» Групповые политики (Group Policy, GPO): документация, ссылки

monsoon

Цитата:

Сразу вопрос, когда я вхожу в Cвойства подразделения Department и обеих вновь созданных групп в вкладке "Безопасность" нужно добавлять GR_AC и назначать какие-либо права?

Не нужно. Зачем? Что ты этим хочешь сделать?

Цитата:

Для Department в Delegation нужно кого-то добавлять?

Не нужно. Зачем? Что ты этим хочешь сделать? Ты читал что такое Delegation?
Дальше, имхо, опять идут какие-то мало осмысленные действия...

Давай сначала и по порядку.

Задача:
1. сделать так, чтобы некоторые пользователи могли заходить только на свои компы.
2. сделать так, чтобы некоторая группа пользователей могла заходить на любой комп из п. 1, но не могла на оставшиеся компы.

Решение:
1. в св-вах учётки пользователя добавляем его комп. чтоб он мог заходить только на свой. Это ты уже делал успешно, как я понимаю.

Для информации. Групповая политика некоторой OU действует только на те объекты (учётки пользователей и компьютеров, группы не считаются), которые находятся в этой OU (организационной единице). Т.е. если в OU у тебя нет компьютеров, то политика работать не будет. Ей не на что будет действовать.

2. а) Простой подход без всяких Security Filtering. Создаём группу для админов GR_AC (где эта группа будет лежать не важно). Кидаем в эту группу пользователя "админа". Создаём OU "Test". Кладём в эту OU учётки компов, на которые не должен заходить никто из группы GR_AC. Создаём групповую политику gpo_test, привязываем эту политику к OU "Test". Редактируем политику, в "отклонить локальный вход" указываем группу GR_AC.

2. б) Усложнённый вариант. Похоже по реализации на простой вариант, только задача усложняется тем, что в OU "Test" лежат как компы, на который члены группы GR_AC могут заходить, так и те компы на которые не могут. Значит нам нужно применить запрещающую политику избирательно только на определённые компы. Для этого будем использовать Security Filtering. Создаём группу GR_C, в которую положим компы, на которые члены GR_AC заходить не могут. Выделяем групповую политику gpo_test, добавляем GR_C в Security Filtering, а Authenticated Users удаляем.

ВСЁ!

Народ,
не подскажите, как быть.
1. Надо сделать так, чтобы компы пользователей после не активного действия (через n-минут) блокировались бы. А то некоторые уходят с места, забывая о том, что надо блокировать. А приходят кто-то что то сделал и стрелки нам. В GPO поискал, надо через Screen Saver timeout сделать или есть другой вариант?

2. Надо создать учетную запись, который будет сидеть на DC и просматривать только логи. Достаточно ли будет дать Manage audit logs and events? Ему другие привилегии не надо.

Кстати, есть ли книжка или статейка, где описаны меры безопасности в домене через GPO и в общем. Кое что настроено у меня, но хочу по больше. Чтобы бизнес не пострадал от злодеев и при проблемах, ИТ не был крайним.

Спасибо заранее.

rkhodjaev
1. да через заставку пароль и все

фу... кажется, заработало.
у меня действовала еще локальная политика на компе, к которому должна применяться доменная GP_ac, запрещающая локальный вход всем, кроме админов (ac25 к ним не относится) + не всегда перегружал комп, а лишь завершал сеанс. Полистал версию для печати, попробую команду secedit для w2k.
Также могло оказывать влияние то, что когда открывается редактор объектов ГП он относится к основному контроллеру домена, а подсоединение идет к вторичному. Раньше замечал, что репликация каких-либо изменений на одном из контроллеров не сразу происходит на другом.
Сделал пока без групп, но позже попробую и с ними, в теме вроде понятно написано.
Но, вообще, когда все компы в контейнере Computers, а юзеры в Users как-то удобнее, чем искать их потом по OU.
niichavo, спасибо за помощь.

monsoon
Ну и ладушки!

Цитата:

Сделал пока без групп, но позже попробую и с ними

Можно использовать одновременно как Security Filtering, так и Delegation для более тонкой настройки, если это, конечно, необходимо.

