DIAEclipse
как применять политику только на сервере
как применять политику только на сервере
» Групповые политики (Group Policy, GPO): документация, ссылки
DIAEclipse
Цитата:
По умолчанию все параметры политики имеют статус "Не задана"
Сервер в OU, политику к нему и в ней указать режим замыкания и скринсейвер - запретить.
Цитата:
На сколько я понял из прочитанного все параметры будут замыкаться
По умолчанию все параметры политики имеют статус "Не задана"
Сервер в OU, политику к нему и в ней указать режим замыкания и скринсейвер - запретить.
Refugee
Спасибо, конечно, но у меня немного другая задача. И вопрос о применении политики только на сервере не стоит. И чтобы было более понятно по иерархии (OU) у меня сервера стоят на уровне с рабочими станциями.
Добавлено:
fedmun
Давай я скрин кину своей иерархии, тогда может проще будет. Просто у меня смысла замыкания особо и нет, потому как разнесены в разные OU сервера и станции, и по иерархии на одном уровне и DefaultDomainPolicy распределяется только на рабочие станции и пользователей домена прошедших проверку. А в политике на терминалы стоит запрет на запуск скринсейверов, но не прокатывает
Спасибо, конечно, но у меня немного другая задача. И вопрос о применении политики только на сервере не стоит. И чтобы было более понятно по иерархии (OU) у меня сервера стоят на уровне с рабочими станциями.
Добавлено:
fedmun
Давай я скрин кину своей иерархии, тогда может проще будет. Просто у меня смысла замыкания особо и нет, потому как разнесены в разные OU сервера и станции, и по иерархии на одном уровне и DefaultDomainPolicy распределяется только на рабочие станции и пользователей домена прошедших проверку. А в политике на терминалы стоит запрет на запуск скринсейверов, но не прокатывает
Цитата:
А в политике на терминалы стоит запрет на запуск скринсейверов, но не прокатывает
В ней стоит режим замыкания?
да, только для группы "терминалы". Прошедшие проверку удалены
В режиме замыкания эта политика применится последней.
Для "прошедших проверку" это означает, что скринсейвер отключиться.
Так что их как-раз включить и надо.
Для "прошедших проверку" это означает, что скринсейвер отключиться.
Так что их как-раз включить и надо.
DIAEclipse
сделаейте в OU пользователей две политики, одну с блокированием экрана и WMI фильтром только для workstation, другую без блокирования с фильтром для серверов.
сделаейте в OU пользователей две политики, одну с блокированием экрана и WMI фильтром только для workstation, другую без блокирования с фильтром для серверов.
fedmun
Чет я запутался уже. У меня стоит запрет на включение заставки в политике она распространяется на только на OU Терминалы, в данном подразделении находятся несколько серверов и никаких пользователей. В фильтре безопасности политике у меня указаны только сервера - итог заставка включается. менял на Прошедших проверку - с чтением и применением политики - итог заставка включается
Кажется догнал в чем дело...щас попробую
Чет я запутался уже. У меня стоит запрет на включение заставки в политике она распространяется на только на OU Терминалы, в данном подразделении находятся несколько серверов и никаких пользователей. В фильтре безопасности политике у меня указаны только сервера - итог заставка включается. менял на Прошедших проверку - с чтением и применением политики - итог заставка включается
Кажется догнал в чем дело...щас попробую
Цитата:
У меня стоит запрет на включение заставки в политике она распространяется на только на OU Терминалы, в данном подразделении находятся несколько серверов и никаких пользователей.
Цитата:
Computer Configuration
Система/Групповая политика
Режим обработки замыкания пользовательской групповой политики - Замена
Стоит?
