» Обсуждение статьи "Групповые политики Active Directory"

Цитата:

Привет всем!
Подскажите, если кто знает:
есть БД на ACCESS 2007 (два файла 1-оболочка, 2-таблицы)
Сеть одноранговая, таблицы находятся на "главной машине" на сетевом диске "Z" операционка ХР Pro, две учетки Admin, и User (права соответственно).
На остальных машинах стоит оболочка базы, которая залинкована на папку Z с правами USER к таблицам.

Вопрос: как запустить файл БАЗА.accde с правами Admin главной машины? но так чтобы у себя в системе пользователи не могли скопировать файл с таблицы из шары (т.е. были с правами USER) ???

настрой для этих 2 таблиц разрешения NTFS "только чтение" (или просто "чтение").
настраивается - правой кнопкой - Свойства - Доступ

Ситуация ...
есть SRV(PDC+DHCP) и SRV(SDC) и SRV(Exchange), как сделать так чтобы, если выключить PDC юзеры нормально работали??

Привет
надо чтоб юзер имел право отключать-включать сеть, какая политика за это отвечает?

Цитата:

Привет
надо чтоб юзер имел право отключать-включать сеть, какая политика за это отвечает?

Посмотри права на реестр в ветке HKLM\system\CurrentControlSet\

Добавлено:

Цитата:

Ситуация ...
есть SRV(PDC+DHCP) и SRV(SDC) и SRV(Exchange), как сделать так чтобы, если выключить PDC юзеры нормально работали??

Авторизироваться пользователи могут и на втором контроллере домена. А вот как они адреса по DHCP получат, это второй вопрос, который решается поднятием второго DHCP и созданием одинаковой суперзоны на обоих серверах, с последующим ее делением на две (на первом сервере в исключение добавляеш первые 50% адресов, на втором - вторые) так зарезервируеш DHCP, а если при утключении одного из DC у тебя не могут залогинится пользователи - решай проблемы с AD.

Привет
Подскажите как можно создать шаблоны паролей которые нельзя устанавливать, т.е что бы пользователь не мог сменить пароль на 123456 и другие т.е. те которые я укажу в шаблонах?

pav4

в Default Domain Policy, есть "Политика паролей" там настраивается сложность.

В windows 2003 она применяется на всю AD и никак больше, т.к определяется ТОЛЬКО на уровне домена.

Цитата:

в Default Domain Policy, есть "Политика паролей" там настраивается сложность.

про это я знаю, но мне надо именно что бы я мог задать шаблоны паролей которые нельзя использовать

pav4

Цитата:

т.е что бы пользователь не мог сменить пароль на 123456

Мне стало очень интересно, а зачем Вам такое? Будете все пароли перебивать(то есть которые пользователь не должен иметь)? а слов-то много в мире + языков. Все плохие слова не перечислишь

нет, просто не охото функцию сложности пароля включать, т.к. будут проблемы с пользователями, а хочется запретить тривиальные пароли

Был у нас домен chel.pfrp.local, при входе на юзерских ПК отображался вход в домен chel-pfrp.
После переустановки сервака я домен назвал также chel.pfrp.local. Но теперь если входить в chel-pfrp, то юзер заходит, но он как бы не в новом домене (например, любые настройки типа смены пароля в АД на серваке на него не действуют). Если сделать идентификацию, то заводится новый пользователь, который при входе заходит уже в домен pfrp. Тогда на него все настройки из АД действуют.
Так-то можно было конечно на всех ПК идентификацию сделать, настройки (раб. стол и т.п.) просто скопировать. Но проблема в том, что некоторые проги на некоторых ПК привязаны к учетке (клиент-банк, вип-нет). В итоге 2/3 ПК у меня заходят в нормальный домен PFRP, а 1/3 - в старый (как бы не существующий) CHEL-PFRP и с ними всякие косяки лезут (я им пароль не могу сменить, аутентификация проходит с 2-5 раза и т.д.)

Доброго времени суток!

