» Групповые политики (Group Policy, GPO): документация, ссылки

270781912

Цитата:

как это реализовать если по умолчанию стоит все разрешено. т.е. как сделать чтоб эти разрешения файлов были запрещены ?

Зайдите там в "Security Levels" и смените режим с "Unrestricted" на "Disallowed".

BVV63
Т.е. При Security Levels Disallowed
и в назначенных типах файлов будет только то что мне нужно ограничить, а именно mp3 и прочее, а все что стоит по умолчанию я удалю, то запрет будет распространяться только на те типы файлов что я укажу в назначенных типах файлов. верно я вас понимаю ?

Цитата:

А политика где прописана у пользователя или у компьютера?
Если у пользователя - то проверять есть ли у него права на  выполнение этого файла (тупо запустить )
Если у компьютера то тогда она выполняться должна от локал система (этого компьютера) - есть ли у него доступ к этой шаре. лучше всего попробовать разрешить гостя и дать ему доступ на эту шару

А у компьютера есть такая политика? Где?
Кажется я что то упустил...
Групповая политика для группы. Разрешить выполнять ей только программы с сервера.
По полному пути.

270781912

Цитата:

верно я вас понимаю ?

Верно.

StephanChur
В общем я догнал
Тебе нужно зайти в папочку "Дополнительные правила" в той самой "Политике ограниченного использования программ" и правой кнопкой создать новое правило о разрещении только по пути или по хэшу.

Цитата:

В общем я догнал
Тебе нужно зайти в папочку "Дополнительные правила" в той самой "Политике ограниченного использования программ" и правой кнопкой создать новое правило о разрещении только по пути или по хэшу.

Вот какая картина у меня

Подскажите пожалуйста где папочка "Дополнительные правила"?
Спасибо!

Большое спасибо! А как такое сделать для пользователя а не для станции?

там у пользователя вроде такое же есть...

Товарищ SeT уже подымал как то один вопрос, он остался открытым!

Цитата:

Сорри если не туда!
Есть W7x64 , на нём UPEK Protector Suite (биометрия) не работает на W7x64 под встроенной записью Администратора. Говорит запрещено политиками операционки. Не нашел я политику которая запрещает использование биометрии под админом. Есть какие нибудь соображения по этому поводу? Только не надо предлагать создать другую учетку с правами админа.

Есть у кого какие соображения?

Цитата:

там у пользователя вроде такое же есть...

Точно!
Спасибо!
Добвил правило для пути "\\Fsc\Рабочие Программы\"
Неограничено
Однако все равно не работает (((
Изменил путь на \\NS3\testgp%
не помогло(((
З.Ы.
Только список разрешенных программ почему то превратился в список из двух символов странных(
И все перестало работать( Может есть ограничение на количество разрешенных программ в одной политике ?
Как разрешить сетевую папку для запуска программ групповой политикой, при импользовании политики "выполнять только разрешенные приложения для Windows"

Там можно не только папку но и Хэш выбрать...

Цитата:

Там можно не только папку но и Хэш выбрать...

Этим можно разрешить сетевую папку с программами для выполнения группой пользователей?

1) Подскажите пожалуйста, возможны ли грабли с GPO в двуязычном окружении, и какие именно.

Например, реальная ситуация: клиенты русские XP SP3, IE8 Rus, сервера английские 2008 R2, в домене болтаются старые adm с русского 2003 сервера и политики сделанные на нём же (в качестве "management station").

Новые политики предполагаются все admx, делаться будут на англоязычных семёрках. Локальных админов без знания языка не ожидается.


2) Помогите разрулить бардак с двумя версиями inetres.adm от старых версий IE, болтающимися в существующих политиках.

Эффект от них, как мне кажется, разрушителен: IE8 оказался на клиентах залочен, таким образом, будто включена IE ESC

LevT
1.Если предпологается admx то они language neutral. Там используется отдельно adml файл.
2.Подключить старый inetres.adm сделать необходимые настройки, gpupdate на клиентах, затем снести.

Цитата:

2.Подключить старый inetres.adm сделать необходимые настройки, gpupdate на клиентах, затем снести.

можно поподробнее? Уточню на всякий случай, что старых IE в сети не осталось, только в некторых политиках в sysvol соответственные им adm

А gpmc виснет при попытке показать все шаблоны (изменить фильтр).

Цитата:

можно поподробнее?

На административных шаблонах необходимой ГП пр.кн. мыши, "добавить", выбираем нужный .adm файл и подключаем его, далее применяем эту политику к необходимым объектам AD или группе.

Народ, подскажите пожалуйста. Как будет выглядеть из реестра admx файл:

Код: [HKEY_USERS\.DEFAULT\Keyboard Layout]
"Attributes"=dword:00000000

[HKEY_USERS\.DEFAULT\Keyboard Layout\Preload]
"1"="00000409"
"2"="00000419"

[HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle]
"Hotkey"="2"

lioncub
Конвертер

attaattaatta спасибо!
Но он ругается 2 раза:

Код: Windows Script Host
Invalid Record (or Valuename w/o qoute):

lioncub
Где-то в двух местах необходимы, но пропущены кавычки. Я Visual Basic не знаю, не могу сказать, где именно.

