Tempter
А другие политики на этот комп применяются?
А другие политики на этот комп применяются?
» Групповые политики (Group Policy, GPO): документация, ссылки
Домен Windows 2003 Server R2 SP2. Как через GPO установить пользователям/группам пользователей принтер по умолчанию?
to rkhodjaev
А как узнать, применяются или нет??? В свойствах автоматического обновления - настройки подключения к WSUS мои (домена). Компьютер просто ведёт себя так, как будто применена политика ограниченного использования программ. Но за 2 месяца, что я работаю на новом месте я эту политику с первых дней изменил, и все компы её подхватили в домене, кроме этого. У него такое же поведение осталось, как и при включённой этой политике... "Службы криптографии не включены, не возможно проверить setup.inf" и т. п. Главное несколько обновлений комп этот с сервера WSUS комп всёже подхватил, но потом встал колом! Я что-то прочитал, что у этого компа проблемы из-за корневых сертификатов или что-то в этом роде. Их надо подсунуть Internet Explorer-у... я в том направлении двигаюсь? Или что?
А как узнать, применяются или нет??? В свойствах автоматического обновления - настройки подключения к WSUS мои (домена). Компьютер просто ведёт себя так, как будто применена политика ограниченного использования программ. Но за 2 месяца, что я работаю на новом месте я эту политику с первых дней изменил, и все компы её подхватили в домене, кроме этого. У него такое же поведение осталось, как и при включённой этой политике... "Службы криптографии не включены, не возможно проверить setup.inf" и т. п. Главное несколько обновлений комп этот с сервера WSUS комп всёже подхватил, но потом встал колом! Я что-то прочитал, что у этого компа проблемы из-за корневых сертификатов или что-то в этом роде. Их надо подсунуть Internet Explorer-у... я в том направлении двигаюсь? Или что?
to Tempter
Цитата:
Наберите в командной строке следую. команду gpresult после чего выводится список,какие политики применяются для данного компа и юзера.Если политика применяется и не обновляется,то не знаю даже че сказать.....
З.Ы. Комп у ИТ"ка стоит,если да то проблема.Так как я тоже мучаюсь часто,так как мы все разные вещи по настаивали на компе и доступа нет к многим
.
Добавлено:
to Tempter
Цитата:
Наберите в командной строке следую. команду gpresult после чего выводится список,какие политики применяются для данного компа и юзера.Если политика применяется и не обновляется,то не знаю даже че сказать.....
З.Ы. Комп у ИТ"ка стоит,если да то проблема.Так как я тоже мучаюсь часто,так как мы все разные вещи по настаивали на компе и доступа нет к многим .
Цитата:
А как узнать, применяются или нет???
Наберите в командной строке следую. команду gpresult после чего выводится список,какие политики применяются для данного компа и юзера.Если политика применяется и не обновляется,то не знаю даже че сказать.....
З.Ы. Комп у ИТ"ка стоит,если да то проблема.Так как я тоже мучаюсь часто,так как мы все разные вещи по настаивали на компе и доступа нет к многим
. Добавлено:
to Tempter
Цитата:
А как узнать, применяются или нет???
Наберите в командной строке следую. команду gpresult после чего выводится список,какие политики применяются для данного компа и юзера.Если политика применяется и не обновляется,то не знаю даже че сказать.....
З.Ы. Комп у ИТ"ка стоит,если да то проблема.Так как я тоже мучаюсь часто,так как мы все разные вещи по настаивали на компе и доступа нет к многим .
Приветствую.
Кто может подскажет, как в GPO сделать так, чтобы у юзеров на машинках не могли запускаться исполняемые файлы (exe, pif etc...) в определенных папках? Хочу чтобы темпа и темпопари интернет файлз не запускались всякие вредоносные программки.
Добавлено:
всё спасибо.
проблему решил сам.
все очень просто.
В gpmc захожу - Конфигурация пользователя-->Параметры безопасности-->Политики ограниченного использования программ-->Дополнительные правила
Там создаю правило до пути: например c:\temp\
и все работает
если создадите c:\temp\*.exe - то будут в данном правиле только экзешники не будут выполняться. но в подпапках будут. (c:\temp\12\wef.exe - исполнится.) Можно решить проблему c:\temp\*\*\*\*\*\*.exe например вот так
Кто может подскажет, как в GPO сделать так, чтобы у юзеров на машинках не могли запускаться исполняемые файлы (exe, pif etc...) в определенных папках? Хочу чтобы темпа и темпопари интернет файлз не запускались всякие вредоносные программки.