Refugee
fedmun
Огроменное спасибо за помощь. Результат меня неумного - меньше надо тупить и быть внимательнее (я про себя). Все работает
Добавлено:
Ответьте плиз еще на вопрос. Если на сервер применяется политика уже, плюс добавляю замкнутую политику с несколькими параметрами (в режиме ЗАМЕНА) в результате что получится, первая политика затрется только теми параметрами что в замкнутой, т.е. если параметр допустим стоял включена, то станет Не задано? или заменятся только те параметры которые указаны. Просто сомнения у меня вкрались. такое ощущение что политика одна урезается полностью
fedmun
Огроменное спасибо за помощь. Результат меня неумного - меньше надо тупить и быть внимательнее (я про себя). Все работает
Добавлено:
Ответьте плиз еще на вопрос. Если на сервер применяется политика уже, плюс добавляю замкнутую политику с несколькими параметрами (в режиме ЗАМЕНА) в результате что получится, первая политика затрется только теми параметрами что в замкнутой, т.е. если параметр допустим стоял включена, то станет Не задано? или заменятся только те параметры которые указаны. Просто сомнения у меня вкрались. такое ощущение что политика одна урезается полностью
Цитата:
заменятся только те параметры которые указаны
точно, те которые выставлены ON/OFF
Если "Не задана" - останутся как есть
DIAEclipse
Если стоит режим merge - то loopback policy применится после пользовательской
если replace - то пользовательская не применяется вообще, только loopback
как это перевели в русской версии, не знаю.
Если стоит режим merge - то loopback policy применится после пользовательской
если replace - то пользовательская не применяется вообще, только loopback
как это перевели в русской версии, не знаю.
все нашел ооочень подробно описано про режимы
Добавлено:
Замыкание на себя со слиянием или заменой
Замыкание на себя — дополнительный параметр групповой политики, предназначенный для компьютеров в строго контролируемых средах, например на серверах, в лабораториях, классных комнатах, ларьках и приемных. Замыкание на себя работает только в том случае, если учетные записи пользователя и компьютера принадлежат домену под управлением Windows 2000 или более поздних версий. Замыкание на себя не работает на компьютерах, принадлежащих рабочей группе. Установка замыкания на себя приводит к тому, что параметры конфигурации пользователя в объекте групповой политики, применимые к компьютеру, будут применены ко всем пользователям, входящим на этот компьютер вместо (в режиме замены) или в дополнение (в режиме слияния) параметров конфигурации пользователя. Это обеспечивает применение постоянного набора политик к любому подключающемуся пользователю, вне зависимости от местонахождения этих политик в Active Directory. Замыкание на себя управляется параметром Режим обработки замыкания пользовательской групповой политики (User Group Policy loopback processing mode), находящемся в редакторе объектов групповой политики консоли управления групповой политикой в разделе «Конфигурация компьютера\Административные шаблоны\Система\Групповая политика».
По умолчанию пользовательские параметры берутся из списка объектов групповой политики, применяемых в объекту пользователя в Active Directory. Во время применения групповой политики на клиентском компьютере модуль групповой политики создает упорядоченный список объектов групповой политики с сайта, домена и всех подразделений для данного объекта пользователя.
Замыкание на себя может быть Не задано (Not Configured), Включено (Enabled) или Отключено (Disabled). В состоянии Включено (Enabled) можно установить параметры Объединение (Merge) или Замена (Replace). В любом случае пользователь получает только параметры политики, относящиеся к пользователю.
Замена (Loopback with Replace). В случае замыкания на себя с заменой список объектов групповой политики для пользователя будет полностью заменен списком объектов групповой политики, полученным для компьютера при его запуске (на шаге 2 в разделе Обработка и приоритеты групповых политик). Параметры «Конфигурации пользователя» (User Configuration) в этом списке применяются к пользователю.
Объединение (Loopback with Merge). В этом случае список объектов групповой политики создается путем объединения. Сначала в обычном порядке происходит получение списка объектов групповой политики по умолчанию, а затем к нему присоединяется список объектов групповых политик для компьютера (полученный во время запуска). В случае конфликта параметров объекты групповой политики компьютера имеют преимущество над объектом групповой политики пользователя, так как объект групповой политики компьютера обрабатывается позднее.
