» Групповые политики (Group Policy, GPO): документация, ссылки

Народ у меня есть экспорт групповых настроек сделанных в win2k3. Теперь у меня стоит win2k8 реально ли восстановить их в новую винду? При выборе управления архивами и выборе соответствующей папки ни чего мне не показывает(((
Не хватало мне еще к проблемам с учетками и созданием заново ГП заниматься... SIDы конечно у объектов у всех изменились, но линкануть их заново не проблема, а вот опять лазить и менять все настройки...

Кто знает, как в гполитиках назначить юзеру язык ввода и раскладку клавиатуры по умолчанию?
Стандартную локаль конечного пользователя не предлагать - она меняет только региональные настройки.
Интересует окно Язык и службы тестового ввода - то место, где меняется язык ввода и раскладка клавиатуры по умолчанию для пользователя.
Проще говоря - суть задачи следующая: все пользователи должны в окне ввода иметь английский язык, а после входа - русский. Администратор должен всегда иметь английский язык.

Добавлено:
terence

Цитата:

1. Можно ли с помощью политик, сделать на всех компах отображение расширений фалов.

Цитата:

Можно, как минимум через vbs.

А ловчее через реестр:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"HideFileExt"=dword:00000001
Уже не помню как w2k3.. w2k8 - Конфигурация пользователя/Настройка/Реестр - и вперёд!!

Пока был win2k3, 2 раза плотно посидел и все настроил. Щас win2k8 и что-то вот не могу доделать 2 вещи:
1 - раньше сетевые диски подключал скриптами, но в win2k8 есть такая штука как сопоставление дисков - неужто она на XP не распространяется? Клиенты XP Prof SP2.
В настройках указал "Заменять", Повторное подключение, явно указал букву, пользователь и пароль не указывал, указал показать этот диск.
2 - было настроено так, что пользователям было запрещено просматривать сеть. И получать доступ к каким либо сетевым ресурсам кроме подключенных сетевых дисков. Но не помню как и где это настроил! Волнует только 1 момент щас - что бы нельзя было попасть на машины/сервера через адресную строку в проводнике - пример: \\server\. Раньше вылазило типа незя! А щас только в путь работает(((

Windows 2008 Server Enterprise SP2, Windows XP Professional SP2.

MAGNet

Цитата:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"HideFileExt"=dword:00000001

??? Какое отношение имеет скрытие/показ расширений файлов к вашей проблеме?
Итак, по порядку.

Цитата:

все пользователи должны в окне ввода иметь английский язык

При помощи именно политики не сделать. Политика влияет на ветки реестра [HKLM] и [HKCU], а параметры, отвечающие за вышеприведённое требование, находятся в [HKU\.Default]. Так что придётся прибегать к скриптам (относящимся к компам, а не к юзерам, иначе не хватит прав на исполнение). Напр., такой батник:

Код: Reg Add "HKU\.Default\Keyboard Layout\Preload" /V "1" /T Reg_Sz /D "00000409" /F
Reg Add "HKU\.Default\Keyboard Layout\Preload" /V "2" /T Reg_Sz /D "00000419" /F

MAGNet

Цитата:

??? Какое отношение имеет скрытие/показ расширений файлов к вашей проблеме?

А, извиняюсь. Я не заметил, что Вы отвечали другому. Решил, что это с Вашей проблемой связано.

BVV63
Спасибо за развернутый ответ. Буду изучать.
Кстати, с проблемой прав уже сталкивался. Пока не доконца понимаю в каких случаях она возникает. Где-то изменения HKCU проходят, а где-то нет.
Ещё раз спасибо.

Привет.
У меня стоит AD 2003

настроийки груповой политики

Enforce password history 3
Maximum password age 60
Minimum password age 1
Account lockout duration 15 minutes
Account lockuot threshold 3 invalid logons
Reset account lockout counter after 3 minutes


проблема в том что пользовател после 3-х неудачных попыток(10 сек.) в 4-й раз набирает правильный пароль.

А AD смотрю он заблокирован, а он всё ровно может зайти в компютер.

Какие есть соображения по етому поводу.

