» Групповые политики (Group Policy, GPO): документация, ссылки

freeman440
Спасибо попробую!!!
Получается Тот пользователь будет неактивный он нужен только для входа другого пользователя (с другого компа)?

valentin1985
даже можно сделать гостей вход (если не хотите добавлять пользователей по какой-то причине), только пароль не должен быть пустым, иначе будет таже самая ошибка

Доброго времени суток.
Подскажите возможно ли групповыми политиками принудительно показывать язык ввода пароля в окне регистрации и разблокировки пользователя, как будто кнопка "Параметры" уже нажата?

Не могу разобраться в чем проблема.
Открываю вкладку Properties любого OU в Active Directory Users and Computers, в 2008 R2 и не вижу вкладку Group Policy. То есть ее вообще нет. Есть только General, ManagedBy и COM+ Захожу под админом. Проблема в том, что сеть досталась в "наследство", и что может быть причиной такого поведения, не моуг понять пока. Если кто то сталкивался - прошу помощи.
Или в 2008 R2 уже все делается с помощью gpmc.msc?

rudm
да на сколько я помню, в любом win server при активации GPM эта вкладка пропадает в AD.
у меня в 2k3 в том числе...

Цитата:

Или в 2008 R2 уже все делается с помощью gpmc.msc?

скорее всего да, если только Group Policy Management установлен.

в 2003 вкладка остается, но там только кнопка вызова GPM, по крайней мере у меня так.

Такая прблемка:
Поставил server 2008 r2, в параметрах безопасности/политики учетных записей/политика паролей отключил требования сложности к паролю, минимальную длинну пароля и т.д. После установки роли контроллера домена в "Политике паролей" все заблокировано, ничего нельзя менять, полупрозрачно. Захожу под админом.
Как можно решить проблему?

StGrr


Цитата:

Захожу под админом.

Админом домена? Админом схемы?
См. какие разрешения стоят на дефорлную GPO.

StGrr
Запустить gpmc.msc ?

Посоветуйте пожалуйста, как правильно сделать.

Есть доменный контроллер Windows Server 2003 Standard Edition SP2.

Отключил конфигурацию усиленной безопасности ИЕ, создаю в АД политику для группы компьютеров (WinХР), в ней в надежные узлы добавляю адрес нужного сайта. В эту же политику кладу цмд-шник, создающий папочку и регистрирующий АктивХ. Перезагружаю пользовательский ПК. Папочка создается, АктивХ регистрируется, а сайт в надежные узлы не добавляется.

На прошедших проверку в свойствах-безопасность политики поставил полный доступ.

Как добавить сайт в надежные узлы всем?

gygant
Ты бы привёл пример, где ты изменял групповую политику.
Если сайт локальный - то лучше добавить его в зону интрасети. Обычно зона безопасности назначается в "Компоненты Windows/Internet Explorer/Панель управления обозревателем/Страница безопасности/Список назначения зоны безопасности для веб-узлов" (Существуют четыре зоны безопасности в Internet Explorer, пронумерованные от 1 до 4; эти зоны используются параметром политики для связи веб-узлов с зонами. Вот эти зоны: (1) зона интрасети, (2) зона надежных узлов, (3) зона Интернета, (4) зона ограниченных узлов)

Вот тут я захожу в настройку зон безопасности
http://s013.radikal.ru/i322/1010/54/5fb3a5fa65ad.jpg

Сразу как только вошел появляется сообщение. Нажимаю продолжить и "Настройка" в импорте текущих параметров
http://s011.radikal.ru/i315/1010/26/86c3b1f69b4b.jpg

Ну и тут уже кнопка "Узлы"
http://s008.radikal.ru/i303/1010/ef/69bbe1dffc1c.jpg


Сайт (http, не https) не в локалке расположен.

gygant
попробуй добавить сайт там где я написал. это в административных шаблонах.

Попробовал добавить в локальную интрасеть - сайт по-прежнему не добавляется в узлы.

А что за административные шаблоны? Может быть, конечно, я просто название не знаю +)

Написал exe, который создает на диске С текстовый файл, пишет в него строку и выводит сообщение типа "Строка записана".

Создал политику и в ней в раздел Конфигурация компьютера - Конфигурация Windows - Сценарии (Запуск/Завершение) - Автозагрузка поместил свой exe. Создал OU, применил к ней политику, поместил в нее тестовый комп.

Перезагрузил комп. Посмотрел его автозагрузку - мой exe есть в автозагрузке, но никакого результата его работы не видно Ни создается файл, ни выводится сообщение.

Может при запуске через GP нельзя использовать GUI? Почему не работает?..

Добавлено:
А вообще конечная цель - запустить определенную программу до входа пользователя в систему. Или сразу после, но тогда чтобы независимо от того кто залогинился на компе. И еще хотелось бы чтобы пока она выполняется, ничто другое не запускалось и система дальше не грузилась. Бывает же такое, когда например винда какие-то там настройки применяет... Пока они не применятся, рабочий стол не появляется.

Народ, подскажите плиз, как с помощью GPO выставить флажок юзверям "Автоматическое определение параметров" на закладке "Подключение" —> кнопка "Настройка сети" в Cвойствах Обозревателя?