Добавлено:
Замыкание на себя со слиянием или заменой
Замыкание на себя — дополнительный параметр групповой политики, предназначенный для компьютеров в строго контролируемых средах, например на серверах, в лабораториях, классных комнатах, ларьках и приемных. Замыкание на себя работает только в том случае, если учетные записи пользователя и компьютера принадлежат домену под управлением Windows 2000 или более поздних версий. Замыкание на себя не работает на компьютерах, принадлежащих рабочей группе. Установка замыкания на себя приводит к тому, что параметры конфигурации пользователя в объекте групповой политики, применимые к компьютеру, будут применены ко всем пользователям, входящим на этот компьютер вместо (в режиме замены) или в дополнение (в режиме слияния) параметров конфигурации пользователя. Это обеспечивает применение постоянного набора политик к любому подключающемуся пользователю, вне зависимости от местонахождения этих политик в Active Directory. Замыкание на себя управляется параметром Режим обработки замыкания пользовательской групповой политики (User Group Policy loopback processing mode), находящемся в редакторе объектов групповой политики консоли управления групповой политикой в разделе «Конфигурация компьютера\Административные шаблоны\Система\Групповая политика».
По умолчанию пользовательские параметры берутся из списка объектов групповой политики, применяемых в объекту пользователя в Active Directory. Во время применения групповой политики на клиентском компьютере модуль групповой политики создает упорядоченный список объектов групповой политики с сайта, домена и всех подразделений для данного объекта пользователя.
Замыкание на себя может быть Не задано (Not Configured), Включено (Enabled) или Отключено (Disabled). В состоянии Включено (Enabled) можно установить параметры Объединение (Merge) или Замена (Replace). В любом случае пользователь получает только параметры политики, относящиеся к пользователю.
Замена (Loopback with Replace). В случае замыкания на себя с заменой список объектов групповой политики для пользователя будет полностью заменен списком объектов групповой политики, полученным для компьютера при его запуске (на шаге 2 в разделе Обработка и приоритеты групповых политик). Параметры «Конфигурации пользователя» (User Configuration) в этом списке применяются к пользователю.
Объединение (Loopback with Merge). В этом случае список объектов групповой политики создается путем объединения. Сначала в обычном порядке происходит получение списка объектов групповой политики по умолчанию, а затем к нему присоединяется список объектов групповых политик для компьютера (полученный во время запуска). В случае конфликта параметров объекты групповой политики компьютера имеют преимущество над объектом групповой политики пользователя, так как объект групповой политики компьютера обрабатывается позднее.
DIAEclipse
Для этого есть замечательная процедура в GPO "Моделирование"!
Для этого есть замечательная процедура в GPO "Моделирование"!
ВОПРОС: Наложение(дополнение) одинаковых групповых политик.
Делаю в домене первую политику PolicyA
Policy Setting
Don't run specified Windows applications
List of disallowed applications
a.exe
Линкую к домену - на клиентах в реестре все появляется, политика работает.
Добавляю вторую политику PolicyB
Policy Setting
Don't run specified Windows applications
List of disallowed applications
b.exe
Линкую к домену - никакой реакции на клиентах. В реестре ничего не появляется.
Проверяю через Policy Modeling, запрашиваю через Policy Results - везде пишет что обе политики применились успешно:
Group Policy Objects
Applied GPO
PolicyA AD (1), Sysvol (1)
PolicyB AD (5), Sysvol (5)
Но на клиенте никакой реакции на PolicyB - запись "b.exe" в DisallowRun не появляется.
Я правильно понял что одинакове политики банально не умеют добавляться?
Домен Win2003 клиенты XP.
Делаю в домене первую политику PolicyA
Policy Setting
Don't run specified Windows applications
List of disallowed applications
a.exe
Линкую к домену - на клиентах в реестре все появляется, политика работает.
Добавляю вторую политику PolicyB
Policy Setting
Don't run specified Windows applications
List of disallowed applications
b.exe
Линкую к домену - никакой реакции на клиентах. В реестре ничего не появляется.
Проверяю через Policy Modeling, запрашиваю через Policy Results - везде пишет что обе политики применились успешно:
Group Policy Objects
Applied GPO
PolicyA AD (1), Sysvol (1)
PolicyB AD (5), Sysvol (5)
Но на клиенте никакой реакции на PolicyB - запись "b.exe" в DisallowRun не появляется.
Я правильно понял что одинакове политики банально не умеют добавляться?
Домен Win2003 клиенты XP.
Где найти перевод ГПО на русский язык ?
интересует что то наподобии :
http://www.microsoft.com/downloads/en/details.aspx?FamilyID=18c90c80-8b0a-4906-a4f5-ff24cc2030fb&displaylang=en
WindowsServer2003SP2GroupPolicySettings.xls - такое только на русском.