Добавлено:
всё спасибо.
проблему решил сам.
все очень просто.
В gpmc захожу - Конфигурация пользователя-->Параметры безопасности-->Политики ограниченного использования программ-->Дополнительные правила
Там создаю правило до пути: например c:\temp\
и все работает
если создадите c:\temp\*.exe - то будут в данном правиле только экзешники не будут выполняться. но в подпапках будут. (c:\temp\12\wef.exe - исполнится.) Можно решить проблему c:\temp\*\*\*\*\*\*.exe например вот так
Tempter
Службу автоматичекого обновления проверь, чтобы была запущена
drdll
В групповой политике зайти "Конфигурация компьютера"->"Конфигурация Windows"->"Параметры безопасности"->"Политики ограниченного использования программ". Там правой кнопкой и выбрать что-то типа создать политики. В пункте "Дополнительные правила" можно добавить нужные пути.
Службу автоматичекого обновления проверь, чтобы была запущена
drdll
В групповой политике зайти "Конфигурация компьютера"->"Конфигурация Windows"->"Параметры безопасности"->"Политики ограниченного использования программ". Там правой кнопкой и выбрать что-то типа создать политики. В пункте "Дополнительные правила" можно добавить нужные пути.
BULLDOG
а как это сделать так, чтобы Администраторов это правило не касалось?
Может еще кто подскажет? Как переименовать на всех компах локальную учетную запись Гостя? ну и админа тоже
и еще надо добавить в группы Локальных Админов глобальную группу и оставить там только группу - Домен Админ, группу - Локал Админ, юзера - Локальный Админ, а все другие удалить.
а как это сделать так, чтобы Администраторов это правило не касалось?
Может еще кто подскажет? Как переименовать на всех компах локальную учетную запись Гостя? ну и админа тоже
и еще надо добавить в группы Локальных Админов глобальную группу и оставить там только группу - Домен Админ, группу - Локал Админ, юзера - Локальный Админ, а все другие удалить.
to BULLDOG
to rkhodjaev
gpresult - Политика WSUS на пользователя не применяется. Почему, не подскажете? Пользователь состоит в "группе". Но у всех пользователей из этой "группы" политики применились и обновились через WSUS они все. Где ещё посмотреть, почему эта политика не применяется.
На компьютер эта политика применилась!
Обновление вылетает с ошибкой - 0х80092026.
to rkhodjaev
gpresult - Политика WSUS на пользователя не применяется. Почему, не подскажете? Пользователь состоит в "группе". Но у всех пользователей из этой "группы" политики применились и обновились через WSUS они все. Где ещё посмотреть, почему эта политика не применяется.
На компьютер эта политика применилась!
Обновление вылетает с ошибкой - 0х80092026.
Допустим кто-то злонамеренно пытается зайти на своем компе под реквизитами соседа, но логон разрешен только на конкретный компьютер - после определенного числа попыток логона, юзер заблокируется или нет? Т.е., что снала проверяется, верность пароля или возможность логона на определенный комп?
P.S. Как застраховать от этого админские учетки? Понятно, что разумно сменить имя, но если оно все же станет известным кому-то?
P.S. Как застраховать от этого админские учетки? Понятно, что разумно сменить имя, но если оно все же станет известным кому-то?
добрый...
кто может, возможно ли запретить через GPO, пункт - Сделать фоновым рисунком рабочего стола, в IE и просмотровщиках?
спс...
кто может, возможно ли запретить через GPO, пункт - Сделать фоновым рисунком рабочего стола, в IE и просмотровщиках?
спс...
Цитата:
Хочу чтобы темпа и темпопари интернет файлз не запускались всякие вредоносные программки.
Цитата:
а как это сделать так, чтобы Администраторов это правило не касалось?
Присоединяюсь к вопросу. При инсталляции некоторых программ, они распаковываются во временные папки и оттуда устанавливаются. Поэтому можно ли действие политики распространять только на юзеров?
Tempter
let me think!
gap5
Цитата:
Да можно в ГПО настроить так,чтобы после определенного количества попыток(неверных) юзер заблокировался,+ можно время проставить,через какое время будет разблокироваться.Настраивайте здесь.
GPO>Computer Configuration>Windows Settings>Security Settings>Account Policies>Account Lockout Policy[
Цитата:
Скорее всего,возможность логона.
