» Групповые политики (Group Policy, GPO): документация, ссылки

понял ребят спасибо, я ток осваиваю AD в win2008r2/

Добавлено:
ещё вопрос, у меня два сервака с 2008-ым, один контроллер, второй только терминальный... как можно вторый сделать резерывным? вообщем что бы они какое-то время могли и отдельно работать, например один погас на день-два, или наоборот, но всё как работало так и работает?

terence

поднимите на втором серваке контроллер домена и назначьте ему роль глобального каталога (GC). это уже вопросы про AD. Почитайте про AD.

один у меня уже GC второй то же таким же сделать? они сежду собой то как будут реплицироваться автоматически?

terence

да, и это уже действительно вопросы по AD

понял))

emfs

нет... даже не знаю что делать

ребята


Цитата:

есть принтер сетевой и есть 60 человек ... с этих 60 человек нужно только что бы у 20 был доступ на цветную печать а все остальные только ЧБ печать...

попробывал делать группу в АД - bw и color ... добавил например групу bw в политику принтера и в настройках установил ЧБ режим .... по умолчанию пользователь печатает в ЧБ но ему только стоит зайти в настройки драйвера при отправке напечать и он может установить Цвет ....


вопрос .. как и что сделать что бы строго запретить режим цветной печати для определенных юзеров ????
дополнительный соф - ? политики ?
спасибо огромное... жду ответа !

Вопрос следующего характера, касательно терминального сервера.
Человек логинится в терминал, ему создается профиль в C:\document...
В групповых политиках можно сделать перенаправление папок мои документы, рабочий стол и тп.
И тогда эти папки физически будут в другом месте.
А можно ли через политики изменить путь до локально профиля, т.е. изменить его до вида \\server\profiles ? т.е. перенести весь профиль.
суть в том чтобы профили пользователей терминала создавались не на основном системном диске, а на сетевом например.

Добрый вечер есть вопрос!
Можно ли в настройках пользователя "Администратор" отключить возможность пользоваться интернетом (либо конкретным сетевым соединением), а пользователю "Гость" разрешить? Система WindowsXP(32bit).
Надо это дабы свести в минимуму запуск случайной заразы из сети!
Спасибо.

Добрый день подскажите пожалуста. Вообщем есть контенер на него применяется Default Domain Police(DDF) и политика контенера (ПК). Мне надо перекрыть в DDF некоторые параметры на "не задано" ПК.

azzg
Попробуйте залогинется на комп с вистой админом домена, и добавить в учетных записях пользователя домена в локальных админов.

Подскажите, пожалуйста, как из vbscript включать/отключать политику?
(я имею в виду, то что в GPM делается галочкой "link enabled") Не могу найти соответствующую функцию.
(windows 2003 server)

Есть большая группа пользователей. Надо ограничить время их работы на сервере терминалов что бы например с 3-х часов утра до 6-ти они не могли заходить на него.
Как реализовать получше ? =)

darksage
и в чем проблема?
и групповые политики тут не причём!
открываете AD ---> выделяете всех кого хотите ограничить ----> нажимаете Properties ---> вкладка Account ( кажется ) ---> ставите галочку Logon hours ---> активируется кнопка, которую вы и нажимаете ---> и о чудо! вы видите обычный календарный график работы на неделю ---> удачи!

Подскажите, пожалуйста.
Видел сканер групповых политик на ошибки, недостаточную настройку и т.д.
К сожалению, не могу вспомнить название и нигде не могу его найти.
Если кто-то встречал нечто подобное - поделитесь!

ЗЫ: что-то вроде результирующей политики, но с указанием чего не хватает - не настроен аудит, пароль не соответствует сложности ну и т.д.

Alukardd
собственно не в чем ... люди в разных OU сидят. и их много ...

darksage
ну кароче я хз как через GP...
в GP приходит мысль только одна... самопальный скрипт, который будет выкидывать юзера после входа... в отличии от Logon hours политики GP применяются после проверки всех этих данных во время входа...
как написать батник вам помогут тут

добрый день, подскажите пожалуйста, как с помощью групповых политик запретить доступ к определнным папкам и разделам

azzg


Цитата:

как с помощью групповых политик запретить доступ к определнным папкам и разделам

Никак, т.к. это делается с помощью разрешений NTFS.