Цитата:

Но, вообще, когда все компы в контейнере Computers, а юзеры в Users как-то удобнее, чем искать их потом по OU

Кому как. niichavo, например, считает, что OU на то и нужны, чтобы всё структурировать по какой-нибудь схеме. Например, по отделам.

niichavo

Цитата:

OU на то и нужны, чтобы всё структурировать по какой-нибудь схеме. Например, по отделам.

Созданная ГП выбивается из схемы по отделам. Компы, которые ac25 (не)может админить находятся в разных отделах, для простоты написал с01-с25, и сам ac25 тоже ни одному из тех отделов не принадлежит. И если появятся подобные схемы, разобраться в этом "лесе" будет сложно.

monsoon

Цитата:

Созданная ГП выбивается из схемы по отделам. Компы, которые ac25 (не)может админить находятся в разных отделах

Если "вырастить" дерево (OU "ЗАО 'рога и копыта' - корень, далее обрастает отделами как ветками), то всё это не имеет никакого значения. Всегда накрайняк можно применить GPO к корню. Что в свою очередь затронет всё дерево. Ну и использовать Security Filtering и/или Delegation чтоб для всех не применялась.

У меня при перезагрузке не все политики применяются. Применение всех заданных политик происходит только через комманду gpupdate /force Как сделать чтоб все политики применялись при загрузке системы.

Добавлено:
При выполнении комманды gpupdate /force меняется значение ключа реестра. В результирующей политике прописано что выполнялся административный шаблон. Как он мог применяться если я все шаблоны удалил? Где еще могут быть прописаны административные шаблоны?

Добавлено:
В результирующей политике в разделе административные шаблоны у этой записи написано

Цитата:

Этот параметр реестра не соответствует
административным шаблонам политик (например, он не
задается в ADM-файлах). Возможно, он был определен
другой оснасткой.

Примечание: этот параметр реестра не хранится в
разделе политики и поэтому имеет более высокий
приоритет. Если объект групповой политики,
использующий этот параметр, будет удален, сам
параметр сохранится.

Как этот параметр был создан и как его удалить?

Есть виртуальная машина на ней домен + обычный компьютер win xp pro(sp3 IE8) в домене

1.Набираю mmc
2.добавляю оснастку - выбираю редактор групповых политик - потом default domain policy
3.Конфигур.пользователя - конфиг windows -настройки IE
4.Там задаю прокси или другие настройки
5 Но они не появляются на win xp pro

Что я делаю не так?

Update:заработало

НО

1.Набираю mmc
2.добавляю оснастку - выбираю редактор групповых политик - потом default domain policy
3.Конфигур.Компьютера - конфиг программ -добавляю пакет
4.Все на это этапе ГУД
Но
5.При добавлении административного шаблона(firefox.adm).На всех машинах не появляются параметры прокси(Хотя они заданы

Сдесь прокся не прописывается(((

доброго времени суток,

можно ли как нибудь отключить локальных администраторов на компьютерах, чтоб пока компьютер в домене, в группу локальные админы входили только члены группы администраторы домена?

в каком месте можно разрешить пользователям домена создавать и использовать подключения к интернету?

Цитата:

можно ли как нибудь отключить локальных администраторов на компьютерах

Можно, см. Конфигурация компьютера-Конфигурация Windows-Параметры безопасности-Локальные политики-Параметры безопасности-Учетные записи:Состояние учетной записи "Администратор"

Прив.
впервые за winserv 2008 r2 и возник вопрос. во вкладке свойств юзера (в AD) нет групповых политик. А в gpm возможно оздать политику, но нет административных шиблонов. Подскажите, в какую сторону копать?

