Ru-Board.club
← Вернуться в раздел «В помощь системному администратору»

» Групповые политики (Group Policy, GPO): документация, ссылки

Автор: monsoon
Дата сообщения: 20.05.2011 10:03
Поторопился с вопросом. Политика нормально отработала после перезагрузки. Многократные grupdate /force не помогали.

kazavo4ka
что означает dfl?

P.S. Нет статьи по первой ссылке из шапки "» Групповые политики Active Directory (Статья)"
У кого есть, перевыложите и поправьте ссылку.

Автор: kazavo4ka
Дата сообщения: 20.05.2011 16:00
monsoon
я имел ввиду domain functional level
Автор: garbals
Дата сообщения: 24.05.2011 18:37
вопрос
описание политики wsus на английском
сам wsus и win2003 русские
хотя остальные на русском
странно както
Автор: Sanek1985gr
Дата сообщения: 25.05.2011 08:49
Здравствуйте, уважаемые.Через GP параметр "Особый интерфейс пользователя" настроил чтобы после логона определенного юзера запускался сразу rdp с готовыми настройками. После завершения работы в терминальном режиме естественно rdp закрывается и остается пустой фоновый рисунок...
Вопрос: как сделать чтобы после завершения терминального сеанса (да и на всякий случай вообще любой другой отличной от explorer оболочки) сразу выкидывало пользователя в окно ввода пользователя и пароля?
Ссылки также приветствуются))
Автор: tahirg
Дата сообщения: 26.05.2011 08:48
Спецы подскажите...существует ли прога которая бы выводила список настроек политик?
т.е примерно так
запустил прогу, она сканирует настройки политик в теневом режиме и выдаёт список только тех настроек которые заданы т.е если стоит в настройке какого то параметра "не задана" она пропускает, а если что назначено то тогда выводит. Просто иногда бывает нужно поглядет что и как настроено, а лазать по всем настройкам в поисках каких то ограничений очень долго.
Если не сюда залез плиз направьте куда нужно
Автор: kazavo4ka
Дата сообщения: 26.05.2011 10:20
tahirg
в gpmc за это отвечает вкладка "Параметры"

Sanek1985gr

Цитата:
Вопрос: как сделать чтобы после завершения терминального сеанса (да и на всякий случай вообще любой другой отличной от explorer оболочки) сразу выкидывало пользователя в окно ввода пользователя и пароля?

запускать не сразу rdc клиент с параметрами, а скрипт, в котром, например, первой строчкой будет прописан запуск rdc клиента, а затем logoff
Автор: MAGNet
Дата сообщения: 26.05.2011 18:19

Цитата:
tahirg
в gpmc за это отвечает вкладка "Параметры"

nothing!

Цитата:
существует ли прога которая бы выводила список настроек политик?

да. это стандартная фигуля от мелкомягких.
централизованное управление политиками. в вин7 (2008) оно встроено. для 2003 приходится ставить руками. ищи по форуму, я несколько раз давал ссылку на эту тему.
по теме:
приблуда называется gpmc.msc Позволяет моделировать политики и проверять текущие.
выдает отчет на тему, как оно всё отработало. То, что тебе надо.

ну и совсем просто rsop.msc - собирает всю политику, говорит что где и как применяется. работает на всех ХР-машинах. даже домен не нужен.
Автор: me2k
Дата сообщения: 26.05.2011 18:50
Народ, можно как-то через AD, всем компьютерам включить принудительно DHCP?

А то есть проблема, что вроде на каких-то компах стоит статика, что иногда приводит к IP конфликту, хотя раздает ИП адресса ДХЦП сервер. Вот и подумываю, не искать их руками а просто принудительно всем ставить динамику. Можно это как-то через политики? или проще через wsh в логон скрипте?
Автор: MAGNet
Дата сообщения: 26.05.2011 19:36

Цитата:
можно как-то через AD, всем компьютерам включить принудительно DHCP?

кажется нет..
сетевые тырфэйсы локально конфинурятся.
Автор: me2k
Дата сообщения: 26.05.2011 21:31
Вдруг кому-то понадобится:


Код:
QRY="SELECT NetConnectionID FROM Win32_NetworkAdapter WHERE NetConnectionStatus=2"

SET WSHell= WScript.CreateObject("Wscript.Shell")
SET objWMI = GetObject("winmgmts:\\.\root\cimv2")
SET objNICS= objWMI.ExecQuery(QRY,,48)

For Each objNIC In objNICS
    CMD1="netsh -c interface ip set address """ & objNIC.NetConnectionID & """ source=dhcp"
    CMD2="netsh -c interface ip set dns """ & objNIC.NetConnectionID & """ source=dhcp"
    CMD3="netsh -c interface ip set wins """ & objNIC.NetConnectionID & """ source=dhcp"
    WSHell.Run CMD1, 0
    WSHell.Run CMD2, 0
    WSHell.Run CMD3, 0
Next
Автор: kazavo4ka
Дата сообщения: 27.05.2011 05:13
MAGNet

Цитата:
nothing!