подскажите как запретить программе выходить в инет или на конкретные ресурсы?
p.s. win 7

Доброго времени суток.
Интересует вопрос, как с помощью групповых политик изменить разрешения для отдельной ветви реестра?
На данный момент в голову приходит только такой способ:
http://support.microsoft.com/?kbid=245031
и поместить сценарий в logon секцию.

п.с.
Хотя, намного интересней была бы возможность выставлять права через .adm шаблоны.

AD на Win2k3, клиенты - Win XP.

Elliner
боюсь, что единственный вариант только через скрипты в автозапуске GPO

как узнать, какая политика требует перезагрузку при gpupdate /force ?

spike
так а зачем собстно? gpupdate /force обновляет полностью все политики...

spike
политики которые не могут примениться на лету например касающиеся профиля
и не перезагрузки а перелогона

Alukardd
пишет, что для применения политики необходимо перегрузиться (или перелогониться)

Может не в ту тему пишу, но возникла проблема.. думаю как решить.
Может кто-нибудь сталкивался и решил данную проблему.
Недавно офицер ИБ проверил AD и выявил пару фактов:
1) Группа Enterprise Admins(EA) и Domain Admins(DA) содержать пользователя Administrator.
2) Для ежедневных задач я использую дефолтную уч.запись - Administrator

Думаю как решить. Если я уберу Administrator'a из групп EA и DA, то потом он ничего не сможет же сделать(то есть какие то глобальные изменения)? Он также предлагает разделить пароль Administrator'a на 2-е части, 1-ю часть я буду знать, а вторую офицер ИБ. А для себя создать новую запись для ежедневных задач(можно ли как нибудь как в БД create user as user_name использовать?) .
У кого нибудь есть нормативные документы по безопасности домена? или как же эти и другие вопросы безопасности домена решать?

Спасибо

rkhodjaev
Пункт 1 не понятен.


Цитата:

Думаю как решить.

А, собственно, какой вопрос/задача/проблема?

Цитата:

можно ли как нибудь как в БД create user as user_name использовать?

Хм. Создать учетную запись и поднять ей привилегии включением в соответствующие группы? Использовать делегирование полномочий?


Цитата:

Он также предлагает разделить пароль Administrator'a на 2-е части, 1-ю часть я буду знать, а вторую офицер ИБ.

Шоб шо? В чем сакральный смысл этих манцев, при наличии еще одной учетной записи, обладающей привилегиями доменного администратора? Встроенная административная учетная запись может быть отключена.


Цитата:

или как же эти и другие вопросы безопасности домена решать?

Для начала - постановкой целей, которых необходимо достичь и формулировкой задач, которые необходимо решить. Если имеется в виду некий Microsoft Domain Security Guide, описывающий, на какие аспекты безопасности вам надо обратить внимание - то едва-ли.

Ну и, наверно, да - к групповым политикам как-то не очень имеет отношение.

rkhodjaev
ну начнём с того, что вот тема про AD!
да с RemComm трудно не согласится...
не понятна цель разделения паролей...
2-я учётка для таких целей у меня создана путем ф-и Copy с учётки Administrator...

RemComm и Alukardd,
Я отписалься в теме - Общие вопросы про AD (Active Directory) - часть II. Можете на новые вопросы отвечат?

Спасибо

Извините если было, но я не нашел...
Пытаюсь разобраться с GPO оставшиеся от прошлого админа.
Итак, есть политика для Computer Configuration, привязана к OU=Computers для Authenticated Users, пользователей в данном OU нет, вопрос - а для чего вообще указывать Authenticated Users если политика должна отработать до входа пользователя?
И еще, если я добавлю в эту политику изменения для User Configuration, эта политика отработает 2 раза, после загрузки ПК и после входа пользователя?

Вопрос снят.