Суть моей проблемы:

Есть сервер, на котором поднят DNS и AD. Всего 2 группы пользователей. В одной из групп пользователи после рестарта клиента не могут получить доступ к сетевым папкам и собственным Documents&Settings, которые хранятся на сервере, в то время как explorer.exe без проблем загружает Рабочий Стол. После того, как я открываю настройки сети, смотрю, что происходит с расшаркой, локальный пользователь появляется в таблице как неидентифицированный клиент, проходит минута - и клиент авторизован, получает доступ к домену, синхронизация запускается, всё замечательно.
Сеть разворачивал уволившийся админ, в AD и DNS - ничего сверхъестесственного - везде default. TTL в записях A - default, и настройки синхронизации тоже. Сеть на управляемом свитче, который тоже настроен "по-умолчанию".

Подскажите пожалуйста, товарищи админы...

Добавлено:
Забыл добавить, что есть DHCP на том же сервере, а в DNS нет зоны обратного просмотра.

хочу убрать окошко перезагрузки/выключения компа при выходе. в mmc открыл оснастку, потом не могу найти Local Computer Policy где сделать Display Shutdown Event Tracker, подскажите через gpedit.msc захожу там нет его или через что заходить.

Народ, почему-то у меня не получается. Хочу через GPO менять Всем HomePage. Сделал так:
GPO->User Configuration->Windows Settings->IE Maintenance->URLs->Important URLs->Home Page URL
задал юрл адрес, но почему-то не получается. Что я не так сделал?

Другие вещи через работали и работают.

Был обновлен драйвер для HP LJ 4100 lan под Windows 2000 Server на Universal Printer Driver 4.7 (взятый с официального сайта НР) после чего принтер не хочет работать в Active Directory (пользователи его просто перестали видеть), при установки галочки на "перечислен в папку" пишет "нет прав доступа", подскажите что могло произойти в данной ситуации ?

Добавлено:
Был обновлен драйвер для HP LJ 4100 lan под Windows 2000 Server на Universal Printer Driver 4.7 (взятый с официального сайта НР) после чего принтер не хочет работать в Active Directory (пользователи его просто перестали видеть), при установки галочки на "перечислен в папку" пишет "нет прав доступа", подскажите что могло произойти в данной ситуации ?

Доброго времени суток!

После удаления Актив директорий в ДНС службе появилась ошибка что невозможно открыть зону такую то, ошибка 4004. Где это всё дело можно ручками подправить?

Здравствуйте.

Как в АД можно настроить, что бы у пользователей на компьютере, после ввода логина и пароля, всплывало информационное окно с моим сообщением?
В АД настроил "Интерактивный вход в систему: текст сообщения для пользователей при входе в систему" - при входе в сеть окно с моим текстом не появляется.

вот у меня щас проблема. можно ли в АД скопировать всех пользователей и в акрониксовкий образ 2003 сервера их вставить. просто много новых пользователей добавилось.
слышал есть такая весчь как делегирование..... но что то не разобрался.

flowersmax
делегирование - это назначение определенных, специфичных прав в АД для группы или пользователя. полезно если не хочешь пользователя делать админом домена, но чтобы он например мог включать в группы или доменить компы.

а смысла скопировать всех пользователей так и не понял. выгрузить то без проблем можно, а вот втискивать в образ хз (можно добавить на машину и снять новый образ)

raizo
у нас некоторая спицифическая система восстановления т. д.
2003 сервак. на 25-40 юзеров. по роду деятельности некоторые уникумы сильно искревляют винду. многие нужные службы запускаются, но сразу же останавливаются. иногда просто долго их пробывать восстановить. или исправлять. поэтому и есь самое простейшее решение. снятие образа. там сервер на первом месяце своей жизни. все просто ка говорится летает.

flowersmax
Да говорят что снятие образа хорошая вещь, но я сам пользуюсь копированием службы АД через ntbackup.

rkhodjaev
что и как копируем?

flowersmax

То что нашел с первого раза из гугла 1 и 2. Можешь и в ру-борде куча инфы найти по этому поводу. + запомни, что бэкап надо основного контроллера домена взять.

