» Обсуждение статьи "Групповые политики Active Directory"

Добрый день. Ситуация такая:
Если пользователь не состоит в группе администраторов, но ему были добавлены роли администратора, то после перезагрузки сервера эта роль убивается. Как сделать, чтоб этого не происходило. Спасибо!)

olpi

Цитата:

Дело в том, что у меня прокси вообще не используется.

Так его может и не быть. Задача в том, чтобы завернуть все пакеты в тупик - в пустышку.

Добавлено:
shadyflash

Цитата:

Добрый день. Ситуация такая:
Если пользователь не состоит в группе администраторов, но ему были добавлены роли администратора, то после перезагрузки сервера эта роль убивается. Как сделать, чтоб этого не происходило

Вы имеете в виду, что вы создаете фильтрацию с помощью Restricted groups, а фильтрация исчезает после перезагрузки?
Кто-то тут в похожей ветке писал очень грамотно по этому моменту. Не то так происходит потому что машина выходит из домена, не то... забыл, елы-палы. Ждем того, кто пояснял.

Подскажите, как сделать:
Надо дать возможность пользователям домена, редактировать файл hosts, который в windows/system32/drivers/etc. Но, что бы при этом, пользователи оставались в группе "Пользователи домена".

Прошелся всем групповым политикам, ничего не нашел ((
Каким способом это можно сделать?

Kernelt

Цитата:

Надо дать возможность пользователям домена, редактировать файл hosts, который в windows/system32/drivers/etc. Но, что бы при этом, пользователи оставались в группе "Пользователи домена".

По-моему, там просто ACL по умолчанию наследуется от %systemroot%, а потому для Users ACE должна быть Read. Добавьть разрешение Write.
Я не прав?

Нет, я никакую фильтрацию не задаю, я тупо в актив дериктори добавляю роль админа юзеру, после перезагрузки сервера эта роль пропадает, если юзер не состоит в группе админов)

Нужно подрубить все пользователям один из пртнеров, есть возможность это провернуть через ГПО

docfbi

Задай ещё раз свой вопрос на трезвую голову.


shadyflash

Цитата:

Нет, я никакую фильтрацию не задаю, я тупо в актив дериктори добавляю роль админа юзеру, после перезагрузки сервера эта роль пропадает, если юзер не состоит в группе админов)

Расскажи подробнее, где и как ты добаляешь роль админа юзеру.

удалено

Gremlin19

Цитата:

товарищи, требуется жестко задать обои на рабочем столе.
Вопрос поднимался несколько раз, и решался на уровне user configuration
но тут задача несколько иная:
есть две OU: OU1 и OU2 в них входят куча компов, требуется задать два вида обоев, для OU1 wallpaper1, для OU2 соответственно wallpaper2
и неважно какой пользователь логиниться.
При этом жестко запретить менять обои.

Эту политику можно назаначать только на user configuration. Для компа нет таких настроек.

Если кто-то знает такое решение, сообщите плиз.

народ привет.....
У меня есть группа в АД..... в ней 5 юзеров + один... все 5 имеют полный доступ на НТФС а вот тому одному хочу сделать только чтение........ как это сделать ??? ну ясно что можно добавить в НТФС его отдельно, и дать только чтение... как это сделать не удаляе его с группы

Цитата:

Эту политику можно назаначать только на user configuration. Для компа нет таких настроек.

Если кто-то знает такое решение, сообщите плиз.

т.е. ты хочешь сказать что жестко задать обои на машину невозможно?
Неверю.

IeugeniyI
Запретить запись? При чем здесь GP.

Эээ... не могу сообразить как можно через GPO подмонтировать папки для OU или для группы безопасности. В настройках пользователя есть опция подключить домашнюю папку.
Но там по моему ерунда какая то.

Да и вообще суть такова. Возможно ли это или нет.
Мне нужно определенным группам пользователей монтировать определенные папки.
К примеру пользователям группы1/ либо OU1:
Z:\ это скажем \\server1\userdata\
Y:\ это скажем \\server2\userdata\
X:\ это скажем \\server3\userdata\

А пользователям группы2/OU2 только:
Z:\ это скажем \\server4\userdata\

Вроде бы элементарная должна быть операция, но как то раньше этого не нужно было делать.
Это все можно сделать только скриптами или есть встроенные средства AD?

PS: сервера Win 2k3 sp2 + рабочие станции Winx XP SP3.

Заранее спасибо.

несколько лет подключаются dfs-корни юзерам через vbs-логон скрипт
буква диска, путь папки, а также кому и что рулится контейнерами
может, конечно, и есть решение средствами политик, но на момент внедрения вроде бы как другого способа не было

народ где в ГПО отключить требования нажать контрл аль делет перед воодом логина?

Народ, подскажите, как выдрать из АД-Users все данные о всех пользователях в текстовый/excel или др.файл, потому как стандартный экспорт выдирает только: имя, тип и описание... а у меня еще есть телефон, кабинет и т.п. может тузла какая есть?

pawelk
Использование средства LDIFDE для импорта и экспорта объектов каталогов в Active Directory
Step-by-Step Guide to Bulk Import and Export to Active Directory
Using CSVDE and LDIFDE to Export Information from Active Directory Snapshots in Windows Server 2008
CSVDE Export - User Accounts
AD Bulk Export 3

ShriEkeR Большущее спасибо!!!