Цитата:
Не понял вопрос я?
Dasky
Цитата:
Такого не знаю,а есть возможность полностью запретить контекстное меня на IE .
GPO>User Configuration>Adminstrative Templates>IE>Browser menus.
to drdll
monsoon
Цитата:
Каких админов именно?
let me think!
gap5
Цитата:
но логон разрешен только на конкретный компьютер - после определенного числа попыток логона, юзер заблокируется или нет?
Да можно в ГПО настроить так,чтобы после определенного количества попыток(неверных) юзер заблокировался,+ можно время проставить,через какое время будет разблокироваться.Настраивайте здесь.
GPO>Computer Configuration>Windows Settings>Security Settings>Account Policies>Account Lockout Policy[
Цитата:
Т.е., что снала проверяется, верность пароля или возможность логона на определенный комп?
Скорее всего,возможность логона.
Цитата:
P.S. Как застраховать от этого админские учетки? Понятно, что разумно сменить имя, но если оно все же станет известным кому-то?
Не понял вопрос я?
Dasky
Цитата:
кто может, возможно ли запретить через GPO, пункт - Сделать фоновым рисунком рабочего стола, в IE
Такого не знаю,а есть возможность полностью запретить контекстное меня на IE .
GPO>User Configuration>Adminstrative Templates>IE>Browser menus.
to drdll
monsoon
Цитата:
Администраторов это правило не касалось?
Каких админов именно?
rkhodjaev
Цитата:
домена, компа.
А что можно указать, чтобы политика применялась для админа компа и не применялась для админа домена, и наоборот?
Цитата:
Каких админов именно?
домена, компа.
А что можно указать, чтобы политика применялась для админа компа и не применялась для админа домена, и наоборот?
monsoon
Запретить вполнение политики для определенных компов.
Запретить вполнение политики для определенных компов.
Цитата:
Да можно в ГПО настроить так,чтобы после определенного количества попыток(неверных) юзер заблокировался,+ можно время проставить,через какое время будет разблокироваться.Настраивайте здесь.
Я знаю, что это настраивается, я спрашиваю будет ли лочиться юзер при попытке логона (с неправильным паролем) с неразрешенного компа?
Цитата:
Не понял вопрос я?
Как защитить админские учетки от брутфорса, но в тоже время не давать им заблокироваться при попытках неверного логона? Скажем, есть ли возможность блокировать логон учетки на определенный комп, а не для всех компов сразу?
to rkhodjaev
Чё сказал-то?
Чё сказал-то?
Не могу в GPO найти опцию где можно задать список Security - "Trusted Sites" (Безопасность - Надежные узлы) для IE. Я слепой или там этого нет?
Спасибо.
Спасибо.
не знаю где это спросить.. 
у некоторых пользователей домена не открываются pdf в adobe acrobat (переустановка adobe acrobat'a непомогает), но если добавить пользователя в локальную группу "опытных пользователей" - pdf'ы открываются ..
где и как это можно исправить, в групповых политиках? .. или ткните меня в нужную тему
у некоторых пользователей домена не открываются pdf в adobe acrobat (переустановка adobe acrobat'a непомогает), но если добавить пользователя в локальную группу "опытных пользователей" - pdf'ы открываются ..
где и как это можно исправить, в групповых политиках? .. или ткните меня в нужную тему
Подскажете, как разобраться с групповыми политиками (изначально они вообще никаким образом мной не трогались), которые мне создал (или испортил) вирус.
Система win xp pro (sp2). Доменов и ad нет.
На этой вкладке
Вместо надписи "брандмауэр windows помогает защитить ваш компьютер." Стоит надпись "Некоторые параметры управляются групповой политикой"
При этом "включить" и "выключить" неактивны, т.е. самому их изменить нельзя.
Как вернуть все к нормальному виду ?
Система win xp pro (sp2). Доменов и ad нет.
На этой вкладке
Вместо надписи "брандмауэр windows помогает защитить ваш компьютер." Стоит надпись "Некоторые параметры управляются групповой политикой"
При этом "включить" и "выключить" неактивны, т.е. самому их изменить нельзя.
Как вернуть все к нормальному виду ?
gpedit.msc
здраствуйте.