Заблокирован в домене. Учетные записи и политики кэшируются на случай отказа сети.
Попробуйте настроить в политике ожидание сети при логине (сделайте на клиентской машине после этого gpupdate /force) тогда логина не будет, пока клиент не свяжется с сервером. в противном случае данные берутся из кэша.
для чистоты эксперимента попробуйте заблокированным, но залогинившимся пользователем подключиться через удаленный рабочий стол. если пустит (что вряд ли), то грабли непонятно где, если нет - то проблема связана с кэшированием.

Приветствую.
Возможно ли использовать конструкцию "select * from" при создании WMI фильтра для GPO, возвращающего список членов указанной группы?

Ткните бестолочь мордой в пол, пожалуйста! Как с помощью локальных политик (не домен) на компе с многопользовательской Windows 7 ultimate запретить, к примеру, запуск Диспетчера задач только для конкретной учетной записи, а не для всех в его группе Пользователи?

Ufolog
наверно вы ищите это:

Цитата:

Технология MLGPO является новой функциональной возможностью ОС Windows Vista и расширяет стандартные возможности локальной групповой политики, имеющейся в Microsoft® Windows® XP. Объекты MLGPO позволяют администратору применять различные уровни локальной групповой политики для различных пользователей, работающих на изолированном компьютере. Эта технология идеально подходит для случаев, когда один и тот же компьютер используется несколькими пользователями и не входит в доменное окружение.

Если оно есть в Висте, то должно быть и в W7.
http://oszone.net/5061/ - подробно

Ufolog
При помощи локальной политики возможно и не удастся. Можно в свойствах конкретной учётки заставить выполняться скрипт при регистрации пользователя в системе. Напр., вот такой батник:

Код: Reg Add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System" /V "DisableTaskMgr" /T Reg_DWord /D 1 /F

MAGNet
Спасибо за ответ и особенно за ссылку.
BVV63
Спасибо, но боюсь, правда, что при быстром переключении пользователей это применится ко всем учеткам, нет?

Господа, подсобите с проблемкой - надо терминальным и только терминальним пользователям Вынь2003
запретить выключать комп, тоесть чтобы из под удаленного рабочего стола не смогли выключить комп.
Как запретить всем я знаю, причем тогда народ не сможет выключить и свои локальные тачки
Заранее благодарен

MagistrAnatol
Локальные политики сервера ковырять не пробовали?
%WINDIR%\System32\gpedit.msc

Добавлено:
Ufolog
отпишитесь, если всё получится

MagistrAnatol
А что, терминальные пользователи имеют админские права? По умолчанию с пользовательскими правами сервер и так не выключить...

Добавлено:
Опишите ситуацию подробнее...

MAGNet
их я и ковырял - но отключил на всех локальных тачках выключение компа
BVV63

Цитата:

А что, терминальные пользователи имеют админские права?

ага
убрать их?

MagistrAnatol

Цитата:

убрать их?

Ну, если нет объективных причин для того, чтобы пользователи имели административные полномочия, то логичнее их отнять. Одновременно и вопрос об выключении снимется.

BVV63
а моно решить вопрос без уменьшения полномочий?

MagistrAnatol
Сходу ничего в голову не приходит. Придёт - отпишусь.

Цитата:

А что, терминальные пользователи имеют админские права?

вот и я думаю..

Цитата:

убрать их?

да зачем же?!
думаю, что ещё каждому пользователю при логине нужно открывать страницу с подробным описанием самых интересных ключей реестра и способами их редактирования, а также транслировать обучающее видео: "как пользоваться редактором групповых политик, пока админ {ест;спит;пёть пиво;смотрит порно;трогает секретаршу;смазывает задницу в приемной директора;ищет новую работу}"

Добавлено:

Цитата:

а моно решить вопрос без уменьшения полномочий?

МОЖНО!

Способ раз (не проверено):

Цитата:

rundll32 shell32,SHExitWindowsEx -1 Перегрузить Explorer.
rundll32 shell32,SHExitWindowsEx 1 Выключение компьютера.
rundll32 shell32,SHExitWindowsEx 2 Перезагрузка компьютера.

