» Групповые политики (Group Policy, GPO): документация, ссылки

karalka
у меня в AD две группы
одна server а другая Computers
и политику wsus пременяю только к Computers
понимаю что это не совсем верно но как вариант

Ребята. Нужен совет. Собираюсь установить silverlight в своей копрпаративной среде через ГПО. Сервак 2008 R2. silverlight имеет х64 и х86. Так же, в сети компы с ОС 7 и ХР разной разрядности.
У меня возник вопрос как развернуть с ГПО эти 2-а дситра silverlight?
Я не спрашиваю как это сделать, интересует сам механизм развертывания т.е. если я через гпо попытаюсь установить сразу 2-а дистрибутива то как они будут ставятся?

Цитата:

Ребята. Нужен совет. Собираюсь установить silverlight в своей копрпаративной среде через ГПО. Сервак 2008 R2.  silverlight имеет х64 и х86. Так же, в сети компы с ОС 7 и ХР разной разрядности.  
У меня возник вопрос как развернуть с ГПО эти 2-а дситра silverlight?
Я не спрашиваю как это сделать, интересует сам механизм развертывания т.е. если я через гпо попытаюсь установить сразу 2-а дистрибутива то как они будут ставятся?

Гораздо лучше будет создать 2 подразделения в одном будут компы с XP с 32 разрядной системой, в другом 7 с 64 (если есть еще и 7 с 32 разрядной, то 3 подразделения) и создавай для каждого подразделения свое GPO.

Думаю ставить пакеты без разбора на все компы не следует, хотя вероятно все заработает и так (правда в 7х64 вероятно встанут оба пакета), но это не круто и не наш метод )

Товарищи помогите разобраться в следующей задаче.
Имеется домен NNNNN.COM. в ActiveDirectory есть группа компьютеров под названием VideoServers, встала следующая задача.

"Запретить доступ к этим рабочим станциям всем кроме одного пользователя НачальникОхраны."

Вопросы:
1) можно ли это все сделать не прибегая к "хождению" к серверам? т.е. чисто GPO и как, в какой оснастке/ах и какой параметр
2) можно ли сделать так чтобы локальный админ вообще не имел возможности входа на этот комп, также через GPO настроить? в том числе и пользователей.
3) можно ли настроив эту GPO сделать так чтобы даже админ домена не мог зайти на этот комп? здесь я сомневаюсь но мало ли.... поэтому спрашиваю

p.s. я не знаю получится ли так, но моя задумка в следующем, с помощью GPO сделать так чтобы локальные учетки полностью сменились на те что хочу сделать я. Т.е. НачальникОхраны и только он и никто Царь и Бог этих рабочих станций, и вся ответственность лежала только на нем за использование этого компьютера.
Если это возможно подскажите как пожалуйста.
Спасибо

Цитата:

Товарищи помогите разобраться в следующей задаче.
Имеется домен NNNNN.COM. в ActiveDirectory есть группа компьютеров под названием VideoServers, встала следующая задача.  
 
"Запретить доступ к этим рабочим станциям всем кроме одного пользователя НачальникОхраны."
 
Вопросы:
1) можно ли это все сделать не прибегая к "хождению" к серверам? т.е. чисто GPO и как, в какой оснастке/ах и какой параметр
2) можно ли сделать так чтобы локальный админ вообще не имел возможности входа на этот комп, также через GPO настроить? в том числе и пользователей.
3) можно ли настроив эту GPO сделать так чтобы даже админ домена не мог зайти на этот комп? здесь я сомневаюсь но мало ли.... поэтому спрашиваю
 
p.s. я не знаю получится ли так, но моя задумка в следующем, с помощью GPO сделать так чтобы локальные учетки полностью сменились на те что хочу сделать я. Т.е. НачальникОхраны и только он и никто Царь и Бог этих рабочих станций, и вся ответственность лежала только на нем за использование этого компьютера.
Если это возможно подскажите как пожалуйста.
Спасибо

Вначале нужно создать подразделение и поместить туда ваши VideoServers и создать политику GPO именно для этого подразделения.
Затем настраивая политики "Запретить локальный вход" вписываете туда группы пользователей которым доступ запрещен (не помещайте туда "Все" иначе на эту рабочую станцию не зайдет вообще никто), в том числе и группу локальных администраторов.
Далее группу в которую входит начальник охраны расположить в "Локальный вход в систему".

По поводу пунка 3), конечно можно и доменного админа запретить, но я бы не советовал.

p.s. если непонятно, что-то конкретное обращайтесь, а так по идее это очень не сложная задача и я бы рекомендовал почитать хоть какую-то книжку по AD

Acid gh0st
я почитаю обещаю, вы только порекомендуйте какую,
а пока немного тупой вопрос поэтому прошу без помидоров.
группа локальных администраторов это BUILTIN\Administrators? так выглядит эта группа в домене?