хочу сделать отображение имени пользователя в сетевом окружении. т.е. внедрить скрипты описанные в этой статье
http://www.networkdoc.ru/windows-script-host-wsh-/otobrazhenie-imeni-polzovatelya-rabotayuschego-na-kompyutere-v-setevom-okruzh-4.html
но смущает следующая формулировка
Цитата:
в моей ситуации, пользователям нельзя давать права локального администратора.
как разрешить пользователю исправлять определенный ключ реестра я знаю. regedt32, правда для этого придется всех обойти. может есть другой способ?
а главное как, разрешить пользователю перезапуск службы, используя груповые политики, не понимаю(( подскажите - это вообще возможно?
другими словами - можно ли заставить этот скрипт работать, не давая пользователям локального администратора?
хочу сделать отображение имени пользователя в сетевом окружении. т.е. внедрить скрипты описанные в этой статье
http://www.networkdoc.ru/windows-script-host-wsh-/otobrazhenie-imeni-polzovatelya-rabotayuschego-na-kompyutere-v-setevom-okruzh-4.html
но смущает следующая формулировка
Цитата:
Важное замечание:
В действительности обычный пользователь не имеющих администраторских прав на локальном компьютере не может изменять значение переменных реестра в разделе HKEY_LOCAL_MACHINE, а так же не имеет прав на перезапуск службы сервер (server). Т.е. для работы скрипта необходимо наделить пользователя соответствующими правами, проще всего это сделать, создав отдельную групповую политику, используя которую мы дадим необходимые разрешения, а так же будем запускать данный скрипт при логине пользователя на компьютере.
в моей ситуации, пользователям нельзя давать права локального администратора.
как разрешить пользователю исправлять определенный ключ реестра я знаю. regedt32, правда для этого придется всех обойти. может есть другой способ?
а главное как, разрешить пользователю перезапуск службы, используя груповые политики, не понимаю(( подскажите - это вообще возможно?
другими словами - можно ли заставить этот скрипт работать, не давая пользователям локального администратора?
Подскажите, как настроить нормальное обновление политик в случае, если клиент подключается по wi-fi? Проблема в том, что wi-fi соединение поднимается где-то через 1-1,5 минуты после загрузки компа, соответственно в этот промежуток времени винда безуспешно пытается связаться с контроллером домена, получает отлуп и ничего не работает....
pakege
Цитата:
можно
Цитата:
конфигурация компьютера - конфигурация Windows - параметры безопасности - системные службы - выбираеш нужную службу и настраиваеш разрешения и тип запуска
Цитата:
конфигурация компьютера - конфигурация Windows - сценарии (запуск\завершени) - автозагрузка - добавить 2 файла:
Код:
@echo off
regedit.exe /s \\полный_путь\до_ файла\название.reg
Цитата:
другими словами - можно ли заставить этот скрипт работать, не давая пользователям локального администратора?
можно
Цитата:
а главное как, разрешить пользователю перезапуск службы, используя груповые политики, не понимаю(( подскажите - это вообще возможно?
конфигурация компьютера - конфигурация Windows - параметры безопасности - системные службы - выбираеш нужную службу и настраиваеш разрешения и тип запуска
Цитата:
как разрешить пользователю исправлять определенный ключ реестра я знаю. regedt32, правда для этого придется всех обойти. может есть другой способ?
конфигурация компьютера - конфигурация Windows - сценарии (запуск\завершени) - автозагрузка - добавить 2 файла:
Код:
@echo off
regedit.exe /s \\полный_путь\до_ файла\название.reg
sVx спасибо за участие.
целый день бьюсь с этим скриптом, но увы...
подскажите, что делаю не так
а делаю следующее
создаю для пробы отдельный OU
в него помещаю юзера test и компьютер vrt2ks2 (виртуальная машинка на windows 2000 server)
задаю политику в которой
Цитата:
Startup mode ставлю automatic
Edit Security ставлю Everyone - FullControl
Далее в
Цитата:
Далее в
Цитата:
запускаю виртуалку под пользователем тест.
делаю secedit /refreshpolicy machine_policy
secedit /refreshpolicy user_policy
опять перелогиневаюсь и ничего не получаю((
пробую выполнить скрипт руками
ключ реестра изменяется!
но служба не перезапускается, соответственно результата нет((
да. забыл сказать. домен на win 2000
клиенты - тоже 2000 pro
целый день бьюсь с этим скриптом, но увы...