3.9MB
интересует что то наподобии :
http://www.microsoft.com/downloads/en/details.aspx?FamilyID=18c90c80-8b0a-4906-a4f5-ff24cc2030fb&displaylang=en
WindowsServer2003SP2GroupPolicySettings.xls - такое только на русском.
3.9MB
Есть патч для терминальной службы рабочей станции Windows. Всё нормально работает, админ может работать параллельно на компе пользователя. Но после ввода в домен, снова пропадает возможность параллельно работать админу на компе. Почему?
Применяется доменная политика и количество одновременных подключений меняется?
Как исправить? Потому что посмотреть на рабочий стол залогинившегося юзера можно и зайдя в параллельный сеанс, а возможность настраивать незаметно для пользователя тоже нужно бывает.
Применяется доменная политика и количество одновременных подключений меняется?
Как исправить? Потому что посмотреть на рабочий стол залогинившегося юзера можно и зайдя в параллельный сеанс, а возможность настраивать незаметно для пользователя тоже нужно бывает.
Доброго времени суток.
Нужно решить следующие задачи:
1). Чтобы после загрузки ОС (после загрузки в трей всех программ), автоматом, т.е в фоне устанавливалось соединение по требованию, т.е чтобы не выскакивало диалоговое окно и не нужно было нажимать "подключить".
2). Чтобы пользователь мог нажимать на определенные ярлыки и могли запускаться только определенные программы в его учётной записи + нужно настроить под данного конкретного пользователя размер ярлыков - нужно сделать крупные ярлыки + чтобы можно было нажать только кнопку "пуск"
иными словами нужно ограничить права пользователя до минимально возможных - для сёрфа в интернете не более этого
Система Windows XP Professional SP2 ...
Есть ли встроенные возможности в самой ОС для решения подобных задача или быть нужны какие-то сторонние утилиты ? , если конечно они есть, то как называются ?
Короче как это можно сделать ?
Если не туда написал - ссори , подскажите куда нужно написать ... ?
Нужно решить следующие задачи:
1). Чтобы после загрузки ОС (после загрузки в трей всех программ), автоматом, т.е в фоне устанавливалось соединение по требованию, т.е чтобы не выскакивало диалоговое окно и не нужно было нажимать "подключить".
2). Чтобы пользователь мог нажимать на определенные ярлыки и могли запускаться только определенные программы в его учётной записи + нужно настроить под данного конкретного пользователя размер ярлыков - нужно сделать крупные ярлыки + чтобы можно было нажать только кнопку "пуск"
иными словами нужно ограничить права пользователя до минимально возможных - для сёрфа в интернете не более этого
Система Windows XP Professional SP2 ...
Есть ли встроенные возможности в самой ОС для решения подобных задача или быть нужны какие-то сторонние утилиты ? , если конечно они есть, то как называются ?
Короче как это можно сделать ?
Если не туда написал - ссори , подскажите куда нужно написать ... ?
приветствую коллеги)))
два вопроса
1. Можно ли с помощью политик, сделать на всех компах отображение расширений фалов.
2. Можно ли с помощью политик задать настройки IE8, что бы у всех он принимал активX, загружал файлы и т д, вообщем сделать его менее пугливым и что бы задавал меньше вопросов?
два вопроса
1. Можно ли с помощью политик, сделать на всех компах отображение расширений фалов.
2. Можно ли с помощью политик задать настройки IE8, что бы у всех он принимал активX, загружал файлы и т д, вообщем сделать его менее пугливым и что бы задавал меньше вопросов?
terence
Цитата:
Можно, как минимум через vbs.
Цитата:
Можно, это встроенная функция в стандартном GPO.
Цитата:
1. Можно ли с помощью политик, сделать на всех компах отображение расширений фалов.
Можно, как минимум через vbs.
Цитата:
2. Можно ли с помощью политик задать настройки IE8, что бы у всех он принимал активX, загружал файлы и т д, вообщем сделать его менее пугливым и что бы задавал меньше вопросов?
Можно, это встроенная функция в стандартном GPO.
а то что все пользы у себя на компах являются администраторами не помеха?