Нужен совет. Есть домен на WS2008. Есть компы и сервера в группе по умолчанию "Компьютеры домена". Хочется чтобы на часть компов в том числе и все новые которые вводятся в домен политиками устанавливались программы и задавался сервер обновлений, на серваки задавался только сервер обновлений, а на "иностранную(нерускую)" часть компов вообще ничего не задавалось.
Так сделать можно: создать группы "Сервера домена" переместить в нее сервера, также для иностранцев, а для оставшихся создать политику с фильтром безопасности "Компьютеры домена" в которой задаются установка программ и WSUS? Сервера переносить из группы "Компьютеры домена" безопасно?

alexsht


Цитата:

Хочется чтобы на часть компов в том числе и все новые которые вводятся в домен политиками устанавливались программы и

Делается так, создаётся организационная единица и помещается туда необходимые компы и на организационную единицу навешиваешь GP с нужными параметрами.

Цитата:

Делается так, создаётся организационная единица и помещается туда необходимые компы и на организационную единицу навешиваешь GP с нужными параметрами.

Хорошо, но я хочу чтобы на новые компы которые в будущем введу в домен сразу применялись политики. Или можно сделать так чтобы новые компы автоматом вводились в какую-то OU, а не в группу "Компьютеры домена?"

Цитата:

Хорошо, но я хочу чтобы на новые компы которые в будущем введу в домен сразу применялись политики.

После ввода компа в домен и его перезагрузки зайти с этого компа через удаленный рабочий стол на контроллер домена и перебросить в нужное OU. Далее или опять перегрузить комп или gpupdate.

Цитата:

Или можно сделать так чтобы новые компы автоматом вводились в какую-то OU, а не в группу "Компьютеры домена?"

Написать или найти на просторах инета скрипт для ввода компа в домен. Можно поискать здесь.

alexsht

Цитата:

можно сделать так чтобы новые компы автоматом вводились в какую-то OU, а не в группу "Компьютеры домена?"

Заранее, перед вводом в домен, создай учётку компа в нужной OU

alexsht
Redirecting the users and computers containers in Active Directory domains
http://support.microsoft.com/kb/324949


Цитата:

The target domain must be configured to run in the Windows Server 2003 domain functional level or higher

Доброго всем времени суток)
Помогите плиз! Завезли недавно нам win7, а домен у нас на win2k3. Есть ли какая-нибудь приблуда для управления всеми политиками win7 с моего dc? Например, я немогу нормально отконфигурить семёрошный файрвол, хотя настроек у него оооч. много))

Potapka смотрите шапку

Цитата:

Статья по ADM и ADMX

http://technet.microsoft.com/ru-ru/magazine/2008.01.layout.aspx

Здравтсвуйте. У меня такой вопрос.
Система Win7 x64
Я создал ftp сайт средствами IIS7. Мне нужно сделать так, что-бы пользователи знающие адрес и один на всех логин и пароль могли бы создавать и добавлять файлы и папки. Но не могли бы их удалять или переименовывать.
Те средства что есть в панели диспетчера служб IIS7 не дают никакого толку. Там только чтение и запись. Если я отключаю запись то пользователь не может создать папку или слить файл. Если включаю запись, то он может спокойненько грохнуть не касающиеся его файлы.
Я создал группу FTP Users, учетную запись "заказчик" и добавил её в группу FTP Users. Соответственно логином для моих посетителей сделал "заказчик" а паролем - пароль для учетки "заказчик". То-есть по идее они должны авторизироваться как локальный пользователь "заказчик" - так? Попробовал поиграться с разрешениями в свойствах папки в которую они перенаправляются автоматически после авторизации. Там есть подходящие мне разрешения. В частности я отключил - изменение. Но это почему то не срабатывает. Пользователь "заказчик" по-прежнему может удалить файлы и папки не им созданные.
Как можно реализовать нужный мне набор разрешений?

У меня домен на Windows 2003, рабочие станции XP pro. подключал сетевой диск политикой user\scripts\logon net use. На Windows 7 ultimate эта политика не подключает диск. gpresult пишет, что политика применена.
Что сделать, чтобы подключался сетевой диск?

Если запустить тотал от имени администратора, то диск есть. Но политика же применяется к текущему пользователю.

