» Групповые политики (Group Policy, GPO): документация, ссылки

Уже писал выше, жаль, что не внемлете:
Запретить админам выключение через политику!

Цитата:

Этот параметр политики запрещает пользователям выполнять из меню "Пуск" или экрана безопасности Windows следующие команды: "Завершение работы", "Перезагрузка", "Сон", "Гибернация". Данный параметр политики не препятствует пользователям выполнять Windows-программы, использующие эти функции.

НО! Следующие команды никто не отменял!

Цитата:

Выключение компьютера.
%windir%\system32\rundll32 shell32,SHExitWindowsEx 1
или
%windir%\system32\shutdown.exe -s -t 00 -f

Перезагрузка компьютера.
%windir%\system32\rundll32 shell32,SHExitWindowsEx 2
или
%windir%\system32\shutdown.exe -r -t 00 -f

Делаете ярлыки и помещаете куда вам больше понравится.
Более простого выхода не вижу.
зы

Цитата:

шутник однако

только и остается..

и юзверы не смогут выключить свой локальный комп - токо через ярлык , выход конечно
было бы лутше сделать через политики для локального компа - сервака, но наскоко я знаю груповые политики домена перекрываю локальные политики

Добавлено:
или же запретить пользователям удаленного рабочего стола ето делать, но таких политик чисто для етих юзверов я не нашол

Цитата:

было бы лутше сделать через политики для локального компа - сервака, но наскоко я знаю груповые политики домена перекрываю локальные политики

такой политики для компов нет. политика запрета выключения есть только для юзверя.

Цитата:

или же запретить пользователям удаленного рабочего стола ето делать, но таких политик чисто для етих юзверов я не нашол

так сделать можно, но я даже заморачиваться не стал рассказами. сначала была мысль сделать отедельную группу, типа "NoShutdown" (чтоб политика на мегаАдмина не распрстранялась, если он входит в группу по удаленке), но дело в том, политика на юзверя будет распространяться в любом случае - не важно, на локальную машину он зашел или удаленно.

остается два выхода:

1. запретить выключение всем, а на локальные машины поместить соответствующий ярлык в папку "%APPDATA%\Microsoft\Internet Explorer\Quick Launch"

2. найти способ применять политику для пользователя, если он подключается через службу удаленных терминалов, но как это сделать - я не знаю..

Цитата:

2. найти способ применять политику для пользователя, если он подключается через службу удаленных терминалов, но как это сделать - я не знаю..

вполне возможно и скорее всего что ето вообще реализовать невозможно

Сорри если не туда!
Есть W7x64 , на нём UPEK Protector Suite (биометрия) не работает на W7x64 под встроенной записью Администратора. Говорит запрещено политиками операционки. Не нашел я политику которая запрещает использование биометрии под админом. Есть какие нибудь соображения по этому поводу? Только не надо предлагать создать другую учетку с правами админа.

SeT
Попробуй указать совместимость с XP, и выложи ID ошибки из журнала.

Ребята , столкнулся с ситуацией ,
OS win2003r2 контроллер домена

на нем же поднят сервер терминалов , хотелось бы настроить групповую политику только для терминала ,
как лучше это сделать
Цель сего глумления :
Настроить политики так, чтобы у пользователей домена при входе на терминал рабочий стол был минимально необходимой конфигурации, а у администраторов с другой конфигурацией. При этом на локальных компьютерах у пользователей обрезать рабочий стол не требуется.

rosalin
повесь политику на контроллер домена -> включи loopback processing в ней -> отфильтруй нужных пользователей в group policy acl

kazavo4ka

Цитата:

отфильтруй нужных пользователей в group policy acl

это не работает
http://support.microsoft.com/kb/231287:
You cannot filter the user settings that are applied by denying or removing the AGP and Read rights from the computer object specified for the loopback policy.

ну тогда wmi filter повесить и, например, по имени терминального сервера фильтровать

На странице 7 писали об ошибке Event ID 1053.

ID:1053

Windows cannot determine the user or computer name. (Указанный домен не существует или к нему невозможно подключиться. ). Group Policy processing aborted.



Я ее тоже поимел.

Мне помогли три шага ----->

Первый шаг
на странице 7 чувак пишет

"Netlogon стартует раньше DNS-клиента, добавь зависимость для Netlogon от Dnscache"

и чтоб исправить он советует сделать

На компьютере клиента в реестре

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon

в параметре DependOnService допиши к LanmanWorkstation еще Dnscache (следующей строчкой).

