» Групповые политики (Group Policy, GPO): документация, ссылки

Добрый день.

Помогите решить следующую проблему:
- есть домен на Win 2003
- поднят AD
- структура OU в АD следующая:
- OU 1
- Laptops (учетные записи ноутбуков)
- Users (учетные записи пользователей по отделам)
- OU Отдела 1
...
- OU Отдела Х
- OU Группы пользователей (группы пользователей по отделам, шарам и т.д.)
- OU Computers (учетные записи стационарных ПК)
- на всех ПК пользователей стоит Win XP SP2
Необходимо реализовать следующее:
- при логоне пользователя на стационарный ПК папка Мои документы перенаправляется на сетевой диск, а при его логоне на ноуте она должна оставаться на локальном диске.

Пробовал:
1) - создать отдельную политику для перенаправления папок (создал политику, прилинковал ее к OU Computers, задал параметры перенаправления папок - не сработало (видимо итз-за того что политика должна применяться к пользователю а не к ПК)
2) - создать отдельную политику для перенаправления папок (создал политику, прилинковал ее к OU Отдела 1, задал параметры перенаправления папок и WMI фильтр (SELECT * FROM ads_computer WHERE DS_distinguishedName LIKE %OU=Workstation%) - не сработало (?)
Что еще можно сделать?

alecsandrb
Loopback processing mode (replace) спасет отца русской демократии.
Вот в этой статье достаточно понятно и по-русски описан смысл использования политик в режиме LPM:
Управление терминальными серверами в среде AD

Такой вопрос. Стоит терминальный сервер для бездисковых клиентов. Настроен Exchange. Можно ли как-то запретить пользователям изменять учетные записи в Microsoft Outlook? Плюс хотелось бы что-бы для каждого заведенного пользователся автоматом при первом входе ставились настройки для работы Outlook с Exchange.
Добавлял административный шаблон для Microsoft Outlook, но либо плохо смотрел, либо там таких настроек нет

Помогите пользователю!!!
Как настрить workstation таким образом что бы она не принимала групповые политики контроллера домена???

1234566
Убрать workstation из подразделения Domain Controllers.
Или тебе надо чтобы комп групповые политики домена не принимал? тогда только вывод компа из домена поможет.

Цитата:

1234566
Убрать workstation из подразделения Domain Controllers.
Или тебе надо чтобы комп групповые политики домена не принимал? тогда только вывод компа из домена поможет.

Согласен это поможет, но хотел бы сохранить машину в домене ...
есть права локального администратора и нет прав администратора контроллера домена???

1234566
Доменные политики в любом случае будут приниматься компом, пока он в домене.

Цитата:

1234566
Доменные политики в любом случае будут приниматься компом, пока он в домене.

Неужели Билл не предусмотрел такой мелочи???

1234566
Какой мелочи? Вся основа домена - это централизованное управление. И как же я буду уверен в том что настраиваю все компы одинаково и что все получают те настройки которые я задаю, если каждый локальный пользователь сможет выключать мои политики.

SSV_RA

Цитата:

Можно ли как-то запретить пользователям изменять учетные записи в Microsoft Outlook?

Что имеется ввиду? Если просто изменять настройки учетных записей, то это можно сделать через шаблоны - запретить доступ к настройках учетных записей в меню.


Цитата:

Плюс хотелось бы что-бы для каждого заведенного пользователся автоматом при первом входе ставились настройки для работы Outlook с Exchange

Автоматическое создание профиля для Outlook

Цитата:

Какой мелочи? Вся основа домена - это централизованное управление. И как же я буду уверен в том что настраиваю все компы одинаково и что все получают те настройки которые я задаю, если каждый локальный пользователь сможет выключать мои политики.

Мне к сожалению нужны не рассуждения на тему, а конкретное решение ...

1234566

Цитата:

конкретное решение ...

Его не существует, кроме как вывести комп из домена.