Здравствуйте!
искал ответ на свой вопрос во многих топиках.. конкретно ничего не сказано
проблема такая. есть отдельная машина без домена с Windows XP Pro, сама по себе, ранее у юзера с правами пользователя был нормальный доступ к дискам С и Д. сейчас почему то нет прав на запись и там и там, при попытке создать файл какой либо, ошибка: отказано в доступе. если дать админовские права ему - все нормально. но надо только чтоб он под бесправным юзером работал. все этого надо добиться только средствами ХР. когда комп в домене, все понятно и просто, проблем нет, а без.. тыкался так и не нашел (домена нет вообще, только рабочая группа, организация маленькая, компьютеров мало) . можно конечно еще NTFS перегнать в FAT32, затем обратно, но это через одно место, гемора больше.

Ребята!
Прошу помощи

Есть домен
Есть компы которые введены в домен

Как запретить доступ к сети (расшаренным папкам) для компьютеров не введенных в домен даже если известен логин и пароль!

По умолчанию, если с компьютера не введенного в домен, попробовать в войти в сеть появляется запрос логина и пароля, и при их знании можно "бродить" по сети.

Как бы это запретить компам не в домене!????

Цитата:

при попытке создать файл какой либо, ошибка: отказано в доступе...

ждал ждал ответа.. так никто и не подсказал ничего. Только Denn29 подсказал, после того как я ему в почту написал за что спасибо ему несказанное! вот решение: "Откройте окно Свойства папки (как это сделать см. выше). На вкладке Вид снимите галочку "Использовать простой общий доступ к файлам и папкам". Теперь щёлкните правой кнопкой на проблемном файле/папке и выберите Свойства. На вкладке Безопасность нажмите Дополнительно..." с первых слов все понятно практически. решение то простое... домен со своими политиками только с толку сбил меня )

вопрос к гуру :
как через гпо выключить все шары которые есть на раб станциях?
ситуация: в домене с ад на машинках содано просто миллион расшареных папок , создан общий диск который мапится им при логоне но они упорно юзают свои шары ! вот собственно как им поубивать все эти шары ? чтоб папки и доки в них все остались просто с папок снялась шара !

soulthiefer

Цитата:

как через гпо выключить все шары которые есть на раб станциях?

В ЖЭПЭО непосредственно нет такой возможности. В нужной ЖЭПЭО используй скрипт в автозагрузке. Например, такой:

Код:
On Error Resume Next
strComputer = "."

Set objWMI = GetObject("winmgmts:{impersonationLevel=impersonate}!\\" & strComputer & "\root\cimv2")
Set colShares = objWMI.ExecQuery("Select * from Win32_Share")
For Each objShare In colShares
    Select Case UCase(objShare.Name)
        Case "IPC$", "C$", "ADMIN$", "D$", "E$" 'можешь добавить сюда шары, которые не нужно удалять
            'ничего не делаем
        Case Else
            objShare.Delete
    End Select
Next

Подскажите,

есть AD, для пользователей, что работают в Win2003R2SP2 IE6, надо в GPO
добавить ряд сайтов в "надежные узы"
---------------
gpedit: Конф.польз-Админ.шаблоны-КомпонентыWin.-IE-Панель упр.-Страница безопасности-Список назн.зоны безопасности.
Создаю список с номером 2
(параметр - http://contoso.com значение - 2), применяю политику, у пользователя исчезает список адресов microsoft, что был ранее, и не добавляется адрес http://contoso.com)

где рыть ошибку?

Предидущий админ создал в политике административный шаблон по отключению флешек

CLASS MACHINE
CATEGORY !!category
CATEGORY !!categoryname
POLICY !!policynameusb
KEYNAME "SYSTEM\CurrentControlSet\Services\USBSTOR"
EXPLAIN !!explaintextusb
PART !!labeltextusb DROPDOWNLIST REQUIRED
VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 3 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
END CATEGORY
END CATEGORY


В результирующей политике написано

Примечание: этот параметр реестра не хранится в
разделе политики и поэтому имеет более высокий
приоритет. Если объект групповой политики,
использующий этот параметр, будет удален, сам
параметр сохранится.


Как корректно удалить применение данного параметра? Простое удаление шаблона не помогает. При комманде gpupdate /force все равно происходит запись в реестр.

Здраствуйте. Подскажите в чем может быть проблема?
Иероглифы