Способ два (проверено):
нажать самую большую кнопку на системном блоке. один раз.
если не поможет то ещё раз и не отпускать четыре секунда ..но за последствия второго шага я не ручаюсь

Добавлено:
хм.. по первому способу - проверено, но с условием что у юзера есть сабжевая кнопка.
но, с другой стороны, убирание кнопки выключения отбирает права на его выполнение? я не знаю..

не получается использовать локальные adm шаблоны.

есть = win server 2003 sp2 r2 eng и win xp sp3 rus

на сервере adm файлы на англ языке. есть желание редактировать политики на русском с рабочей станции, не изменяя при этом файлы на сервере.

для этого на раб станции было установлено GPMC.

на сервере создана групповая политика, включающая параметры "Отключить автоматическое обновление ADM-файлов" и "Всегда использовать локальные файлы ADM для редактора групповой политики", после чего была привязана к подразделению, содержащему мою рабочую станцию и мою учетную запись, обладающую административными правами.

Судя по RSOP - политика применяется (и к пк и к пользователю).

Однако, запустив GPMC на рабочей станции, далее редактор групповой политики, я увидел, что все шаблоны так и остались на англ языке.

Подскажите, что нужно сделать, чтобы реализовать сию возможность ?

Пользовался мануалом - http://support.microsoft.com/kb/816662/ru

j0nny
Попробуйте с рабочей станции скопировать adm файлы на сервер, предварительно переименовав их (дабы они не затёрли одноимённые файлы на сервере), либо поместив в другое, отличное от стандартного ("%SystemRoot%\inf") место (строго говоря, оно может быть произвольным). А затем, вызвав в редакторе групповой политики контекстное меню на административных шаблонах, добавить новые.

BVV63
спасибо за совет. но меня интересует реализация именно моего сценария

Цитата:

меня интересует реализация именно моего сценария

ОДНАКО!!
чем не устраивает способ BVV63?
опишите не симптомы, а суть проблемы. будем решать.

знаете, проще будет, если вы напишете:
У меня есть: блаблабла
Мне нужно: ё-ё-ё
Вопрос: что делать? (с)Николай Гаврилович Чернышевский

MAGNet


Цитата:

ОДНАКО!!

Цитата:

У меня есть: блаблабла

Цитата:

есть = win server 2003 sp2 r2 eng и win xp sp3 rus

Цитата:

Мне нужно: ё-ё-ё

Цитата:

редактировать политики на русском с рабочей станции, не изменяя при этом файлы на сервере

Цитата:

Вопрос: что делать? (с)Николай Гаврилович Чернышевский

Цитата:

что нужно сделать, чтобы реализовать сию возможность ?

Ищущий да обрящет. Имеющий уши да услышит. Зрячий да увидит.

Цитата:

Ищущий да обрящет. Имеющий уши да услышит. Зрячий да увидит.

Нужно коротко и по сути.
вот на этот вопрос ответьте:

Цитата:

чем не устраивает способ BVV63?

и, давайте не будем препираться, а решать проблему, если таковая имеется.

Добавлено:

Цитата:

что нужно сделать, чтобы реализовать сию возможность ?

выучить английский язык и не задавать глупых вопросов.
извините, лирика +)
вы, наверное, не администратор сервера? просто получилось так, что доступ к некоторым политикам открыт. хотелось бы их поковырять, да вот язык не соответствует. а заменить соответствующие файлы нельзя, админ заметит - обидно..

хм.. нет смысла управлять сервером с рабочей станции, проще подключиться по протоколу RDP.

Цитата:

решать проблему, если таковая имеется

а сдается мне, что проблемы-то и нет..

MAGNet
уважаемый. я задал вопрос. кто знает - тот ответит по существу. если вам нечего сказать по теме, прошу не разводить флуд, ваши фантазии никому не интересны.

попробуйте DameWare NT Utilites.
..а точный ответ вы и не получите, потому как подобная хрень интересна лишь на юзерском уровне.

MAGNet
шутник однако, написал много а толку ноль,если я дал юзерам админские права - ето ведь не просто так, как думаеш