спасибо, где-то есть лишние символы... импортировал в реестр, потом экспортировал обратно в .reg и ошибок уже не было...

Подскажите, пожалуйста.
Никак не запущу установку gpmc
Жалуется на неправильную версию дотнет фреймворка. Сочетания испробованы разные.

MS Server 2003 r2 x64, если что

Booklet
попробуй запустить в совместимости. вдруг пролезет? =))
у меня ваще на 2003SP1 встало без проблем, а там ни о каких фреймворках речи не идет (разве что 1.0 но точно не скажу) Даже офис 2007 вставать не захотел: нет, говорит, фреймворка =)
скорее всего в р2 уже встроен 3-й, а ГПМЦ расчитан на старые системы. ещё раз глянь совместимость и требования на сайте.

Подскажите как установить default DNS через GPO для W7.

Есть параметр:
Административные шаблоны
Сеть/DNS-клиент
Политика
DNS-серверы Включено
IP-адреса: 192.168.50.91

Но он работает только для WinXp.
Какие есть варианты кроме скриптов?

Цитата:

Подскажите как установить default DNS через GPO для W7.

Вообще это все прекрасно ставиться через DHCP.

Подскажите, пожалуйста, каким образом возможно отключение проверки диска при запуске системы (запуск chkdsk) через групповую политику?

Проблема в следующем.
Есть 2 компьютера с установленной на них лицензионной, корпоративной windows 7.
А одной установлен SP1 на другой нет.
На обоих компьютерах одна и та же проблема, не применяются GPO для компьютера. При этом для пользователя GPO применяются успешно.

В логах одна и та же ошибка:

Имя журнала: System
Источник: Microsoft-Windows-GroupPolicy
Дата: 11.05.2011 14:47:58
Код события: 1097
Категория задачи:Отсутствует
Уровень: Ошибка
Ключевые слова:
Пользователь: система
Компьютер: ippolitova.classic.ru
Описание:
Ошибка при обработке групповой политики. Windows не удалось определить учетную запись компьютера для применения параметров групповой политики. Это может быть временным явлением. Параметры групповой политики, включая параметры конфигурации компьютера, не будут применены для этого компьютера.
Xml события:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-GroupPolicy" Guid="{AEA1B4FA-97D1-45F2-A64C-4D69FFFD92C9}" />
<EventID>1097</EventID>
<Version>0</Version>
<Level>2</Level>
<Task>0</Task>
<Opcode>1</Opcode>
<Keywords>0x8000000000000000</Keywords>
<TimeCreated SystemTime="2011-05-11T05:47:58.938476500Z" />
<EventRecordID>22526</EventRecordID>
<Correlation ActivityID="{1217D181-3A5C-4A69-AA7B-E39E48557C99}" />
<Execution ProcessID="1004" ThreadID="1272" />
<Channel>System</Channel>
<Computer>ippolitova.classic.ru</Computer>
<Security UserID="S-1-5-18" />
</System>
<EventData>
<Data Name="SupportInfo1">5</Data>
<Data Name="SupportInfo2">256</Data>
<Data Name="ProcessingMode">2</Data>
<Data Name="ProcessingTimeInMilliseconds">47</Data>
<Data Name="ErrorCode">11004</Data>
<Data Name="ErrorDescription">Запрошенное имя верно, но данные запрошенного типа не найдены. </Data>
<Data Name="DCName">\\srv1.classic.ru</Data>
</EventData>
</Event>


Пробовал следующее:
1. Проверял синхронизацию времени на контроллере и этих компьютерах - все в порядке.
2. Пробовал менять сетевые адаптеры - без результатов
3. Перевводил в домен - без результатов
4. Выводил из домена, затем переименовывал, затем снова вводил в домен - без результатов.
5. Запускал gpupdate /force вручную, зайдя под администратором домена - без результатов.

Серверы(контроллеры домена) под управлением windows server 2003 SP2.
Другие компьютеры, под управлением той же Windows 7 установленные с того же дистрибутива(причем как ДО установки проблемных виндов, так и после их) работают отлично.


В какую сторону копать? В инете все прошарил.....

Нужно сделать, чтобы политика отрабатывала для группы компьютеров.

Создал группу GR_Comp, в которую добавил нужные компьютеры.
Создал политику, относящуюся к домену.
В gpmc в Security Filtering добавил группу GR_Comp. По умолчанию группе присвоились права на чтение и применение групповой политики.
После выполнения grupdate и gpresult в логе запись:
"Фильтрация: Отказано (безопасность)"

Если группу из Security Filtering удалить и добавить необходимые компьютеры, тогда работает.
Кто может подсказать как задействовать группу?

monsoon
с группами изначально все работает замечательно, дополнительно ничего настраивать не нужно

какой стоит dfl? какой тип группы?

+проверь какие разрешения стоят у authenticated users