас такая проблема-установка обновлениё Винды на рабочие станции не проходит из нехватки прав, хотя учётки под которыми пытались установить обновления добавлены в локальные администраторы. Причём пока компьютер не в домене обновления протекают нормально, а если его добавить в домен и войти локально, то ничего не получается, а если даже вывести компьютер из домена то всё равно не получается обновить. Получается только от имени администратора домена Я так думаю гдето в групповых политиках стоит запрет на установку обновлений, но чего такого я там ничего не нашёл. Может кто сталкивался с таким?

PegasAvA
тебе нужно выйти из домена и переустановить Windows Installer, обновление пойдет, а вот как с этим бороться, какие права нужно пользователю добавить, я бы тоже хотел узнать.

to PegasAvA

Я сталкивался.
Панель управления ===> Администрированиt ===> Active Directory Users and Computers ===> firma.ru (домен) ===> свойства ===> Групповые политики ===> Default Domain Policy ===> Конфигурация пользователя ===> Конфигурация Windows ===> Параметры безопасности ===> Политики ограниченного использования программ

В последнем пункте не должно быть никаких настроек! И всё.

to Tempter
Может ты знаешь и на мою проблему решение???

у меня там и щас ничего нету)

PegasAvA - а в конфигурация компьютера/конф. пользователя --- админ шаблоны --- компоненты Windows --- Windows Update... там ничего не стоит?.. ну это если обновления с инета идут...

to macromedia23

Много не куролесьте с GPO... И сделайте RSOP - увидите - откуда ноги растут...

to PegasAvA

Смотри внимательней на DC похожие пункты... и RSOP...

Я тоже несколько дней мучался с настройщиками таких доменов! В последнем пункте не должно быть никаких настроек! Должно стоять - политика не настроена. Я даже Realtek HDA не мог в домене обновить с сайта MS, пока всю лабуду не вычистил оттуда!

Тебя - macromedia23 - это тоже касается!

Tempter
Извините за глупый вопрос, но что такое RSOP и как его сделать?

А, что значит если после создания новой учетки в AD, когда пытаешься зайти под ней с пользовательского компа то он выдает, что интерактивный вход запрещен???

macromedia23
значит в политиках безопасности на данном компьютере данному юзеру запрещён вход

Tempter
А если я захожу под админом и у меня все права, но некоторые компьютеры нельзя просмотреть через RSOP, пишет нет прав просмотра.

VovaMozg
И как это можно исправить?

macromedia23

Цитата:

И как это можно исправить?

Открываешь редактор объктов групповой политики,
Локальный компьютер -- Конфигурация Windows -- Параметрый безопасности -- Локальные политики -- Назначение прав пользователя
смотри параметры: "Отклонить локальный вход" и "Локальный вход в систему".

[img][img=http://img369.imageshack.us/img369/5466/123rh9.th.jpg][/img]

Цитата:

PegasAvA - а в конфигурация компьютера/конф. пользователя --- админ шаблоны --- компоненты Windows --- Windows Update... там ничего не стоит?.. ну это если обновления с инета идут...

Везде стоит non configured. Может надо что нибудь сконфигурировать? Пока правда не пойму что)

macromedia23 дык эти действия выполняй под администратором. и тутда добавь кого тебе нужно, или "Все"

VovaMozg
это нужно ставить на сервере в политики безопасности в AD?

to ALL

Как вот это:

Чтобы при запуске IE не ломился на http://go.microsoft.com/fwlink/?LinkId=74005 (первоначальная настройка IE 7 через Интернет) добавить в реестр:
Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"RunOnceComplete"=dword:00000001
"RunOnceHasShown"=dword:00000001

сделать через GPO в домене?

Друзья админы, прошу вашей помощи!
Никак не могу избавиться от ошибок Userenv 1058 и 1030. Уже перепробовал большинство советов отсюда http://eventid.net/display.asp?eventid=1058&eventno=1752&source=Userenv&phase=1
Ничего из этого пока не помогло. Ошибки возникают только на одной конкретной политике (видно из ссылки в логах), в которой я назначил пользователям сетевой диск:
net use z: /persistent:no \\dc1\work
Эта комманда у меня записана в файле diskz.cmd который в свою очередь и указан в групповой политике в ветке:
Конфигурация пользователя\Конфигурация Windows\Сценарии входа выхода\Вход в систему
Контроллер домена у меня один (Win2k3 R2 SP2).
Все рабочие станции - WinXP c последними обновлениями (работает WSUS).
gpupdate /force проходит без ошибок.
Прошу помощи в решении данной проблемы.
PS: совет из шапки http://support.microsoft.com/default.aspx?scid=kb;ru;314494 тоже сделал, только пока не могу перезагрузить сервак, так что есть подозрения, что изменения в реестре пока не вступили в силу...

lexel13
Драйвер сетевой карты пробовали обновлять?

Добавлено:
Драйвер сетевой карты пробовали обновлять?

to ALL

Как раздать книгу адресную (e-mail.wab) всем учётным записям? Клиенты работают в Outlook Express-е.

Tempter
А что если написать скрипт, копирующий Адресную книгу в профиль пользователя при входе?

Подскажите, пожалуйста, можно ли как-то в GPO указать список пользователей которым дается доступ по RDP. Не хочу ходить и на каждой машине руками вбивать.

Спасибо.

Venchik

Используйте "Группы с ограниченным доступом"

veryom
Расскажите подробней, пожалуйста.

Venchik
Создай в AD группу, включи в нее необходимых пользователей. И включи эту группу в политику -

Allow log on throught Terminal Services, расположенную:

Computer Configuration\Windows Settings\Security Settings\User Rights Assigment\

ripev
наверное, я не корректно выразился...или не так Вас понял

у меня есть домен, в нем есть несколько OU с компьютерами. Само-собой для каждой из них есть GPO.
Я хочу в одной из GPO разрешить СЕБЕ логиниться по RDP на компьютеры соответствующего подразделения. Если это невозможно сделать централизованно через GPO, то как это можно сделать?

Venchik
Обычно делают через группы, чтобы потом не править политику, а только группу. Но ты можешь в указанном пути добавить только себя. И данную GPO применить только необходимому подразделению. Что не так?

Как с помощью групповых политик запретить автоматический поиск сетевых папок и принтеров?