я так сделал.


далее - комп с этой проблемой имеет netcard "Attansic L1 gigabit ethernet"
наксолкьо я понял карты эти гумно. В общем вторым шагом я обновил драйвер поставив неофициальный, так как для официального даж сайта не нашел, да и париться его долгими посиками тоже не стал.

третий шаг - в логах заметил что вначале появляется event id 1053 и еще там ряд ошибок типа ntp не может время синхролнизировать. А уж потом появляется надпись что найдена сетевая карта и щас мы ее запустим. откуда пришла мысль что почему то драйвер/сервис карты запускается не тогда когда надо.

так вот третьим шагом я исправил тип запуска службы которая обсулиживает драйвер этой карты с 3(тройки) на 0(ноль)

HKLM\SYSTEM\CurrentControlSet\Services\AtcL001

ключ Start = 0

И вот после этого произошло чудо и ошибка исчезла.
Скорее всего действительным рещением проблемы является третрий шаг. Но уже допиливать не стал.
Удачи!

Прошу прощения за тупой вопрос, но недавно столкнулся вот с такой проблемой.

Цель: Необходимо чтобы пользователь зашедший под своим логином и паролем в домен, мог бы изменять свойства корзины и применять настройки корзины по своему усмотрению.

На данный момент получилось выделить определенный процент места для корзины, файлы при удалении попадают в корзину, но редактирование параметров корзины увы невозможно. Нет доступа. Подскажите пожалуйста в каком направлении копать.

Заранее очень буду благодарен за Ваши советы.

Yspex


Цитата:

Подскажите пожалуйста в каком направлении копать.

Копайте в сторону прав доступа к соответствующей ветке реестра в HKLM

WinXpSP3RU
Конфигурация польз=>Админ шаблоны=>Система=>Управление связью через интернет=>Ограничение соединения с Интернет
(Указывает, сможет ли Windows выполнять подключение к Интернету для выполнения задач, требующих доступа в Интернет)

Скажите плиз, для чего нужна эта ветка в групповой политике ?

Думал что она сможет запретить доступ в интернет через браузеры, ан нет! Что включаю я ее, что выключаю никакого эффекта.

Есть ли параметры политик которыми я могу запретить доступ в интернет через браузеры ?

Всем здрасти, сразу скажу - если где то есть про это - то дайте точную ссыль, я не нашел

Так вот. Домен 2003 Server - в нем есть GPO, как ни странно, а странно вот что - при добавлении софта в список именующегося предустановленного софта - софт ставится под настроение - кому поставит - кому нет, кому надо комп надо раз 10 ребутнуть - что бы он понял что есть новый софт.

На клиентский ПК и на сервер gpupdate /force - не помогает... свеже введенные компы вообще приходится вручную закачивать, хотя оставив на эти выходные включенный комп - после перезапуска - сегодня утром автоматом поставил весь софт... с чем это может быт связано?

должно быть включено политкой "ждать сети".
иначе LM берет GP и кеша и досвидос..
в лучшем случае (если сделать пресловутый /force после загрузки) скажет, что хочет перегрузить сис, но, скорее всего, ничнго не сделает.

Добавлено:
NskRonin
ps мы земляки?

MAGNet

У меня англ Винда - можно скрин с обведенным пунктом?

p.s.
Ну если вы из Новосибирска - то да

я из новосибирска.
скрин нельзя. по крайней мере сегодня.
завтра к обеду гляну где это искать..

MAGNet

Ок. Я кстати все таки нашел кое что - но это больше инструкции как ставить, не почему ставится под настроение.

кстати! полезно по теме http://www.sysadminblogger.com/2010/08/blog-post_21.html
думаю, что и в аглицкой версии найдете где это. для русской там есть полный путь Конфигурация компьютера\Административные шаблоны\Система\Вход в систему\Всегда ждать запуска сети при запуске и входе в систему
думаю, что будет как-то так: Computer configuration\Administration templates\System\System logon\Always wait lan on startup

Добавлено:
offtop!

Цитата:

Ты думаешь ты матерый компьютерщик?
Отцепи мышку....

Дима Хрипатый - железячник. Худой, любит пиво больше чем Родину. Он же сисадмин. Он же сортировщик софта. Он же взломщик. Сидит на сервере с файлом, а файла много. 120 гигабайт. Еще немного игр. Еще немного порнухи. И совсем чуть-чуть фильмов. Пользуется FARом, мышку считает признаком дебильности, всех остальных - ламерами.(c)
может встретимся в тяпницу вечером? пива попъём.. =))

MAGNet

Один вопрос - это получается мне теперь на всех ПК юзеров этот параметр править?

offtop


Цитата:

может встретимся в тяпницу вечером? пива попъём.. =))

все завит от твоего территориального местоположения - я на Гэсе работаю и живы на Шлюзе.