Добрый день. Сделали инвентаризацию ПО( SAM ),потом приказ по предприятию по разрешенному ПО на каждой машине. Как с помощью GP этот список разрешить,а остальное запретить? никогда не задавался такой задачей(
peacefula
Ну, наверное, самое простое - активировать "Software Restriction Policies". Живут по адресу "Computer Configuration" -> "Windows Settings" -> "Security Settings".
Ну, наверное, самое простое - активировать "Software Restriction Policies". Живут по адресу "Computer Configuration" -> "Windows Settings" -> "Security Settings".
Домен 2003, станции ХР.
Нужно с помощью групповой политики внести изменения в папку "all users\desktop" на станциях.
Добавил новую политику, Конфигурация компьютера - Конфигурация Windows - Автозагрузка - test.cmd. Политика запускается, но от доменного пользователя и не хватает прав на внесение изменений.
А как сделать, чтобы она запускалась с правами администратора при входе доменного пользователя?
Нужно с помощью групповой политики внести изменения в папку "all users\desktop" на станциях.
Добавил новую политику, Конфигурация компьютера - Конфигурация Windows - Автозагрузка - test.cmd. Политика запускается, но от доменного пользователя и не хватает прав на внесение изменений.
А как сделать, чтобы она запускалась с правами администратора при входе доменного пользователя?
cat_on_boat
Как вариант, можно в скрипте использовать RunAs или что-нибудь в том же роде.
Как вариант, можно в скрипте использовать RunAs или что-нибудь в том же роде.
Подскажите плиз, как через групповые политики привязать имя к адресу
то-есть на имя wsus конкретная группа компов бегала на конкретный сервер.
то-есть на имя wsus конкретная группа компов бегала на конкретный сервер.
Grigar
system%root\system32\drivers\etc\hosts
делай для него запись...
Удачи.
system%root\system32\drivers\etc\hosts
делай для него запись...
Удачи.
Извините, что повторяюсь. Но, возможно ли через ГП настроить Outlook 2007 на клиентских машинах так, что бы нельзя было открывать гиперссылки в сообщениях? Установил шаблоны для Outlook, но пока ничего не нашел. Броузеры по умолчанию разные: у кого IE, у кого Firefox. Решаема ли эта проблема вообще? Заранее спасибо.
P.S. Ну хоть ссылочку дайте, покопаюсь, плиззз...
P.S. Ну хоть ссылочку дайте, покопаюсь, плиззз...
Друзья, подскажите как через ГП залить фон рабочего стола одним цветом? Как поставить рисунок понятно, а как сделать рабочий стол цвета хаки не могу найти..
Sinq
Учиться, учиться и ещё раз учиться! (C) В. Ульянов (Ленин)
Используя имеющиеся в Винде шаблоны групповой политики (стандартное их местоположение "%SystemRoot%\Inf") цвет рабочего стола не поменять. Но кто запретил создать свой собственный шаблон? Создайте текстовый файл с расширением adm и следующим содержимым:
Код: Class User
Category !!"ExtendedSettings"
KeyName "Control Panel\Colors"
Policy !!"ColorOfDesktop"
Part !!"ColorOfDesktop" EditText Required
ValueName "Background"
End Part
End Policy
End Category
[strings]
ColorOfDesktop="Цвет рабочего стола"
ExtendedSettings="Дополнительные настройки"
Учиться, учиться и ещё раз учиться! (C) В. Ульянов (Ленин) Используя имеющиеся в Винде шаблоны групповой политики (стандартное их местоположение "%SystemRoot%\Inf") цвет рабочего стола не поменять. Но кто запретил создать свой собственный шаблон? Создайте текстовый файл с расширением adm и следующим содержимым:
Код: Class User
Category !!"ExtendedSettings"
KeyName "Control Panel\Colors"
Policy !!"ColorOfDesktop"
Part !!"ColorOfDesktop" EditText Required
ValueName "Background"
End Part
End Policy
End Category
[strings]
ColorOfDesktop="Цвет рабочего стола"
ExtendedSettings="Дополнительные настройки"
Страницы: 12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565758596061626364656667686970717273747576
Предыдущая тема: Шарю по net share: Системная ошибка 5. Отказано в доступе
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.