Accessor
User Config -> Win Settings -> Internet Explorer

Такая проблема:

Есть домен domain.local.

В этом домене есть подразделение "Объекты групповой политики", в котором хранятся объекты групповой политики.
В этом подразделении все объекты групповой политики отключены, в том числе и стандартные, кроме собственного объекта mygpo.

Так же в домене есть подразделение myusers, в котором находятся подразделения отделов. В подразделениях отделов находятся пользователи и группы.

Проблема в том, что если связать объект групповой политики mygpo с корнем домена, политика применяется на всех пользователей и группы. В том числе и на domain.local\myusers\<Любой отдел>\<Любой пользователь или группа>.
Но если связать объект групповой политики mygpo с подразделением myusers, содержимое mygpo не отрабатывает вообще. Хотя в свойствах наследования подразделений отделов указано, что mygpo на них наследуется.

Расскажите пожалуйста где я допускаю ошибки? Почему объект политики отрабатывает ТОЛЬКО если он связан с корнем домена?

Спасибо.

Как запретить пользователям добавлять учетные записи в группу локальных администраторов?

Подробнее.
Локальный пользователь имея права локального администратора, может добавить доменого пользователя в группу локаных администраторов, т.к. при добавлении нового пользователя в админы, после ввода учетки и пароля доменого пользователя, доступ дается на просмотр существующих в домене учеток и групп (объекты, места). Где надо закрыть доступ, чтобы при указании доменой учетки пользователя, для просмотра списка объектов, пользователю был запрет на просмотр или добавление в группу локальных админов всех, кроме админа домена?

Цитата:

Где надо закрыть доступ

Цитата:

Локальный пользователь имея права локального администратора

Иначе, имхо, не выйдет...

Lovec
Могу предложить альтернативный "экстремальный" метод .
1. Для Виндуз не выше XP и 2K3. Запускаете редактор реестра в контексте безопасности локальной системы:

Код: AT <Ближайшее_Время> /Interactive RegEdit.Exe

Здравствуйте. Поискал на форуме особо ничего не нашел. В данном разделе точных советов тоже не нашел. Есть WinSerever 2008R2 и парк машин на Win7 Prof. На сервере поднят терминальный сервак и все там работают. Вопрос, как заблокировать рабочие станции при простое в 5 минут, но не блокировать сам терминальный сеанс, чтобы не вводить два раза пароль разблокировки. На сам терминальный сервер накатывается своя политика, сами машины (сервера) вынесены из области действия DefaultDomainPolicy, но в последней указано блокирование по средствам скринсейвера с паролем. Получается что когда пользователь подключается к терминалу то забирает настройки политики с собой по части пользователя и терминальный сеанс также блокируется через время как и локальная машина пользователя, как это исключить. Совет по отмене политики считаю неприемлемым. В политике распространяющейся на терминал время включения скринсейвера не прописано.

DIAEclipse
Как мне известно, эта проблема уже долгое время не имеет красивого решения. Политика пользователя будет применяться на любой рабочей станции или сервере, куда пользователь выполняет логин. Для политики невозможно создать сложный критерий применения (пользователь + компьютер). Возможно, ситуацию на w2008 + w7 как-то может исправить SSO.

я пока не разобрался, домен один и это ооочень гадит, когда по два раза пароль вводить надо для разблокировки. Либо компы тогда не блокируются а это не есть гуд По поводу SSO. Не прокатит, потому как без авторизации терминальный сервер ну не как не могу оставить. Так тчо это отпадает

DIAEclipse
Все давно и красиво решено.
loopback policy Режим замыкания при обработке групповой политики

Пример со скринсейвером

fedmun, возможно ты не понял мне надо чтобы только параметр скринсейвера не передавался, потому как остальные политики пользователя должны работать. Вот в чем беда

DIAEclipse
У меня станции блокируются через 15 минут.
Терминальные сессии - не блокируются.
Все реализовано через loopback policy

fedmun
А у тебя политика сама то применяется на терминалку . По-моему так нет, ты ее откидываешь, и если у тебя заданы на пользователя параметры размещения pst файла outlook то ты их в терминале в итоге не применяешь и многое другое. А дублировать политику пользователя на терминалы я не хочу, потому как половина работает так половина локально и у всех всегда должно быть одинаково . Либо придется отслеживать все параметры в двух политиках а енто неудобно

Добавлено:
Хотя блокировку можно вынести в отдельную политику . Чет я туплю не по детски

DIAEclipse
Почитайте все-таки ,что это такое - loopback policy.
Нигде ничего не откидывается.
Политика переопределяется при входе пользователя на компьютер, на который применяется политика с режимом замыкания.
Поставите там запрет скринсейвера - не будет применяться.

fedmun
На сколько я понял из прочитанного все параметры будут замыкаться, так что если надо какой то один параметр замкнуть, то надо выносить его в отдельную политику, иначе полностью все параметры замкнешь

Добавлено:
fedmun
Поправь меня, если я не прав, что создавать группу безопасности дополнительно в которую ты вносишь опять группы (или участников подразделения) немного глупо. Проще сразу указать в фильтре безопасности политики необходимые группы (организационные еденицы) на которые ты хочешь распространять политику, удалив при этом "Прошедшие проверку"