спасиб

При попытке изменить "Политику контроллеров домена по умолчанию" на вкладке "Групповая политика" "Свойств" "Контроллера домена" в оснастке «Active Directory - пользователи и компьютеры», появляется следующая ошибка: "failed to open the Group Policy Object. You may not have appropriate rights. Details: The system cannot find the path specified."
Подскажите, плз, откуда берется эта ошибка и как изменить политику по умолчанию?

    

Хм... Вот не допонял.

Сделал вроде бы все, как указано в статье и даже больше, т.е.
1. Создал пользователя (test_user), который входит в Domain Users
2. Уже существует компьютер, в который имеют право входить пользователи из группы, куда я засадил test_user
3. Создал для него отдельную политику (чуток уменьшил прав)
4. Пытаюсь войти под test_user на компьютер - не пущает. Говорит, что-то на счет локальной политики.

Могли бы спецы по шагам расписать создание нового пользователя. Ну или ткнуть в ссылку.

Стыдно, конечно, братцы, что спросил. Но уже все решил сам

...и куда глаза смотрели...

правильно

Цитата:

Товарищи, подскажите, как принудительно, через group policy, раздать на все компы (WinXP,SP2) правило по отображению на рабочем столе ссылок на "Мой Компьютер" и "Мои Документы"?

Т.е. автоматизировать процесс Start > Right Click on My Computer > Show on Desktop

Я так подозреваю, что при установке этой галки что-то пишется в реестр, но вот что именно?

Установка через ярлыки не совсем подходит, т.к. на каких-то компах My Documents локальная папка, на каких-то сетевая, а переменной %mydocuments% в виндах нет...

Или файл реестра с содержимым или adm шаблон, с компа, где он отображается веток:

REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu]
"{F02C1A0D-BE21-4350-88B0-7367FC96EF3C}"=dword:00000000
"{20D04FE0-3AEA-1069-A2D8-08002B30309D}"=dword:00000000
"{59031A47-3F72-44A7-89C5-5595FE6B30EE}"=dword:00000000
"{871C5380-42A0-1069-A2EA-08002B30309D}"=dword:00000000
"{645FF040-5081-101B-9F08-00AA002F954E}"=dword:00000000

Отображать на Рабочем столе:
Мой компьютер
Мое сетевое окружение
Мои документы
Интернет Эксплорер

Или такой вариант, более универсальный:
Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu]
"{20D04FE0-3AEA-1069-A2D8-08002B30309D}"=dword:00000000
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel]
"{20D04FE0-3AEA-1069-A2D8-08002B30309D}"=dword:00000000

Или GPO:
В списке Конфигурация пользователя щелкните элемент Административные шаблоны, а затем дважды щелкните элемент Рабочий стол. Тут есть этот параметр "Удалить значок Мой компьютер"

Доброго дня всем

Решил с помощью GP контролировать установку удаление msi через user configuration. На рабочих станциях все работает, но на терминалах (2003) установки не происходит, хотя политика применяется и ошибок в event логах нет. Подскажите в чем может быть проблема?

Заранее спасибо

Люди, есть задача по групповым политикам на Windows Server 2008.
Дано: несколько компьютеров, разные группы пользователей которые могут работать на всех компьютерах. Настроен "общий" объект групповой политики, управляющий разделом настроек "Конфигурация пользователя" для всех пользователей заходящих на любой компьютер домена.
Нужно: При вхождении на определенный (один) компьютер из домена нужно чтобы для "определенной" группы пользователей применялись другие (особенные) настройки раздела "Конфигурация пользователя", отличающиеся от соответствующих настроек "общего" объекта групповой политики. В это же время при вхождении пользователей из этой "определенной" группы на любой другой компьютер из домена к ним должны применяться настройки раздела "Конфигурация пользователя" из "общего" объекта групповой политики.

Как это можно сделать? Перечитал массу литературы в интернете, но так и не понял как это сделать пошагово. Заранее спасибо за помощь!