Необходимо на компе вне домена, установить политику ограничения запуска exe файлов.

В принципе, могу создать в GP Management на домене политику с нужными настройками, но как ее перенести и применить на удаленном компе (не в домене)?

подскажите что происходит ? Я локальный админ на компе, но при запуске не которых .exe дистрибутивов выдается ошибка что данная установка запрещена политикой установленной на для этого компа администратором. Как убрать эту политику и что это вообще за политика ? Групповая или локальная ?

если комп в домене, а е являетесь администратором домена - то ничего не сделаете . системные админы вам закрыли доступ на запуск некоторых (или всех) программ - и правельно сделали - нечего вирусники распускать

комп не в домене. Просто отдельный локальный комп. Я админ этого компа. Как снять эту политику ?

protel
посмотри - Локальные политики безопасности - политики ограниченного использования программ - там есть кое какие опции, к примеру которые запрещают устанавливать слишком большие файлы и еще кое что. В общем попробуй покопать в том направлении.

lypky

ok, спасибо . Посмотрю повнимательнее

Добрый день!

Восстановили сервер SBS 2003 Standart R2 c помощью архивации... все прошло успешно...
но после появилась вот такая ошибка в журнале событий приложений

services (396) Не удалось выполнить восстановление (ошибка -1216), поскольку обнаружены ссылки на базу данных "C:\WINDOWS\Security\Database\secedit.sdb", которая больше не существует. Перед удалением, перемещением или переименованием этой базы данных не была выполнена проверка целостности данных. СУБД не сможет завершить восстановление этого экземпляра, пока не будет переустановлена отсутствующая база данных. Если эта база данных действительно больше недоступна или не нужна, обратитесь к PSS за инструкциями по выполнению восстановления без использования этой базы данных.

Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".

следом за этой следующая

services (396) Не удалось выполнить восстановление базы данных. Непредвиденная ошибка -1216.

Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".

следующая.....

Выполнено распространение политики безопасности с предупреждением. 0x10d9 : Чтение и запись в базу данных невозможно.

Справка по данному вопросу размещена на веб-узле http://support.microsoft.com. Запросите "troubleshooting 1202 events".

Дополнительные сведения можно найти в центре справки

и еще одна....


База данных JET повреждена. Запустите программу esentutl /g, чтобы проверить целостность базы данных %%windir%%\security\Database\secedit.sdb. Если она повреждена, сначала попробуйте восстановить ее, запустив программу esentutl /r в каталоге %%windir%%\security. Если это не помогло, попытайтесь выполнить восстановление, запустив программу esentutl /p для файла %%windir%%\security\Database\secedit.sdb. Затем удалите log-файлы из каталога %%windir%%\security. Ошибка при открытии баз данных безопасности, таких, как %windir%\security\database\secedit.sdb.

Кто может сталкивался с проблемой:

работали три контроллера тихонечко, никто их не трогал и в один прекрасный момент учетки всё залочились.
думал глюк. через день повторилось.
счас опять.
я пока посижу поразлачиваю, а вы может чего посоветуете?

День добрый коллеги!!!

подскажите с проблемой. Есть домен в нем принтеры входят в AD - и не возможно установить принтер на локальном компе - так как политики это запрещают.

Собственно вопрос: как на сервере подправить политики чтоб можно было работать с принтерами (устанавливать их локально и разрешить доступ по сети для других пользователей)

Привет всем!
Подскажите, если кто знает:
есть БД на ACCESS 2007 (два файла 1-оболочка, 2-таблицы)
Сеть одноранговая, таблицы находятся на "главной машине" на сетевом диске "Z" операционка ХР Pro, две учетки Admin, и User (права соответственно).
На остальных машинах стоит оболочка базы, которая залинкована на папку Z с правами USER к таблицам.

Вопрос: как запустить файл БАЗА.accde с правами Admin главной машины? но так чтобы у себя в системе пользователи не могли скопировать файл с таблицы из шары (т.е. были с правами USER) ???

работали три контроллера тихонечко, никто их не трогал и в один прекрасный момент учетки всё залочились.
думал глюк. через день повторилось.
счас опять.
я пока посижу поразлачиваю, а вы может чего посоветуете?

ДУмаю Вирус в сети, проверте хорошим антивирусом...


Собственно вопрос: как на сервере подправить политики чтоб можно было работать с принтерами (устанавливать их локально и разрешить доступ по сети для других пользователей)


Попробуйте:
gpedit.msc--Конфигурация компьютера---Административные шаблоны---Принтеры
gpedit.msc--Конфигурация пользователя---Административные шаблоны---Компоненты Windows---Панель Управления---Принтеры


Добавлено:
работали три контроллера тихонечко, никто их не трогал и в один прекрасный момент учетки всё залочились.
думал глюк. через день повторилось.
счас опять.
я пока посижу поразлачиваю, а вы может чего посоветуете?

ДУмаю Вирус в сети, проверте хорошим антивирусом...


Собственно вопрос: как на сервере подправить политики чтоб можно было работать с принтерами (устанавливать их локально и разрешить доступ по сети для других пользователей)


Попробуйте:
gpedit.msc--Конфигурация компьютера---Административные шаблоны---Принтеры
gpedit.msc--Конфигурация пользователя---Административные шаблоны---Компоненты Windows---Панель Управления---Принтеры