и еще, рекомендую внимательно прочесть п. 3.2. главы IV Соглашения по использованию

Цитата:

конкретное решение

Нет такого. Можно нарушить связь рабочей станции с контроллером домена, хотя бы даже рассинхронизацией времени, но в этом случае рабочая станция будет в домене лишь формально, доступа к сетевым ресурсам с нее не будет.

Цитата:

Неужели Билл не предусмотрел такой мелочи???

Билл предусмотрел, что бы всякие умники не могли такого сделать. Выбирай - либо в домене, и соответствуешь требованиям доменной политики, или в рабочей группе - сам себе хозяин.

Из разряда предположений, тестить не хочу.
Политика записывается в реестр
для компа - HKEY_LOCAL_MACHINE\SOFTWARE\Policies
для юзера - HKEY_CURRENT_USER\Software\Policies
и затем применяется компом и юзером.

А что если удалить все ненужные значения (или поменять на обратные) и запретить доступ кому-либо в эти ветки реестра?
Правда не вся политика, туда пишется.

1234566

А что тебе мешает переместить учетную запись ПК в отделный орг. юнит и запретить наследование для этого орг. юнита? Тогда к этому ПК будет применена только его локальная политика.

alecsandrb
Он не админ домена.

Clavik

Этого вроде нигде не указывалось, но тогда действительно никак.

alecsandrb
Если посмотришь страницу назад:


Цитата:

есть права локального администратора и нет прав администратора контроллера домена???

Цитата:

Из разряда предположений, тестить не хочу.
Политика записывается в реестр
для компа - HKEY_LOCAL_MACHINE\SOFTWARE\Policies
для юзера - HKEY_CURRENT_USER\Software\Policies
и затем применяется компом и юзером.

А что если удалить все ненужные значения (или поменять на обратные) и запретить доступ кому-либо в эти ветки реестра?
Правда не вся политика, туда пишется.

Если не ошибаюсь, политики пишутся в реестр от учетной записи System, лишение прав на доступ тут чревато полной неработоспособностью Windows

Цитата:

Если не ошибаюсь, политики пишутся в реестр от учетной записи System, лишение прав на доступ тут чревато полной неработоспособностью Windows

Эти ветки реестра пустые. Но параметров там много, включая сертификаты.
Насчет применения групповых политик, мне удалось локально перекрыть надоедавшую и напрягаюющую групповую политику через оснастку "редактор объекта групповой политики", можно конечно работать с каждой, но решение довольно трудоемкое отслеживать и переопределять политики того что там придумают админы. Поэтому и был вопрос о глобальном "рубилнике" который отключает локально групповые политики, которые по умолчанию включены.

На счет того что имя у меня одни чифры - каюсь, плюс - быстро войти в форум и заполнить надоевшие формы авторизации. Ну а с доугой стороны никакого принципиального отличия от осмысленного ника напр (Superpupkin). Все равно здесь не напишу имя, фамилию, номер кредитной карточки и домашний адрес!!!

Добавлено:
А то что не хочу выводить из домена, поскольку пользуюсь некоторыми общими ресурсами, где постоянно надо будет авторизовываться под пользователем домена.

И еще ваопрос, если не удается запретить это настройками может закрыть порт файерволом???

Добавлено:
Спасибо огромное всем кто участвует в обсуждении!!! ))

Цитата:

Насчет применения групповых политик, мне удалось локально перекрыть надоедавшую и напрягаюющую групповую политику через оснастку "редактор объекта групповой политики", можно конечно работать с каждой, но решение довольно трудоемкое отслеживать и переопределять политики того что там придумают админы.

Локальные политика ВСЕГДА перекрываются доменными. Если админ определил для твоего компа политики на уровне домена, то твоему компу уже похер на локальные политики.


Цитата:

А то что не хочу выводить из домена, поскольку пользуюсь некоторыми общими ресурсами, где постоянно надо будет авторизовываться под пользователем домена.

Шарами можно пользоваться и без включения компа в домен. Просто при подключении шары, указываешь свои учетные данные в домене.

