Ru-Board.club
← Вернуться в раздел «В помощь системному администратору»

» Групповые политики (Group Policy, GPO): документация, ссылки

Автор: anton04
Дата сообщения: 11.08.2014 12:37
EjikNET
Цитата:
Если я правильно понял, то вы предлагаете структурировать AD путем переименования "Подразделений" в названия на английском языке и не используя пробелы? Примерно так?:


Да, но пробелы использовать можно, но начало должно быть у всех идентичное OU_ .

Это не я предлагаю, а умные книжки рекомендуют


Цитата:
Ну и относительно ПК по той же схеме? Правильно?


Да всё верно.


Цитата:
Вот скриншоты:

Разрешения принтера:


Хм. всё в принципе верно, единственное нету группы "Прошедшие проверку", но при накатывании политики на пользователя это и не нужно.
Затрудняюсь так ответить что не так, надо тупо смотреть всё с самого начала (от свойств пользователя и групп в которые он входит и до уровня доступа к КД и папкам), где что-то и должно быть не то....
Автор: EjikNET
Дата сообщения: 11.08.2014 15:23
anton04


Цитата:
...надо тупо смотреть всё с самого начала (от свойств пользователя и групп в которые он входит и до уровня доступа к КД и папкам), где что-то и должно быть не то....


Ну что ж, спасибо за советы в любом случае.. Буду копаться дальше, попробую разобраться..
Автор: urodliv
Дата сообщения: 26.08.2014 16:28
Коллеги. Нужно разъяснение.
Правильно ли я понимаю, что теперь все настройки IE через GPO делаются через пакет IEAK. С его помощью создаём пакет установки IE с нужными параметрами, а затем этот пакет устанавливаем через GPO на нужные компы.
Допустим у меня сейчас есть "боевой" терминальный сервер и мне нужно сменить начальную страничку у всех пользователей домена. Мои действия:
1. Выкачиваем IEAK и устанавливаем его на какой-нибудь комп.
2. Запускаем IEAK и с его помощью получаем установочный файл .msi.
3. Через GPO устанавливаем этот файл на терминальный сервер.
4. Если требуется, то перезагружаем сервак.
5. Ловим возможные глюки.

Я всё правильно понял? Или это экстремальный способ работы с IEAK и есть более правильный?

P.S. Читал официальные документы: написаны хуже юридических загогулин.
Автор: anton04
Дата сообщения: 26.08.2014 20:23
urodliv


Цитата:
Правильно ли я понимаю, что теперь все настройки IE через GPO делаются через пакет IEAK.


Неправильно понимаете. Всегда все настройки задаются в GPO, в соответствующем разделе.


Цитата:
Я всё правильно понял? Или это экстремальный способ работы с IEAK и есть более правильный?


Всё вами вышеописанное это способ развёртывания приложения, а не изменение настроек IE. Называется почувствуйте разницу.
Автор: urodliv
Дата сообщения: 26.08.2014 21:25
anton04
Хорошо. С помощью "золотого пинка" и гугла найдено то, куда они зарыли эти настройки. Только вот теперь вопрос, там всё оканчивается 10 версией ИЕ. Нужна 11. Можно ли их считать идентичными в этом процессе?
Автор: Paromshick
Дата сообщения: 27.08.2014 07:12
urodliv
По воробью домашней страницы не стоит пулять из пушки всяких AIKов.
И в "Настройки" тоже смысла я не вижу лезть. Воспользуемся веткой "Политики", а именно:
Конфигурация пользователя -- Административные шаблоны -- Компоненты Windows -- Internet Explorer -- в корне Отключить изменение параметров домашней страницы -- включено, URL задать.

