» Обсуждение статьи "Групповые политики Active Directory"

FreemanRU
1. Я админ сетки вообще так что обращаюсь к вам.
2. Я не хочу чтобы за мой ПК садился другой админ, что меня заменяет причине моего отпуска.
m2a не пройдет совет поставить пароль и на БИОС.
еще одна причина негодности пароля, что в случае перезагрузки машина не загрузится, а мне мой рабочий ПК нужен онлайн.
Возвращаемся к вопросу о локальной политике

Дядьки, нужен хелп.

Задача: создать политику, которая определённой группе юзеров будет блочить все сайты, кроме списка разрешённых.

Как красиво это сделать?

Добавлено:
Сразу поясню в чём проблема.

Есть политика. В этой политике в юзер конфиг / инет эксплорер мэйнтрейс / секьюрити ... заданы approved sites и снята галка users can see sites that have no rating. Линк на группу Group и секьюрити фильтринг тоже группа Group.

Таким образом пользователи группы Group должны иметь доступ лишь к разрешённым мною сайтам, но... почему то галочка "users can see sites that have no rating" имеет глобальные свойства, т.е. если я её убираю, то она убирается везде, а если ставлю, то появляется всюду. Голову сломал уже...

Вопрос по поводу Эктив Директори вообщем я когда захожу в домен у меня на мою машину ограничены права до нельзя смотрел на контроллере доменнов, мой пользователь групе Администраторс в политиках безопасности тоже вроде бы все в норме
подскажите где еще можно посмотреть эти моменты
П.С. Пару дней назад поднимал машину с нуля тоже регистрировал в домене все в норме полные права... мистика

XAN

Цитата:

то есть локальный админ доменной машины не сможет редактировать ее политику

Ну раз ты админ, бум тебя учить, раз чтение манов не входит в твои обязанности.
Vista, находясь в домене, полагает (справедливо, замечу я), что если комп в домене - то рулиться доменными политиками, и никак иначе.
Так что если твой коллега - админ в домене, то ничего тебе не светит. ТОже самое было и в XР. Если ты выставлял локальную политику, и наивно думал, что админ домена не попадет на эту машину - то либо ты на столько не разбираешься в политиках безопасности, либо твой коллега не разбирается, либо твоему коллеге до твой машины пофигу (наиболее вероятный вариант - последний).
RaulDuk
Заходишь в остастку AD Пользователи и компьютеры, находишь комп, на нем правой кнопкой мыши, далее "Зельтирующая политика", далее "чего-то_там (Протоколирование)". В списке пользователей выбираешь себя, и смотришь на полученный результат - какие политики применяются.

FreemanRU
посмотрел - доступ не ограниченый сравнил с копьютером админа все то же самое =\
не понятно единственная разница то что у меня стоит 2003-ая винда а у него ХР

FreemanRU
Цитата:

льную политику, и наивно думал, что админ домена не попадет на эту машину - то либо ты на столько не разбираешься в политиках безопасности, либо твой коллега не разбирается, либо твоему коллеге до твой машины пофигу (наиболее вероятный вариант - последний).

1. Локальная политика обрабатывается, первой, если никто не перезапишет ее дальше то все ОК. напоминаю порядок (RTFM) не надо сразу думать, что человек дурак если спрашивает указывать на маны.
1. Параметры локального GPO;
2. Параметры GPO SitePolicy;
3. Параметры GPO Default Domain Policy;
4. Параметры GPO Policy2.
2. Вышвырнуть доменных админов с локальных раз плюнуть. Что я и сделал. Сижу под локальным админом своей рабочей станции.
3. Каллега не админ домена...

И еще выше я все таки написал.

"так как я собираюсь в отпуск, а не хочу чтобы за моей машиной кто то сидел кроме меня."
Так что речь идет о любом юзере кроме меня. Раньше это делалось через политику. Право локального входа давалось только админам и конкретной учетке, и служебным учеткам.

Все таки вопрос про Vista. Из выше написанного выходит, что MS, что от изменили. Подскажите как там реализовать идею.

Ребята, подскажите пожалуйста. Где можно в груповых политиках вкл/откл. опцию, чтобы на сервер пускало компьютеры которые в домен не входят. А то такая ситуация - есть домен, есть компы которые не в домене но им нужно подключаться к базам которые расшарены на серваке. При попытке подкл. выдает ошибку что нет доступа. Если попытаться войти на компьютер домена, а не на сервер,то спрашивает имя пользователя и пароль. А на серваке такого не спрашивает уже изначально. Если я ввожу туда логин и пароль допустим domain@administrator и его пароль то на обычный комп домена меня пускает.

