» Групповые политики (Group Policy, GPO): документация, ссылки

Всем привет.
У acronis в манах есть следующий пункт

Цитата:

Если машина входит в домен Active Directory, убедитесь, что политика безопасности домена не
запрещает назначать учетным записям, описанным в этом разделе (существующим или вновь
созданным), указанные права пользователя.

Собственно отсюда и вопрос как разрешить?
(смысл в том что есть локальный пользователь которому нужно дать права на вход в качестве службы)

Scaramanga

Цитата:

есть локальный пользователь

Единичный? Ну, на примере XP Rus: "GPEdit.MSC" -> Политика "Локальный компьютер" -> "Конфигурация компьютера" -> "Конфигурация Windows" -> "Параметры безопасности" -> "Локальные политики" -> "Назначение прав пользователя", параметр "Вход в качестве службы".

Hi all
Сделал новый домен (win2008)
Ввел две машины - ХР и win2008
Создаю учетку Admin - группы: Builtin\администраторы, схемы, предприятия, домена
Вхожу под ним на ХР - все нормально - админ
Вхожу win2008 - не админ... мол обратитесь к администратору...
В чем ошибка?

Группа Builtin\администраторы добавленна в группу локальные администратора на машине под вин2008 ??

нет...
все понял, спасибо большое

Цитата:

Единичный? Ну, на примере XP Rus: "GPEdit.MSC" -> Политика "Локальный компьютер" -> "Конфигурация компьютера" -> "Конфигурация Windows" -> "Параметры безопасности" -> "Локальные политики" -> "Назначение прав пользователя", параметр "Вход в качестве службы".

Локальная политика блочится доменной, следовательно внести изменения не получается.

Scaramanga
Ну так сделайте это посредством доменной политики.

Для этого потребуется добавлять доменного юзера с именем учетки акрониса, и перебивать пароли на учетку в службах на всех клиентах, что очень геморно. Не ужели нельзя как то разрешить локально изменять назначения прав пользователей в доменной системе?

Scaramanga
А что значит

Цитата:

Локальная политика блочится доменной

?
По умолчанию в доменной политике параметр "Вход в качестве службы" не определён. Если так - не должна блокироваться.

Возможно ли так сделать что бы юзера из определенной UO не выдавались в поиске при поиске по всему каталогу (отключённые юзера там)

NskRonin

Теоретически можно, если в AD включить "Вид"-"Дополнительные компоненты" и потом в свойствах этого пользователя, закладка "Безопасность" запретить чтение каких надо атрибутов.

Возможно ли через GPO разрешить пользователю менять описание компьютера через net config server /srvcomment:"Comment"? или средствами WSH. Или что нужно разрешить, чтобы Domain User могли изменять описания компьютера?

drsmoll
Через GPO не нашёл, а вот командой
reg add HKLM\SYSTEM\CurrentControlSet\services\LanmanServer\Parameters /v srvcomment /t REG_SZ /d "Описание компа" [/f - чтобы данные перезаписывал без вопросов]
можно. Только пользователю нужно предварительно дать разрешение на изменение раздела.

про такой вариант мне известно, но это опять ход конем , + к этому необходимо перезапустить службу "Сервер"

Здравствуйте.
Возникло пара ламерских вопросов.
1. Возможно ли применять групповые политики к группам?
2. Ситуация. Создал OU "Domain Computers", в этом подразделении создал также OU "Workstations" и OU "Laptops". Собственно вопрос - если я применяю политику к OU "Domain Computers", применится ли она также и к OU "Workstations" и к OU "Laptops"? Или же нужно линковать политику отдельно к каждой OU?

HEXFIX
GPO применяются сверху вниз.

HEXFIX

Цитата:

1. Возможно ли применять групповые политики к группам?

Непосредственно - нет. Возможно лишь в том случае, если группы входят, к примеру, в OU, к которой применяется политика.
Но в Вашем примере речь не о группах, а об организационных единицах. Конечно, политика, применяющаяся к "родительским" OU, применится к "дочерним" (если в дочерних явно не существует противоречащей политики, в этом случае последняя будет иметь приоритет).

BVV63
Тогда такой вопрос. Ситуация: в домене есть некоторые машины с установленным Mozilla Firefox ветки 3.5. *, 3.6.* и есть машины (более современные ) на которых установлен этот же браузер текущей актуальной версии. Хотелось бы на старых машинах обновить FF до версии 3.6.24 при этом не трогая новые машины. Собственно поэтому я и задал первый вопрос. Могу я, например, создать группу (не OU), добавить в неё нужные машины (пользователей) и применить к ним политику? Ведь, как я понял, в OU можно только переносить учётные записи, но не "добавлять".Или это можно сделать как-то по-другому?
Сорри, но я нуб и занимаюсь этим поскольку в настоящий момент отсутсвует администратор (ну и самому уже интересно стало )

HEXFIX

Цитата:

Могу я, например, создать группу (не OU), добавить в неё нужные машины (пользователей) и применить к ним политику?

Нет, как я уже писал, к группам напрямую политика неприменима. В Вашем случае нужно создать OU, перекинуть в неё требуемые компьютеры (пользователи здесь не при делах), и применить политику к этой OU.

