» Групповые политики (Group Policy, GPO): документация, ссылки

Коллеги, вопрос быть может ламерский, конечно...
Где устанавливается срок бездействия доменной учётки? Я не про срок действия пароля. С некоторого времени стали звонить локальные админы и жаловаться, что когда пользователь выходит из отпуска, то ему выводится сообщение, что-то типа "срок бездействия учётки истёк, смените пароль", в то время как в свойствах доменной учётки стоит галочка, дающая паролю "бессмертие".
Я решил было, что это как-то связано с недавним переездом на W28 R2, просмотрел ещё раз групповую политику, но ничего не нашёл.

BVV63
отключайте учетную запись на момент ухода в отпуск сотрудника, отключать можно скриптом если видеться учет заработной платы каким либо по..

OOD
Увы, у нас, доменных админов, нет информации, кто в отпуске, командировке и пр. И к заработной плате у нас доступа тоже нет.

Windows Server 2008 R2, обновленная, лицензия, только установленная, не в домене, используется как сервер терминалов. При включении на сервере в политиках для не-администраторов политики "включить классическую оболочку" у юзеров изменяется интерфейс: вместо установленного по умолчанию открывать двойным щелчком, а выделять одним щелчком ставится открывать одним щелчком, выделять указателем. Правка веток реестра юзера Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState и IconUnderline ничего не дала, разве что удалось убрать подчеркивание при наведение на объект. Хотя в описании политики сказано обратное, что как раз при включении этой политики невозможно настроить что было открывать одним щелчком, выделять указателем. Естественно в интерфейсе пользователя вообще нету настроек параметров папок. Подскажите как сделать открытие двойным щелчком

Вопрос в песочницу - было куча созданных ПУСТЫХ ОГП, я их поудалял.
Имею в папке \\домен\SYSVOL\домен\Policies папки с живими ОГП ( смотрю по их GUIду)
и папки, которых у меня уже нет.
Бекапнул их, тупо удалил "ненужные" : )))
Политика заругалась Вернул все обратно, покурил ман по ГП. Внимание, вопрос- если их удалить через остнастку АД - Домен\system\policies , так будет правильно?

туда же
До меня был создан ОГП развертывания программ, и в том же ОГП еще куча всего , прокси- шмокси, все в куче.
Я попытался как-то отредактировать объект, с целюю убрать\отключить распостранение программы, тк она уже не нужна.
Можно как-то это сделать?
Не получаецца.

AQAQ

Цитата:

если их удалить через остнастку АД - Домен\system\policies , так будет правильно?

Наверно.

Цитата:

Не получаецца.

Так удалите этот ОГП. Если какие-то проги ещё нужно ставить, запомните их, и, создав новый объект, укажите.

BVV63
да, только в этом объекте больше 60 параметров сразу,(Типа мы легких путей не ищем.) и не в программах дело - я себе уже создал новые объекты для развертываний, причем много и разных
Я просто думал, что редактор легко правит все - хошь такой логон скрипт, а хошь не.
А тут он оно как....
Спасибо. что ж делать, буду удалять. а потом через полисиз : )

Есть AD Windows Server 2008R2 SP1

По пути \\my.domain\SYSVOL\my.domain\MSI закинул msi инсталяцию.

Если через ГПО пытаюсь раздать софт в формате *.msi то:

- windows 7 - всё нормально

- windows XP prof SP3- ошибка 102 " Не удалось установить приложение ********* из политики Default Domain Policy. Ошибка: Ресурс с установочными файлами для этого продукта недоступен. Проверьте существование ресурса и доступ к нему."

При этом из ХР любой пользователь домена войдя в систему может без проблем добраться до этого файла.

Права : Авторизованные юзеры - чтение; Система и админы - полный.

Р.S. В 2003 АД та же конфигурация работала нормально, в том числе и на ХР.

P.P.S. если на контроллере создать шару ЗА ПРЕДЕЛАМИ SYSVOL и ставить пакеты msi с пути \\КОНТРОЛЛЕР\шара\, то политика срабатывает.

Вопрос: что не так в 2008 по сравнению с 2003 по отношению к ХР. Kуда копать ?

oie71
Общий ресурс развертывания вы можете создать где угодно ( я на файлопомойке сделал особую папку под GP install) с разрешением чтение- выполнение тем пользователям и компьютерам, кому нужно.

Да я так и сделал.

Хочу понять почему под 2008 не деплоятся msi для ХР.

Сегодня сидел "аудитил" доступ к sysvol.... ни одного отказа в доступе.

Я одинэску 8 2 без проблем развернул под ХП ,на раз.
а гпрезалт говорит, что политика применяется?

У меня тоже всё устанавливается, НО только не из SYSVOL, почему-то.
Политика применяется. А потом идёт ошибка 102

применяется, но не отрабатывает.... хм.
http://social.technet.microsoft.com/Forums/ru-RU/ws2008r2ru/thread/51599b25-dbc7-4950-ba0c-f24fb35d2fe8

Вопрос такой. Лазил по GPO в 2008 винде. Бэкапов не делалось, случайно УДАЛИЛ политику. Как ее можно восстановить??? Спасибо огромное!

СРОЧНО!