Цитата:
Если этот параметр политики включен, пользователь не может задать свою домашнюю страницу по умолчанию. Следует указать, какая домашняя страница должна загружаться по умолчанию на компьютере пользователя. Для компьютеров с браузером Internet Explorer 7 и более поздних версий домашнюю страницу можно устанавливать в рамках этого параметра политики для переопределения политик других домашних страниц


Добавлено:
Если, мейби, связано с интранетом, то интересен параметр "Использовать список сайтов IE в режиме предприятия".
Так же там можно настроить открытие нескольких вкладок с заданными параметрами, но я сейчас не юзаю и позабыл где это. Там, емнип, две политики связаны как-то, в общем разобраться можно.
Автор: anton04
Дата сообщения: 28.08.2014 21:51
urodliv


Цитата:
С помощью "золотого пинка" и гугла найдено то, куда они зарыли эти настройки.


достаточно было воспользоваться встроенным фильтром в политике GPO.


Цитата:
Только вот теперь вопрос, там всё оканчивается 10 версией ИЕ. Нужна 11. Можно ли их считать идентичными в этом процессе?


В вопросе установки домашней странице - да.
Автор: urodliv
Дата сообщения: 28.08.2014 23:33
Paromshick

Цитата:
По воробью домашней страницы не стоит пулять из пушки всяких

Не было понимания процесса, поэтому хоть пушку, хоть "Град" готов был использовать.

Цитата:
Воспользуемся веткой "Политики", а именно:
Конфигурация пользователя -- Административные шаблоны -- Компоненты Windows -- Internet Explorer -- в корне Отключить изменение параметров домашней страницы -- включено, URL задать.

Этот параметр есть только в локальных групповых политиках. В доменных этой ветки нет.

anton04

Цитата:
достаточно было воспользоваться встроенным фильтром в политике GPO.

Либо я не знаю где есть фильтр для этой ветки, либо его для ветки "Настройки" действительно не существует.
Автор: anton04
Дата сообщения: 29.08.2014 15:42
urodliv


Цитата:
Либо я не знаю где есть фильтр для этой ветки, либо его для ветки "Настройки" действительно не существует.


Правой кнопкой на названии ветки (папки в mmc) в видим "Фильтр" и "Параметры фильтра"
Автор: obtim
Дата сообщения: 16.09.2014 10:20
Стоит IE11+2008 сервак
Подскажите, как прописать proxy для всех?
Раньше было

Теперь:
Автор: OOD
Дата сообщения: 16.09.2014 10:27
obtim
у меня так


Добавлено:
только подправить нужно в xml файле политики InternetSettings
строчку
type="VERSION" gte="1" min="8.0.0.0" max="99.0.0.0"
Автор: obtim
Дата сообщения: 16.09.2014 10:30
OOD
Или сильно туплю или нюанс в том, что у меня IE 11
Автор: OOD
Дата сообщения: 16.09.2014 10:32
obtim
У меня тоже 11 IE. вначале пропишите политику как на скрине, потом руками версию на 99 исправьте и должно быть все ок.
Там где на Вашем скрине правил -не работает..

Добавлено:
Путь к файлу:
\\server\SysVol\serverl\Policies\{9E23B9A8-7C46-4023-A274-3D470B479B90}\User\Preferences\InternetSettings\InternetSettings.xml
Автор: likbez
Дата сообщения: 17.09.2014 14:19
в сети всё лицензионное: единственный контроллер 2008r2 с АД и ГП, на одной из рабочих станций улетел винт, поменяли на ССД, клонировали системный раздел со старого, Вин7Про загрузилась и работала, потом обновилась и при войти в систему уже не дает:
"база данных диспетчера учетных записей на сервере не содержит записи для регистрации комьютера через доверительные отношения с этой рабочей станцией"

как это вылечить?
Автор: Kaber
Дата сообщения: 17.09.2014 14:31
Групповые политики тут не причем, лечится выводом/вводом из домена
Автор: likbez
Дата сообщения: 17.09.2014 15:22
Kaber