Доброго времени суток.
Вопрос такой: Можно ли средствами GPO всегда считать (автоматически) сеть предприятия, т. е. что бы при инициализации запрос о выборе расположения сети не выскакивал. Если да, то где искать, сам обрыл всю гпо, не нашел, может плохо искал(

ursulus
присоединяюсь, раздражает порой.

Подскажите,
на контроллере домена хочу расшарить папку.
Создаю нового юзера, назначаю ему права на папку.
Захожу с другого компа(не из домена) в расшареную папку на контролере домена - просит ввести имя и пароль - ввожу нового юзера,но в папку не дает зайти.
Если на папку дать все права - то заходит.
В чем может быть проблема?

заранее спасибо

serik1986

Цитата:

группа локальных администраторов это BUILTIN\Administrators? так выглядит эта группа в домене?

Если использовать эту учетку, то туда входят вообще все администраторы (в том числе и администраторы домена) и такое не аккуратное действие вообще может лишить вас контроля над этой рабочей станцией.
Я вижу решение этой проблемы по-другому: надо отнести группу локальных администраторов на целевой рабочей станции (в вашем случае это VideoServers) в созданную нами группу (к примеру, VideoServers_admin), для дальнейшего ее ограничения. Это можно сделать через GPO с помощью "Групп с ограниченным доступом". Находятся они в Конфигурация компьютера -> Конфигурация Windows -> Параметры безопасности -> Группы с ограниченным доступом, затем ПКМ добавить группу, там выбираем Администратор и включаем в нужную нам группу VideoServers_admin. Правда с таким подходом для НачальникаОхраны и Группы Администраторов домена прописывать вообще все разрешения с нуля, так как группу для группы Администраторов вход на рабочие станции будет запрещен. Есть менее трудоемкий способ, но его легче обойти, это отнести в ограниченную учетную запись (VideoServers_admin) только конкретных локальных Администраторов, допустим есть только встроенные, для того чтобы отнести их нужно зайти на локальную рабочую станцию и определить пользователя в ограниченную группу. Это можно сделать как локально, подойдя и этой рабочей станции и залогинется, так и удаленно заходим в Управление компьютером -> действия -> подключиться к другому компьютеру, дальше все просто.

p.s. Привычки кидать помидорами в кого либо не имею )), да и до гуру мне далеко, из книг по AD читал много отрывочно, но полностью прочитал книгу «Шетка Петр Microsoft Windows Server 2003 Практическое руководство по настройке сети» очень рекомендую начинать с нее.

ursulus ты имеешь в виду, что автоматически не известную сеть относит к Общественной, а ты хочешь к Частной или что-то другое?

sergeyrambler, если для нового пользователя, то нужно вначале перезагрузить Контролер домена, а потом разрешения начнут работать верно, если перезагружать Контролер не вариант, то погугли думаю можно и какие-то службы перезапустить.

Уважаемые подскажите.
после перезагрузки компьютера на логон экране видна иконка только последнего пользователя, несмотря на то что на этом компе есть и локальных куча пользователей и работал другой доменный пользователь, этих пользователей на логон экране нет. Т.е. если ты свою домен\учетку (или имя_компьютера\учетка) не знаешь то залогиниться не сможешь, что есть весьма неудобно для пользователей. Можно как то починить? например чтобы видно было всех локальных пользователей (как обычно) и еще тех кто логинился доменной учеткой?

Acid gh0st
Хочу что бы всегда, при подключении к домену не выскакивал запрос о расположении в сети, а определялся автоматически средствами гпо, что бы автоматически назначалась "сеть предприятия".

Цитата:

Acid gh0st
Хочу что бы всегда, при подключении к домену не выскакивал запрос о расположении в сети, а определялся автоматически средствами гпо, что бы автоматически назначалась "сеть предприятия".

http://serverfault.com/questions/219508/how-to-set-the-network-profile-of-windows-7-via-group-policy - тут есть ответ, но я таким решением не разу не пользовался.

У меня с расположением была другая проблема, на виртуальном сервере настроил внутреннюю сеть, но не хотел для нее настраивать DNS и при каждой перезагрузке, компьютеры соединенные этой сеткой определяли сеть как "Общую" и соответственно пропадали из сетевого обнаружения, эта проблема решается через GPO, назначением всем Неопознанным сетям Тип расположения как Частное.

подскажите можно ли дать одному пользователю права на запуск одной службы

День добрый. сразу к делу
домен Windows server 2003
1000 пользователей подключено к домену

До недавнего времени не было запрещено пользоваться 3g модемами. Выпустили приказ запрета, но мое предприятие занимает очень большую территорию примерно 10 на 5 км и всех не проконтролировать. как через GPO запретить пользоваться любим модемом но в тоже время чтоб мышка, клавиатура, веб камер, принтера и сканеры работали??

lordsharks Поиск отменили? Прочтите все страницы ветки
http://forum.ru-board.com/topic.cgi?forum=8&topic=4998
и статью
http://dimanb.wordpress.com/2012/07/02/usb-and-gpo/

Цитата:

lordsharks

если есть бюджет, смотрите devicelock

lordsharks

Цитата:

домен Windows server 2003  

насколько я знаю гибкое управление USB устройствами (как в статье данной ipmanyak) через GPO появилось только в w2k8.