Klopikmoscow, Корзина?
http://systemscenter.ru/agpm40.ru/html/0a131d26-a741-4a51-b612-c0bc7dbba06b.htm

блин не могу найти по этим ссылкам. Консоль управления групповыми политиками-изменить... да нет там такого Но если нажать файл-параметры - есть 250 Кб файлов в корзине пользователя, но попасть туда никак не могу. Захожу под админом. Сама корзина на рабочем столе ессно пуста

Что-то никак не могу найти, где в GPO настраивается максимальная разница во времени между DC и клиентскими машинами, при превышении которого DC отклоняет их подключение к домену.
Где-то когда-то видел, но за ненадобностью не запомнил, где. Может, кто подскажет?

в default domain policy
Computer Configuration\Windows Settings\Security Settings\Account Policies\Kerberos Policy\ Maximum tolerance for computer clock synchronization

Refugee

Стоит по умолчанию, т. е. 5 минут. Интересно, почему один комп подключается к домену при одном и том же часовом поясе даже при разнице в несколько часов...

Такая проблема...
В windows server 2008 r2 потребовалось создать перенаправление папки рабочий стол для пользователя.
но как оказалось, сама настройка исчезла.
при том, что она 100% была и применялась когда-то к другому пользователю.

конкретно - отсутствует вкладка "конфигурация пользователя - политики - конфигурация windows - перенаправление папок" ее просто нет. но раньше была.

rsop на том пользователе, у которого настроено - так же показывает, что перенаправления нет, но оно работает.

гугль и гуру молчат. сервак перезагружал, политики обновлял.
неверующим - могу дать скриншот
http://s54.radikal.ru/i144/1110/4d/4bc8fd84fd33.jpg

как быть?

подскажите как через GPO Добавить пользователям в языковую панель еще один дополнительный язык?

OOD
Напр., скриптом, выполняемым при регистрации пользователя:

Код: Reg Add "HKCU\Keyboard Layout\Preload" /V "2" /T Reg_Sz /D "xxxxxxxx" /F

Цитата:

перенаправление папок

обнаружил в чем проблема
было отключено в default domain policy
\компоненты windows\консоль управления\запрещенные и разрешенные оснастки\групповая политика\разрешения оснастки "гп" и "результирующая политика"

включил - появилось
может пригодится кому

Помогите разобраться с проблемкой.
Делаю автозапуск миранды через групповую политику "Конфигурация пользователя\Политики\Административные шаблоны\Система\Вход в систему\Выполнять эти программы при входе в систему"
Политика применяется и в реестре появляется заветный параметр. При копировании параметра из реестра в командную строку миранда запускается. А вот при входе пользователя в систему ничего не происходит. В логах тоже чисто.
Результат один и на XP и на семёрке.
Если делать через LogonScript, то всё нормально, вот только не охота мне через LogonScript.
Заранее спасибо!

Подскажите как через GPO добавить ярлык, ссылку в реестр ?
делаю так:

Групповая политка назначена пользователю, но ни PowerShell скрипты, ни ярлык указанный выше, ни возможность изменения в реестре не доступна
через Wizzard подключившись к удаленному ПК не видно HCU

Ткните носом - возможно не увидел в ФАКе.

Возможно ли управление терминальными серверами w2k3 в домене w2k через GPO?
Если да, то как затянуть ветку из локальной GPO w2k3 "Тerminal services" в GPO DC AD который под w2k или где скачать готовый шаблон?

Спасибо.

astra12


Цитата:

Если да, то как затянуть ветку из локальной GPO w2k3 "Тerminal services" в GPO DC AD который под w2k

Локальный GPO вы не сможете экспортировать в доменный, просто таких инструментов нет.


Цитата:

где скачать готовый шаблон?

Готовых шаблонов тоже в природе не существует.

Вообще не вижу причин создании нового GPO в домене и ваяния там всего что угодно. Правда функции которые появились в w2k3 в этом GPO не отобразятся никоим образом...

т.е. даже если я руками создам новый шаблон из существующего локального и прицеплю его в ГПО в домене я не получу результата для серверов, аналогичных тому, с которого этот шаблон и писался?

Шаблоны существуют тем не менее - год назад откуда-то скачал и прицепил в доменную ГПО шаблон с настройками 2003 офиса....

Имеется сервер Win2k8, и клиент 7 и XP (с патчем GP CSE).
Есть группы пользователей - group1( для примера user1) и group2 (user2).
Отключил group1 доступ ко всем внешним носителям через Конфигурация пользователя -> Настройка -> Параметры панели управления -> Устройства, и там понащёлка классы устройств, которые надо отключить. Настройки успешно применяются, но при завершении сеанса user1 и заходе другого пользователя(user2), которому всё можно, устройства не активируются обратно, т.е. настройка продолжает действовать.
Как ограничить её сеансом, она ведь и так для пользователя назначена?!
Если перезагрузить машину и сразу войти user2, то всё будет ок.

Пока как костыль сделал следующее: для group2 заполнил туже политику только с разрешением, а не запретом, НО все устройства включились кроме "Корневой usb-концентратор", сам "Universal serial Bus Controller" включается, а непосредственно концентратор продолжает быть недоступным.
Пытался для него отдельное правило на включение прописать - не помогло.