может сделать автологон на сервер через ПУСК -> выполнить -> control userpasswords2,
там есть привязка данных авторизации к конкретному серверу, только придется на всех недоменных машинах прописывать вручную

Добрый день, господа администраторы!
У меня такая проблема, надо запретить пользователю выход по аське, но как сделать это средствами AD никак не соображу.
В кратце о пользователе:
Работает на терминале под управлением Windows Server 2003.
Шлюз в интернет ISA Server 2006
Клиент ICQ Miranda.
Надо сделать так, чтобы она не могла выходить только во внешнюю аську (в миранде еще присутствует плагин внутренней ICQ).
Испробовал все (что знал) не помогает.
- Запрет на ИСЕ по имени пользователя не помогает, т.к. аська коннектиться не по прокси, а на прямую из под пользователя Anonimous.
- Переводить все аськи на прокси тоже не пойдет, компов в сети порядка 300, придется всех обойти и руками выставить.
- Запрет на ИСЕ по ИП тоже не пойдет, т.к. там много юзеров которым нужна аська.
- Удалить плагин аьски тоже не вариант, ибо его юзают другие.
- Запретить средствами AD хеш миранды тоже не вариант, релизов много, везде хеши разные да и к тому же она ей нужна для внутренней аськи.

Какие есть еще варианты? Помогите плиз.

в общем я столкнулся примерно с тойже проблеммой только у меня нет внутренней Аси...
помогло следующее..
1.В управлении компьютером есть такой пункт как службы и приложения=>DNS=>DC=>зоны прямого просмотра.
Там создаёться запись-блок icq.com- в этом контейнере создаёться папка ерхнего уровня Узел(А) и значение задаёться какой-нибудь любой IPадрес.
вторым шагом моздаёться папка login.icq.com - в ней делаеться тоже самое.
в этих папках также должны присутствовать папки верхнего уровня начальной зоны SOA
с указанием хост мастера и папка верзнего уровня сервера имён.
(палучаеться что когда у юзера ася при логоне конектиться на login.icq.com он автоматом форвардиться на непригодный айпишник и логон обламываеться. Себеже я прописал просто вместо login.icq.com прямой айпи логининга аси 205.188.179.233)
2.в последствии я ещё дополнил это всё скриптиком и политикой который запрещает запуск приложений типа icq.exe im.exe и тому подобное )

удачи.

Ну так будет получаться что все юзерры будут получать этот левый IP при логине на icq.com. К тому же никто не мешает юзеру вместо DNS имени запить IP адррес серва.
Запретить запуск exe-шника не могу, потому как внутреняя ася на ней.

Администраторы поделитесь опытом, у меня раз в месяц происходит смена пароля. правда вот косяк: в 9 утра когда пользователи вводят свой пароль у них проходит ввод пароля и все нормально они в сети и работают но в 10 - 11 часов начинаються звонки, то принтер не печатает то диск сетевой не работает и так далее.
Как я понимаю юзеры меняют пароль допустим в 9:30 а через месяц он приходит на работу пораньше в 9:00 и вводит свой обычный пароль, а ситема его хавает ведь на сервере только через 30 минут появиться информация о том что пароль устарел, что на мой взгляд не правильно.......(правда эта информация ни каким образом не доноситься до пользователя а просто перстает что-нибудь работать что связано с сетью) так что мне делать как этого избежать....

Всем доброго времени суток!

Подскажите как с помощью GPO на всем машинах в OU включить "Use HTTP 1.1 through
proxy connections" в IE и жестко прописать сценарий прокси?

Конфигурация пользователя->Конфигурация Windows->Настройка Internet Explorer->Подключение->Параметры прокси-сервера

alexsan155
Насколько я понимаю, таким способом можно только жестко прописать сценарий прокси, а как включить "Use HTTP 1.1 through proxy connections"?

2 strizhakovs

а у тя прокся какая?