HEXFIX
BVV63

Можно поступить проще, создать политику и прикрепить её хоть к корню домена, а вот в "Фильтрах безопасности" удалить "Прошедшие проверку" и добавить туда только отдельные ПК.

anton04
Почему-то не получается твой способ.

Разобрался. Применил к пользователям, а не к компьютерам. Всем спасибо за помощь.

Всем привет, это снова я
Подскажите, а можно ли как-нибудь настроить дефрагментацию по расписанию клиентских машин с помощью GPO?

День добрый!
Вопрос в следующем: необходимо сменить пароли всех пользователей (исключая несколько) домена - т.е. чтобы при следующем входе в систему пользователю предложили сменить пароль.
Через dsmod user вроде надо перечислять пользователей, а их больше 300. В политиках есть только о сроках действия, сложности и длине. А как сделать единовременно?

И еще, попытался у себя поставить галку "потребоватьсмену пароля" (т.е. не сменить пароль и там галку о требовании, а в свойствах), так в систему я зашел, а при открытии Outlook (почта на Exchange) требовал смены...

Цитата:

Вопрос в следующем: необходимо сменить пароли всех пользователей (исключая несколько) домена - т.е. чтобы при следующем входе в систему пользователю предложили сменить пароль.
Через dsmod user вроде надо перечислять пользователей, а их больше 300. В политиках есть только о сроках действия, сложности и длине. А как сделать единовременно?

в оснастке Users and Computers выделить нужных пользователей, правая кнопка мыши, свойства. Вкладка Account и там поставить им всем сразу галку "потребовать сменить пароль"

borin
уточню, система server 2003.
в оснастке AD пользователи и компьютеры пробовал, выделял нужных (по подразделениям раскиданы) и ставил галку сменить пароль при след., сделал вчера вечером - не применилось, сегодня все входят как обычно...
Сейчас проверил - более двух пользователей если выделяешь и ставишь сменить пароль - не работает, пользователь заходит как обычно.
смотрел политики домена (политики пароля)- там все "не определено", похоже для паролей отдельная политика определена...

Задача состоит запретить запись и чтение с внешних дисков (флэшек) по пользователю, а не по компьютеру. Решил использовать Group Policy Preferences (сервер 2008), а вот рабочие станции у нас на Win7, и WinXP. Создал соответствующую политику USB_Disable. На WinXP установил обновление КВ943729. На семерке все пошло на ура, а вот на хрюше флэшки все равно открываются, при том, что в отчете Group Policy Result указано, что политика USB_Disable сработала. Даже и не знаю, что теперь делать. И еще. По умолчанию хотелось бы чтобы флэшки были запрещены всем, кроме узкого круга лиц, которым можно открывать доступ к флэшкам через GP. Но странное дело, политика USB_Enable (как пример) не срабатывает даже под семеркой! Отчет упрямо пишет: "Пусто". Заранее спасибо за помощь. С уважением
P.S. Пожалуйста, коммерческие продукты прошу не советовать

Akhmad
Я пользовал политику рулящую диспетчером устройств. Все работало, кому надо отключаешь устройства, кому надо - включаешь. С включением не всё так гладко, но ребут спасает. Эта проблема не актуальна, если у каждого своё рабочее место.

Думаю стоит добавить в шапку линк на поисковик по политикам
http://gps.cloudapp.net/

Здравствуйте подскажите хочу поставить КОМПАС 13 через GPO все как обычно делаю, все вроде нормально происходит, при перезапуске пишет что установка коспаса идет, но при старте Windows компаса нет в установленных программах в логе ошибка
1
Продукт: КОМПАС-3D V13 -- Ошибка 1935. Возникла ошибка при установке компонента сборки {303994BA-6487-47AE-AF1D-7AF6088EEBDB}. HRESULT: 0x80070003. интерфейс сборки: IAssemblyCacheItem, функция: Commit, имя сборки: Microsoft.MSXML2,type="win32",version="4.20.9818.0",publicKeyToken="6bd6b9abf345378f",processorArchitecture="x86"
2
Не удалось установить приложение КОМПАС-3D V13 из политики Setup_Kompas13_SP1. Ошибка: В процессе установки произошла неисправимая ошибка.
3
Удаление назначения приложения КОМПАС-3D V13 из политики Setup_Kompas13_SP1 выполнено успешно.
4
Не удалось применить изменения для параметров установки приложения. Невозможно выполнить изменения для этого программного обеспечения. Должны существовать предшествующие записи в журнале, содержащие необходимые сведения. Ошибка: В процессе установки произошла неисправимая ошибка.

вычитал что нужно отключить антивурусник, отключил но ничего не изменилось,
но во парадокс программки маленькие по обьему (компас Viewer) ставятся на тот же комп!!!!!!!

jey_str
А погуглить ?-"Описанная ошибка может возникать из-за отсутствия одной из нужных библиотек." Или "You will need to reinstall .net framework on t he computer and later try to install the programs."
И еще "Должны существовать предшествующие записи в журнале, содержащие необходимые сведения." - они существуют ?
У меня подобное было, когда не хватало прав на запись в реестр.
И это ошибка не GPO.