да, так оно лечится (уже не первый раз), но хотелось бы понять причину болезни.
кстати, на этой же машине не удается ни установить, ни обновить Explorer до версии 11; при обновлении доходит до конца и пишет: Отказ: 1 обновление ... Код 9С59 - Произошла неизвестная ошибка Windows Update,
а при установки как из веб-инсталятора, та и из полного установочного пакета (оба с оф.сайта) в конце процесса выдает "установка не закончена...". даже в "Безопасном режиме" тоже самое.
что с этим сделать можно?
Автор: Sarcophagus
Дата сообщения: 18.09.2014 15:55
likbez

Цитата:
хотелось бы понять причину болезни

О возможных причинах и путях решения этой проблемы:
http://windowsnotes.ru/activedirectory/vosstanavlivaem-doverie-v-domene/


Цитата:
ни установить, ни обновить Explorer до версии 11

Попробуй сначала удалить IE9
Автор: jey_str
Дата сообщения: 30.09.2014 17:55
Всем доброе время суток
Вопрос в следующем когда-то давно настаивал свой домен на 2003 и там в описании была описана настройка GPO по умолчанию от microsoft, там нечто подобное (чтоб пароль был в соотведствии 8 знаков, чтоб пользователи без - были и т.п.)
Не могу вспомнить где это настраивается, не на помните.
Автор: Xrobak
Дата сообщения: 30.09.2014 19:11
http://technet.microsoft.com/en-us/library/cc875814.aspx
Автор: jey_str
Дата сообщения: 01.10.2014 19:23
Xrobak
Спасибо конечно за ответ
Но речь идёт не только о паролях
Там куча параметров от microsoft
Автор: likbez
Дата сообщения: 05.10.2014 23:03
Sarcophagus

Цитата:
О возможных причинах и путях решения этой проблемы

эти методы я перепробовал в первую очередь - но не работают они. помогает только выведение машины из домена с последующим введением обратно.
Автор: AniQDuck
Дата сообщения: 07.10.2014 21:21
Здравствуйте, первый раз имею дело с АД, прошлый сервер который никто особо то и не трогал сдох. Оперативно был поставлен Win server 2012 R2. Подняли домен вечером на скорую руку и без опыта, завели юзверов со стандартными политиками, завели компы в домен, зашли на новые учетки, перебросили рабочие столы и т.д. Дело было к ночи, тестить ничего не стали, ушли домой. И тут настало рабочее утро и возникла куча проблем который надо оперативно решить и увы гугл не помог, прошу помочь:
1) У пользователей перестали запускаться часть программ(у инженеров, конструкторов) решили пока тупо дать им админские права, добавили их в группу администраторов в АД, перегружались эффекта ноль, юзеры с обычными правами ничего запускать не могут. Прошу подсказать как всё это сделать?

2) Есть специфический софт написанный фиг знает когда и концов нет, вообщем он при своей работе создает файлы в корне диска Ц, но у юзера нет прав создавать там файлы, обычным способом попробовал через безопасность под админом добавить и пользователя и "всех" на полный доступ, толку ноль. Как это сделать? (или потом дать доступ в Програмфаилс)
Заранее благодарен. У юзеров винды 8.1, 8, 7 и редко ХП
Автор: Acid gh0st
Дата сообщения: 08.10.2014 18:40
AniQDuck, не совсем понятно какими вы правами наделили всех пользователей, администратором домена? также непонятно помогло ли это вам?
Мне кажется множество ваших бед решит сделать пользователей локальными администраторами рабочих компом, это гораздо безопаснее, чем все пользователи с наивысшими правами в домене.
Попробуйте на одном из ПК добавить в группу администраторов одного конкретного пользователя домена (управление - > пользователи и группы и т.д.) , если это решит проблему, то дальше расскажу как это сделать через gpo на все компы.

Это лишь мера как сделать так, чтобы первое время на всех рабочих ПК пошла работа, но после этого обязательно изучите хотя-бы основы AD...
Автор: AniQDuck
Дата сообщения: 21.10.2014 07:17
Acid gh0st
Да спасибо, действительно помогло. Подскажите пожалуйста как сделать через gpo и как всё же разрешить юзерам создавать файлы в корне диска C.
Заранее благодарен.
Автор: Acid gh0st
Дата сообщения: 22.10.2014 08:06
AniQDuck в AD создайте группу и поместите туда всех пользователей которым будет предоставляться права локальных администраторов.