в смысле?
Автор: tahirg
Дата сообщения: 27.05.2011 10:55
MAGNet
немножко не то
тогда вид сбоку
а где в реестре хранятся настройки политик?
придётся попросить програмиста написать утиль под мои требования
Автор: MAGNet
Дата сообщения: 27.05.2011 13:10

Цитата:
в смысле?

..gpmc никогда не моделировал политики.

Добавлено:
tahirg
никогда не заморачивался этим. всё, что регулируется политиками не должно изменяться "руками" (через ррест или как-то ещё)
видимо я не до конца вкурил суть.
можно ещё раз? что есть и что нужно.
Автор: kazavo4ka
Дата сообщения: 27.05.2011 13:55
MAGNet

Цитата:
..gpmc никогда не моделировал политики.

для отдельных политик без проблем моделирует все параметры
Автор: tahirg
Дата сообщения: 27.05.2011 19:28
MAGNet

Цитата:
можно ещё раз? что есть и что нужно


стандартные средства просмотра настроек политик громозки в смысле если вдруг захочется узнать ЧТО изменено\запрещено нужно клацать по всем пунктам и глядеть
была бы утиль которая считывала настройки и выдавала список только тех в которых стоит что угодно только не "не задана" т.е вносили изменения в политики. Даже вовсе не обязательно в утили предусматривать функцию изменения, просто вьювер.
Вот как то так....
Автор: raizo
Дата сообщения: 27.05.2011 21:48
tahirg
вообще-то в gpmc есть все это - и предпросмотр и моделирование и изменение
не понимаю, что вас не устраивает
Автор: MAGNet
Дата сообщения: 28.05.2011 16:00

Цитата:
tahirg
вообще-то в gpmc  есть все это - и предпросмотр и моделирование и изменение
не понимаю, что вас не устраивает

Кстати, да. Но! единственное, что меня не устраивает в gpmc  - при выборе редактирования политики открывается стандартная оснастка со всей политикой и если нужно изменить один пункт, то до него бывает долго докапываться.
..или я совсем уже обленился?
Автор: tahirg
Дата сообщения: 29.05.2011 09:08
MAGNet

Цитата:
до него бывает долго докапываться

о чём и речь, а так была бы тузла с отображением только изменёных настроек, клац клац изменил что нужно и вперёд
я тут нашёл утиль, она дублирует виндовые средства, но есть фичи
1- с выводом в текстовый файл всех настроек
2 - подсвечиванием изменённых настроек
3 - сбросом на дефолт всех настроек
на буржуйском языке правда, кинулся перевести да там уева туча пунктов
Автор: ANTRAMABANAKAN
Дата сообщения: 30.05.2011 13:40
задача стоит такая.

Имеем пользователья (prob) в domain-е Windows 2003 ..
Надо сделать так что бы prob смог через остнастку manage читать security логи всех компютеров domain-а но при том что он не является членом группы domain admins....

В GP домейна я добавил пользователя prob в ветке "manage audit and security log ".
Судая по докам надо ешё что то добавфить в реестре, но где кокретно?
Автор: F_L LiaNet
Дата сообщения: 31.05.2011 12:37
Ребята, подскажите какая политика отвечает за значёк языка (языковую панель) в WS2k3 SBS. Нашёл правила языка, почти всё, а вот про значёк ни слова.
Вся тема в том, что после применения GPO в Windows 7 везде пропал этот значёк, под ХР всё нормально ничего не поменялось. Может кто сталкивался ...
Автор: zhman
Дата сообщения: 01.06.2011 10:12
Вопрос слудуюущий:

Каким образом можно заблокировать применение доменной групповой политики на компьютере (Win2008R2)
или перекрыть доменную групповую политику локальной (например изменить порядок применения групповых политик ), при этом ничего не меняя в настройках контроллера домена??

Смысл в том, чтобы некоторые или все доменные групповые политики не применялись на определенном компьютере.
Автор: kazavo4ka
Дата сообщения: 01.06.2011 12:54

Цитата:
Каким образом можно заблокировать применение доменной групповой политики на компьютере (Win2008R2)
или перекрыть доменную групповую политику локальной (например изменить порядок применения групповых политик ), при этом ничего не меняя в настройках контроллера домена??