Если миграция не приемлема, то подумайте надо этим вариантом:
заменить на клиентских машинах раздел реестра HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Modem (чтобы удалить ранее установленные модемы) и изменить разрешения на эту ветку для блокирования от изменения для всех пользователей кому запрещено пользоваться модемами.
Но на мой взгляд - это костыль и лучше мигрировать (раз начальство ввело новые правила, то у вас появился шанс обосновать апгрейд, так как это далеко не единственное преимущество над win2k3)

Цитата:

насколько я знаю гибкое управление USB устройствами (как в статье данной ipmanyak) через GPO появилось только в w2k8.

Если миграция не приемлема, то подумайте надо этим вариантом:
заменить на клиентских машинах раздел реестра HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Modem (чтобы удалить ранее установленные модемы) и изменить разрешения на эту ветку для блокирования от изменения для всех пользователей кому запрещено пользоваться модемами.
Но на мой взгляд - это костыль и лучше мигрировать (раз начальство ввело новые правила, то у вас появился шанс обосновать апгрейд, так как это далеко не единственное преимущество над win2k3)

Как рас жду новый сервер и собираюсь ставить 2008. спасибо за подсказку

Цитата:

http://forum.ru-board.com/topic.cgi?forum=8&topic=4998 [?]
и статью
http://dimanb.wordpress.com/2012/07/02/usb-and-gpo/

В этой статье указано как отключить устройства если я знаю GUID-идентификатор каждого модема, а что делать если у меня предприятие 5км на 3км. по всей территории стоят цеха я ж не могу бегать год по предприятии и вылавливать у кого есть модем у кого нету чтоб посмотреть их GUID-идентификатор и забанить его.

lordsharks

Цитата:

не могу бегать год по предприятии и вылавливать у кого есть модем у кого нету чтоб посмотреть их GUID-идентификатор и забанить его

вставьте в стартовый (или в shutdown) скрипт получение GUID'ов

Добрый день, поиском пробежался и не нашел.
Вопрос теоретический: почему нельзя применять gp напрямую на пользователей, компьютеры и контейнеры (builtin)?
Чисто технически понятно: у этих объектов нет атрибута gpLink, но что мешает реализовать...

Цитата:

вставьте в стартовый (или в shutdown) скрипт получение GUID'ов

У Вас случено нету такого скрипта? А то что то у меня не хочет собирать.((

После установки IE 10 на сервер нет вкладки настроек прокси :

так было раньше вкладка присутствовала:


Добавлено:
Спасибо оказывается у неё новое место:

Подскажите пожалуйста как реализовать такую задачу. В домене 2 подсети - 10.63.1.x и 10.63.2.x, пользователь может работать в обоих на разных компьютерах под своей учетной записью. На пользователей домена распространяется политика, которая прописывает прокси в браузере. Как сделать так, чтобы при входе в первую подсеть на пользователя распространялась эта политика, а при входе во вторую не распространялась? Пробовал вариант с нацеливанием, но не очень понятно как оно действует.

DieMaN
политики не site навесьте

Всем привет помогите решить пару вопросов

1) подключили к себе филиал 150 машин, всех ввели домен но выдали все группу АДМИНИСТРАТОРОВ вместо обычного пользователя есть у кого скрипт который бы изменил всем групп??

2) Как создать учетную запись которая разрешала бы производить установку программ на те машины где запрещено это делать обычному пользователю , но в тоже время у этой учетки не было доступа к серверам??

Подскажите DC 2008R2 на нем установлен IE10, как вносить изменения через GPO в IE10?Есть только настройки на 6-7-8 IE

Здравствуйте, нужна помощь гуру!
Ситуация такая: есть контролер домена на Windows Server 2012, нужно с помощью групповых политик управлять запуском системных служб у клиентов на Windows XP.
Дело в том, что я не могу найти даже названия некоторых XP-шных служб в редакторе групповых политик на сервере! Речь, например, о службах "Справка и поддержка" или "Служба сообщений".
(Ищу здесь: Конфигурация компьютера-Комфигурация Windows-Параметры безопасности-Системные службы)
Подскажите куда копать, очень нужно!

Есть сертификат .pfx(с паролем), который надо поставить в личные всем пользователям двух терминальный серверов. Как это сделать через GPO?
Ответ на свой вопрос: В моем случае через:
importpfx.exe -f cc.pfx -p 1 -t USER -s My