не. поправить ГП на сервере. щас подробнее напишу. пока немного занят..

Добавлено:
для начала нужно качнуть и установить GPMC - это оснастка консоли для рульного управления политиками домена.
вот сцылко http://www.microsoft.com/downloads/en/details.aspx?displaylang=en&FamilyID=0a6d4c24-8cbd-4b35-9272-dd3cbfc81887

оно как раз английское и тебе будет в самый раз. рассчитано на 2003-й сервер с SP1 (в 2008-м оно встроено)

далее. команда gpmc.msc

картинка прилагается =))



Добавлено:
все машины, которые в домене, будут подхватывать политики в процессе загрузки.
два минуса:
1. если нет сети, то клиенты при загрузке будут "виснуть" наглухо.
2. загрузка идет немного дольше и приглашения для входа не появится пока не стартанет сетевой интерфейс, не свяжется с контролером домена и не получит обновленную политику.

ps
при установке программ (msi-пакетов) через групповые политики частенько требуется перезагрузка
pps
если на клиентской машине запустить gpedit.msc, то на тех политиках, которые подхвачены из домена ты увидишь замок и менять их не сможешь, имея даже права супер-пупер-мега-администратора. всё это регулируется только на сервере.

Добавлено:

Цитата:

все завит от твоего территориального местоположения - я на Гэсе работаю и живы на Шлюзе.

далеко.. я там раз пять за всю жизнь был
Речной Вокзал, Восход - добро пожаловать

MAGNet

Спасибо, эта опиция была не задана. Ща по гляжу на результат.

off
Тут нам академ орг до обеда инет вырубал
Я на речном теперь редко бываю, но учту )

Цитата:

Тут нам академ орг до обеда инет вырубал
Я на речном теперь редко бываю, но учту )

ну, ничего.. как-нибудь получится

MAGNet

Все здорово, получилось, только один беда случилась - сервер на котором лежали дистрибутивы для установки по сети за 5 минут до начала рабочего дня - лег... и как показала практика - политика заработала ) В общем я пока что ее отключил - сейчас перетряхаю весь GPO на предмет таких багов...

Кстати, сразу вопрос - есть ли какая нибудь статистика о применении политик на рабочие станции?

Добавлено:
В плане программ - кому встала - кому нет.

rsop.msc моделирует применение политики на локальномкомпе.
выдается окно с подробным отчетом: какие политики подхвачены из домен, как применяются и, если не применяются, то почему.
ps
если я правильно вопрос понял =)

Здравствуйте!

Нам нужно создать папку (ярлык) на клиентских машинах. Клиенты подключены к домену. Сервер 2008.
На серваке в групповой политики пробывали создавать ярлык и папку. На клиентских что-то не создается. Клиентскую машину перезагружали.

Создавали так: Выбирали нужный объект гр политики, например test - редактировать - открывался Редактор управления групповыми политиками - Конфигурация пользователя - Конфигурация Windows - ярлыки, папки.....

Цель: нужно через гр политику на клиентских машинах создать папки, ярлыки.

С уважением, Рустем.

MAGNet

За rsop я знаю - это малость не то.

Я вот что нашел.

В отчетах по ГП - есть ткие пункты.

Software Install
Data collected on: 17.03.2011 8:36:50    

General
DetailsDomain    NEMZ_TAYRA
Owner    NEMZ_TAYRA\Domain Admins
Created    26.01.2007 11:28:46
Modified    16.03.2011 15:35:12
User Revisions    18 (AD), 18 (sysvol)
Computer Revisions    72 (AD), 72 (sysvol)
Unique ID    {F057961C-2257-47A3-B1C3-A1EDD72868DA}
GPO Status    Enabled

Вчера Computer Revisions был равен 71... Вообще не знаешь чт это за параметры User Revisions и Computer Revisions?

p.s. А ты аськой пользуешься которая у тебя в профиле указана?

Jollier

А что в логах юзерских ПК указанао?

Jollier
Дайте скрины политик.

Создать сложнее чем скопировать. Имхо решение с копированием нужных ярлыков и папок с сетевого ресурса, гораздо более простое решение без извращений.

http://msbro.ru/index.php/archives/719