Хотел тебе еще предложение дать, но передумал
Самое простое - это найти общий язык с админом, пивка с ним попей, например, он тебе потом сам все откроет

Цитата:

Самое простое - это найти общий язык с админом, пивка с ним попей, например, он тебе потом сам все откроет

Их политика делалась на уровне OU, причем скриптом во время загрузки...это мне удалось перекрыть, если будет тоже самое на уровне домена - надо будет думать ... дальше, искать варианты.

А закрыть файерволом, так чтобы машина аутентифицировалась в домене???

Пиво с ними не получиться очень сложные отношения ... :///

Цитата:

Их политика делалась на уровне OU, причем скриптом во время загрузки...это мне удалось перекрыть, если будет тоже самое на уровне домена - надо будет думать ... дальше, искать варианты.

Ты понимаешь разницу между политикой в OU и дефолтной в домене? Разницы нет, просто есть приоритеты принятия политики, дк вот политика на уровне OU приоритетнее чем доменная, НО если нет политики на уровне OU применяется доменная.

Есть в твоем реестре ветка:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy\History

она тебе показывает историю применения политики твоим компом.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy\History
Содержит две папочки вида {35378EAC-683F-11D2-A89A-00C04FBBCFA2}, {A2E30F80-D7DE-11d2-BBDE-00C04F86AE3B} в них обоих папка 0 в которой уже куча параметров???

смотри _http://support.microsoft.com/default.aspx?kbid=201453

Если в обоих только нули, то применяется скорее всего только Default Domain Policy, а проверить как зовется политика можешь в DisplayName.

И с чего ты решил что:

Цитата:

Их политика делалась на уровне OU, причем скриптом во время загрузки...

Поймал какого-то системотехника и он тебе под пытками рассказал?


Добавлено:
1234566
Я вот тут чего подумал, а шел бы ты в Андеграунд. Здесь рассматриваются вопросы администрирования Групповых политик, а не "Как обмануть групповые политики злого админа"

Вообщем моя помощь в твоем вопросе закрыта.

Господа !

Создаю GPO: add printer

User Configuration/Windows Settings/Scripts (Logon/Logoff)
открываю logon
в открытом Logon Propeties окне жмем Add
показываем путь к скрипту:
\kassirru.local\SYSVOL\kassirru.local\scripts\Add a Printer.vbs
либо в новом контейнере созданном при создании политики
\SYSVOL\domain\Policies\{9A516264-0762-4625-A5CA-09CFF3EE2586}\User\Scripts\Logon\Add a Printer.vbs"

жмем "ОК"
после в окне Logon Propeties окне жмем Aplly

и получаем такую надпись. И не возможность добавить скрипт

the Scripts component is unable to save the changes due to error 32


где копать чтобы исправить ? С чем связанно ? скрипт рабочий проверенно много кратно

Цитата:

error 32

это "The process cannot access the file because it is being used by another process." Проверь, не занят ли кем то.... Возьми Sysinternals FileMon например.... Посмотри в ЭвентЛог, что там есть?

Подскажи может кто сталкивался.
при сохранении после редактирования Административных шаблонов вылетает окошко
[img=http://img157.imagevenue.com/loc584/th_21438_2_12_122_584lo.jpg]
и в итоге ничего не сохраняется..

ПОДСКАЖИТЕ КАК РАЗРЕШИТЬ ПОЛЬЗОВАТЕЛЮ С ОГРАНИЧЕНЫМИ ПРАВАМИ ИСПОЛЬЗОВАТЬ ПРОГИ УСТАНОВЛЕНЫЕ НА ЕГО КОМПЕ ЛОКАЛЬНЫМ АДМИНОМ

После переименования компьютера и ввода его в домен Результирующая политика при попытке открыть сгенерированный ей: Конфигурация пользователя- административные шаблоны выдает следующую ошибку: типа не удалось найти файл \\Старое имя компа\admin$\... В реестре где нашел везде заменил старое имя на новое. Не помогло. Откудова RSoP берет это имя?