подскажите, что делаю не так
а делаю следующее
создаю для пробы отдельный OU
в него помещаю юзера test и компьютер vrt2ks2 (виртуальная машинка на windows 2000 server)
задаю политику в которой
Цитата:
конфигурация компьютера - конфигурация Windows - параметры безопасности - системные службы - server
Startup mode ставлю automatic
Edit Security ставлю Everyone - FullControl
Далее в
Цитата:
конфигурация компьютера - конфигурация Windows - параметры безопасности - RegistryДобавляю соответствующую ветку и в Edit Security ставлю Everyone - FullControl
Далее в
Цитата:
User Configuration - Windows Settings - Scripts - LogonДобавляю скрипт по ссылке из предыдущего сообщения
запускаю виртуалку под пользователем тест.
делаю secedit /refreshpolicy machine_policy
secedit /refreshpolicy user_policy
опять перелогиневаюсь и ничего не получаю((
пробую выполнить скрипт руками
ключ реестра изменяется!
но служба не перезапускается, соответственно результата нет((
да. забыл сказать. домен на win 2000
клиенты - тоже 2000 pro
оказалось что этого было достаточно.
просто проверять надо было не вечером - когда все ушли, а попожже.
я проверил через пару дней (был занят текущими вопросами) и выяснилось что все работает
просто проверять надо было не вечером - когда все ушли, а попожже.
я проверил через пару дней (был занят текущими вопросами) и выяснилось что все работает
Добрй день всем. У меня возник такой вопрос. Можно ли с помощью групповых политик ограничить доступ пользователей домена к локальным ресурсам.
Допустим чтоб пользователь на своей машине мог сохранять документы только в папку
D:\Docs\%USER_NAME%
Добавлено:
Добрй день всем. У меня возник такой вопрос. Можно ли с помощью групповых политик ограничить доступ пользователей домена к локальным ресурсам.
Допустим чтоб пользователь на своей машине мог сохранять документы только в папку
D:\Docs\%USER_NAME%
Допустим чтоб пользователь на своей машине мог сохранять документы только в папку
D:\Docs\%USER_NAME%
Добавлено:
Добрй день всем. У меня возник такой вопрос. Можно ли с помощью групповых политик ограничить доступ пользователей домена к локальным ресурсам.
Допустим чтоб пользователь на своей машине мог сохранять документы только в папку
D:\Docs\%USER_NAME%
h17liner ну можно для него в експлорере скрыть например все диски (ли только отдельные) и сделать ярлычок на нужную папочку. или в политиках настоить пермещаемые паки (в частности мои документы)
Доброго времени суток!
Люди! Прощу мне посодействовать:
- Дабы приучить пользователей к правильной работе на компе, не загружать системный диск всяким хламом, чтобы важная инфа хранилась на сетевом диске, который дублируется, надо очищать рабочий стол и мои документы каждый раз после рестарта компа, либо после перелогина. Знаю, что это возможно, но никак не смог справиться с этой задачей.
ОС W2K3, все пользователи в домене, работал на основе GPO Домена.
Все пользователи работают под ОС Win XP Pro (разумеется).
Один уровень подсети.
Люди! Прощу мне посодействовать:
- Дабы приучить пользователей к правильной работе на компе, не загружать системный диск всяким хламом, чтобы важная инфа хранилась на сетевом диске, который дублируется, надо очищать рабочий стол и мои документы каждый раз после рестарта компа, либо после перелогина. Знаю, что это возможно, но никак не смог справиться с этой задачей.
ОС W2K3, все пользователи в домене, работал на основе GPO Домена.
Все пользователи работают под ОС Win XP Pro (разумеется).
Один уровень подсети.
Johny_x3mal
У моих юЗверей папка "Мои документы" перенаправлена на сервер.
А по поводу рабочего стола - я бы просто запретил им писать в рабочий стол...ну или можно написать батничек, который при каждом логоне/логоффе будет очищать папку
У моих юЗверей папка "Мои документы" перенаправлена на сервер.
А по поводу рабочего стола - я бы просто запретил им писать в рабочий стол...ну или можно написать батничек, который при каждом логоне/логоффе будет очищать папку
Venchik
Спасибо.
Только мне, вот, всё-таки интересно, неужели на уровне GPO Этот вопрос не решается?
Спасибо.
Только мне, вот, всё-таки интересно, неужели на уровне GPO Этот вопрос не решается?
Страницы: 12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565758596061626364656667686970717273747576
Предыдущая тема: Шарю по net share: Системная ошибка 5. Отказано в доступе
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.