Не совсем понял вопрос.
У меня прокси поддерживает HTTP 1.1

Цитата:

Администраторы поделитесь опытом, у меня раз в месяц происходит смена пароля. правда вот косяк: в 9 утра когда пользователи вводят свой пароль у них проходит ввод пароля и все нормально они в сети и работают но в 10 - 11 часов начинаються звонки, то принтер не печатает то диск сетевой не работает и так далее.
Как я понимаю юзеры меняют пароль допустим в 9:30 а через месяц он приходит на работу пораньше в 9:00 и вводит свой обычный пароль, а ситема его хавает ведь на сервере только через 30 минут появиться информация о том что пароль устарел, что на мой взгляд не правильно.......(правда эта информация ни каким образом не доноситься до пользователя а просто перстает что-нибудь работать что связано с сетью) так что мне делать как этого избежать....

поставь напоминание при входе в систему об окрнчании срока пароля чтобы делал это хотя бы за неделю до окончания, у нас проблем поэтому с этим нет

11QAZ2WSX

Спасибо за помощь, я так понимаю что это единственный выход, я так и сделал но это немного не удобно и не красиво с этим сообщением...

strizhakovs

Цитата:

Подскажите как с помощью GPO на всем машинах в OU включить "Use HTTP 1.1 through
proxy connections" в IE и жестко прописать сценарий прокси?

В системных политиках:
Конфигурация пользователя\Административные шаблоны\Advanced Settings\HTTP 1.1 Settings
Предварительно в фильтре просмотра необходимо убрать галочку "Показывать только управляемые параметры политики"

Не знаю туда ли спрашиваю но может кто подскажет, у меня есть обычный домен, ничего нестандартного. Но почемуто для того чтобы ввести компьютер в домен достаточно ввести имя пользователя который состоит только в группе пользователи домена. Я считал что нормлаьное поведение домена это позволять вводить компьютеры в домен ТОЛЬКО Администраторам домена, у меня же получается что каждый может ввести свой компьютер в домен, это нормально ?

Magvai
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/ru/library/ServerHelp/7207aa3e-d95d-4176-a1ca-bc629f1ca698.mspx?mfr=true

Также можно:
http://support.microsoft.com/default.aspx?scid=251335

Etalon

Я убрал все фильтры но так и не увидил закладки Advanced Settings =( в Административных шаблонах

strizhakovs
Возможно необходимо добавить шаблон inetset.adm
найти можно по адресу c:\windows\inf\

PhoenixUA
"А слона то и не приметили" в политиках стояло "прошедшие авторизацию" спасибо

m2a

Цитата:

В общем, спасибо всем, нашел вроде бы сам
Конфигурация пользователя->Конфигурация Windows-> Настройка IE->URL-адреса->Важные URL-адреса

Данное решение оставляет пользователю возможность в дальнейшем поменять домашнюю страницу на любую другую, по его усмотрению

Я для решения этой задачи использую собственный шаблон

Код:
CLASS USER
CATEGORY !!WindowsComponents
CATEGORY !!InternetExplorer
CATEGORY !!ControlPanel
CATEGORY !!PageGeneral
POLICY !!HomePages
KEYNAME "Software\Policies\Microsoft\Internet Explorer\Main"
PART !!StartPage EDITTEXT
VALUENAME "Start Page"
DEFAULT "http://www.ru"
END PART
END POLICY            
END CATEGORY
END CATEGORY
END CATEGORY
END CATEGORY

[Strings]
WindowsComponents = "Компоненты Windows"
InternetExplorer = "Internet Explorer"
ControlPanel = "Панель управления обозревателем"
PageGeneral = "Страница 'Общие'"
HomePages = "Домашние страницы"
StartPage = "Введите адрес домашней страницы"

Подскажите, можно ли с помощью adm-файла добавить в групповую политику значение типа REG_BINARY? Читал доку по созданию adm-файлов, но там добавляют только REG_DWORD и REG_SZ

gizzzmo
тебе бы на ISA запретить _конкретному пользователю_ выход по порту... или по IP...
а ГП тут не при чем...

taelas
1. Аська коннектится через ИСУ как anonimous... так что запретить не могу.
2. По ИП не могу блокнуть, т.к. она работает на терминале, а там кроме нее еще 30 юзеров и всех один и тот же ИП

Единственный выход - это перенастраивать все аськи на выход в инет через прокси, и уже после этого рубить по пользователям на ИСЕ.

Etalon
Да, все получилось! спасибо большое!

Добавлено:
Еще такой, наверное очень глупый вопрос, но все же.
Я написал политику к определенному огранизейшен юниту и хочу чтобы она сразу применилась ко всем юзерам в ней, а не ждать пока он будет делать логоф и логон. Как это можно сделать?