остальное хорошо расписано по ссылке:
http://windowsnotes.ru/windows-server-2008/dobavlyaem-domennyx-polzovatelej-v-lokalnuyu-gruppu-bezopasnosti/ (если что-то непонятно пишите сюда, но лучше для начала воспользоваться поиском как в форуме, так и в google, ну или любым поисковиком по вкусу).

и повторюсь, прочтите хотя бы книгу: "Шетка Петр Microsoft Windows Server 2003 Практическое руководство по настройке сети", сам начинал именно с нее, может уже есть более современные редакция, я не знаю. Но в свое время книга помогла мне разобраться в основах за очень короткий срок.
Автор: Paromshick
Дата сообщения: 22.10.2014 12:55

Цитата:
в AD создайте группу и поместите туда всех пользователей которым будет предоставляться права локальных администраторов.

Ппц. Всем локального админа. Ни в коем случае!

Computer configuration -- Policies -- Windows settings -- Security settings -- File system -- Правый клик -- Add File... -- Add file or folder -- Local Disk C: -- OK -- Users (DOMAIN\Users) отметить чекбокс Write. Далее разбтраетесь продвигать ли разрешения по наследству, заменить ли существующие, или не разрешать изменение существующих.
Тестовый OU, прикрепление к нему политики, помещение туда компа, ожидание репликации, и gpupdate /force вам в помощь
Автор: Acid gh0st
Дата сообщения: 22.10.2014 18:01
Paromshick, полностью с вами согласен, что всем давать локального администратора - это хреново, но и дать доступ ко всему диску C: на запись (если следуя совету применить наследование для всех вложенных файлов и папок, не особо отличается от локального админа), также прошу обратить внимание, что сейчас все пользователи Администраторы Домена!!!!
По идее конечно в каждом случае надо разобраться какие права требует та или иная программа и дать только эти права, возможно проблему решит дать права на запись для пользователей домена (а лучше только группе которая этим софтом пользуется) к папке этой программы в program files...
Автор: Paromshick
Дата сообщения: 23.10.2014 10:53
Acid gh0st
Тупо вопрос. Зачем давать привилегии администратора, хоть локального, хоть доменного, ужоснах, если можно дать права на определенную папку через GPO. Коллега накосячил там, ну так его надо правильно поправить, а не "менее косячнее".
В противном случае, он воспримет эту полемику, что мол можно так, а можно и так. Да нельзя так. Неправильно так.
Цитата:
не особо отличается от локального админа

Особо. Помимо разрешений NTFS локальный админ имеет много еще чего и где. Как пример, права на папку Fonts не дадут права устанавливать шрифты в системах от 7 и выше. Там целая песня через GPO делается, погуглите, если интересно. Просто мелькали то ли дизайнеры, то ли конструкторы, а они часто специфичные шрифты тащат.
Кроме того, никто не просит наследовать, там широкий выбор возможностей, вплоть до того, что можно лишь отдельной группе AD дать право записи в корень системного диска без пропаганды этих прав в дерево каталогов.
Автор: obtim
Дата сообщения: 23.10.2014 11:46
Пытаюсь настроить управление для FrontMotion Firefox: скачал с их сайта admx и adml(стоит 2008 R2 сервак). Adml закинул в C:\Windows\PolicyDefinitions\ru-RU, admx в C:\Windows\PolicyDefinitions\
Вопрос: где в настройках GPO должны появится настройки для Firefox(применяю к пользователю)?
Автор: anton04
Дата сообщения: 23.10.2014 11:48
obtim

Закидывать шаблоны необходимо в самой консоли mmc GPO Через правую кнопку мыши на соответствующем разделе.

Страницы: 12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565758596061626364656667686970717273747576

Предыдущая тема: Шарю по net share: Системная ошибка 5. Отказано в доступе


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.