если кратко - никак


Цитата:
Смысл в том, чтобы некоторые или все доменные групповые политики не применялись на определенном компьютере.

это на самом деле бессмысленно с точки зрения администратора, т.к. он это легко может сделать через gpo acl и еще несколькими способами


Добавлено:
F_L LiaNet

Цитата:
Ребята, подскажите какая политика отвечает за значёк языка (языковую панель) в WS2k3 SBS. Нашёл правила языка, почти всё, а вот про значёк ни слова.
Вся тема в том, что после применения GPO в Windows 7 везде пропал этот значёк, под ХР всё нормально ничего не поменялось. Может кто сталкивался ...

сталкивался, не стал париться, а ограничился правкой реестра - экспортировал параметры HKEY_CURRENT_USER\Software\Microsoft\CTF\LangBar , а затем импортировал на проблемные машинки
Автор: StaticD
Дата сообщения: 02.06.2011 16:23
Народ нужна помощь!
Есть win2003, есть AD, есть GPO, есть ПК юзера и есть удаленный рабочий стол.
В одной GPO есть всякие штуки, ну например, подключение сетевых дисков - это делается по учетной записи. Естественно, когда юзер заходит на свой ПК у него эти диски создаются, но этот же юзер работает через удаленный рабочий стол на сервере, и на сервере при входе также создаются диски, хотелось бы как-нибудь отфильтровать создание этих дисков на сервере. Как это сделать?

Автор: kazavo4ka
Дата сообщения: 02.06.2011 18:20
StaticD
Занимался в свое время этим вопросом - самое легкое это накинуть на политику wmi фильтр, отрабатывающий по имени сервера (отрабатывающий как исключение, т.е. если имя совпадает с указаным в фильтре, то политика не отрабатывается)

SELECT * FROM Win32_ComputerSystem WHERE NOT Name LIKE "terminalserv_name"



Есть, конечно, в wmi вещи, отвечающие за обозначение типа сессии (локальный вход, терминальная сессия и т.д.), но у меня не получилось заставить их работать. Да и с именем в принципе вполне рабочий вариант .


Как дополнительный вариант - можно поиграться с loopback processing
Автор: F_L LiaNet
Дата сообщения: 03.06.2011 10:36

Цитата:
сталкивался, не стал париться, а ограничился правкой реестра - экспортировал параметры HKEY_CURRENT_USER\Software\Microsoft\CTF\LangBar , а затем импортировал на проблемные машинки
Самое замечательное, что на всех машинках этот раздел есть. А толку вот от него нет в общем-то, не сработало
Автор: anton04
Дата сообщения: 03.06.2011 14:36
StaticD
kazavo4ka

В 2008 это решается немного проще, а именно режимом нацеливания.

а вот в WMI фильтре лучше использовать ProductType. Так получится всеядней
Автор: kazavo4ka
Дата сообщения: 06.06.2011 05:33

Цитата:
Так получится всеядней

по имени гораздо более точно получится + сервера могут быть не только терминальными, а дополнительных условий указано не было


Цитата:
В 2008 это решается немного проще, а именно режимом нацеливания.


Цитата:
Есть win2003, есть AD, есть GPO, есть ПК юзера и есть удаленный рабочий стол.




Добавлено:
F_L LiaNet

Цитата:
Самое замечательное, что на всех машинках этот раздел есть. А толку вот от него нет в общем-то, не сработало

т.е. если снести эту ветку и импортировать с рабочей машины - результата нет?
Автор: F_L LiaNet
Дата сообщения: 06.06.2011 11:10

Цитата:
т.е. если снести эту ветку и импортировать с рабочей машины - результата нет?
Неа, у меня работает только на машине на которой х64, там где х86 - не помогает
Автор: StaticD
Дата сообщения: 06.06.2011 11:15
kazavo4ka
Ещё вопрос, а вот при создании WMI фильтра как указать в этом запросе (или может еще есть какой-то способ) SELECT * FROM Win32_ComputerSystem WHERE NOT Name LIKE "terminalserv_name" чтобы он фильтровал конкретную политику, а то у меня несколько GPO?

Ну то есть политику например с именем Services не применять на сервере с именем Server1C.
Автор: kazavo4ka
Дата сообщения: 06.06.2011 11:26

Цитата:
Ещё вопрос, а вот при создании WMI фильтра как указать в этом запросе (или может еще есть какой-то способ)

это указывается не в самом запросе, а запрос привязывается к конкретному gpo

Добавлено:
F_L LiaNet
у меня больше идей нету, странная ситуация

Страницы: 12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565758596061626364656667686970717273747576

Предыдущая тема: Шарю по net share: Системная ошибка 5. Отказано в доступе


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.