» Обсуждение статьи "Групповые политики Active Directory"

Никто не в курсе, как работает Offile Files в ХР при редиректе папок на сетевую шару?

Когда пользователь создает новый файл, его первичная запись производится в каталог Offline Files на локальном компе и далее в фоновом режиме синхронизируется с сетевой шарой или первоначальная запись ведется сразу на шару?

smile:

gap5
первоначальная запись ведётся на шару
при логофе или по расписанию данные синхронизируются с оффлайн фолдер

maverik
а можно настроить так, чтобы первоначально все сохранялось локально, а потом фоном заливалось на шару?

а зачем?

Например если объем сохраняемого файла большой, чтобы юзер не ждал пока он зальется на сервер, а сохранял его локально, продолжал работать, а на фоне уже шла заливка его на шару.

Друзья! Как через GP запретить пользователю запуск таких приложений, как icq и Miramda? очень нужно.

Цитата:

Друзья! Как через GP запретить пользователю запуск таких приложений, как icq и Miramda? очень нужно.

C помощью прокси закрой доступ протокола ICQ для группы.

AgelNick

а какого протокола? я и так закрыл https и всевозможные узлы и подсети icq - все ранво коннектится...((

Что у тебя за прокси?
В ISA 2004 есть протокол ICQ (создаешь правило), В ISA 2000 такого, кажется нет (не помню), но открываешь порт 5190 и все.

Вообще в ISA по умолчанию все закрыто.
Попробуй запретить этот порт, хотя аська может пролезть через другой.

AgelNick

у меня ISA 2004
Протоколы ICQ я все перекрыл в правиле. Там же указал - в exceptions - url set с узлами аськиных сайтов, айпишников и подсетей.. ничего не помогает((

Всем привет, нид э хелп, статья, кстати, что надо Как же запретить с помощью GPO вкладки (tabs) security и sharing домэйн юзерам явл. лок. админами или (и) properties папок?

Вопрос.
Как изменить настройки, чтобы в Домене
мог работать пользователь только с одним именем,
по политике безопасности,
нельзя чтобы под одним именем могли работать
два человека...Заранее спасибо, тем кто подскажет
где "копать" надо...

Вопрос:

есть скриптик, который прописан в учетных записях пользователей, работает при загрузке, соответственно. Возникла необходимость в том, чтоб скрипт выполнятлся и при завершении работы.. воспользовался групповыми политиками - "сценарии - завершение работы", указал там скрипт. Проблема в том, что скрипт не выполнятеся при завершении работы.. в чем может быть проблема? Может что-то не так делаю? Кстати, при указании скрипта я не указывал параметров сценария.. это ведь не является необходимостью?..


ПРОБЛЕМА РЕШЕНА

Товарищи, помогите пожалуйста. Перемудрил чего-то с политиками. Есть перемщаемый профиль, на готорый установлены груповые политики. Создаю папку в профиле, на рабочем столе. Там она появляемтся, но открываться не хотит, говорит что запрещено политикой учётной записи. Как снять ограничение на открытие папок на рабочем столе? (Ярлыки открываюся нормально, папка "Мои документы" тоже открывается нормально). Помогите снять запрет

Добавлено:
Dehydro
Мож вот енто: (в группоых политиках)
Конфигурация пользователя\конфигурация Windows\Административные шаблоны\Компоненты Windows\Проводник\
и там уже
Удалить команду "Свойство папки" из меню Сервис
Удалить вкладку "Безопасноть"
нужно включить их обе...

VovaMozg Удалить команду "Свойство папки" из меню Сервис это же совсем другое, а секьюрити таб начиная с ВинХР, а мне надо из 2кея...

опшипся топиком, сорри....

Подскажите по использованию контейнеров OU:
Добавляю комп Abc1 в домен, переношу (drag&drop) его из контейнера Computers в контейнер Otdel1. Далее в Group Policy Management делаю линк нужной полтики на контейнер Otdel1, в security filtering добавляю Authenticated Users. По-моему мнению политика должна применяться на всех компах входящих в Otdel1, независимо от залогиненного юзера. Однако, на компе Abc1 политика не применяется... почему?

И второй вопрос - по Access Based Enumeration.
Как я понимаю, эта фича работает только для внутренних папок\файлов внутри шары. Т.е. шару юзер увидит в любом случае, а вот ее содержимое уже в зависимости от NTFS permissions. А если используются namespaces и DFS - возможно настроить так, чтобы юзер не видел DFS ссылки (шары) если у него нет на это разрешения?

Уважаемые коллеги!
Имею вопрос. Знает ли кто нибудь, как через Групповую политику сделать так, что бы подключающиеся юзвери к терминальному серверу получали открывающееся окно интернет эксплорера не в полноэкранном виде?
Ищу решение давно, но не вижу как это сделать.

gap5

Цитата:

Добавляю комп Abc1 в домен, переношу (drag&drop)

попробуй не переносить таким образом, а выбери команду по правой кнопке - MOve (переместить). Так корректнее иногда бывает.

igor533

Цитата:

Ищу решение давно, но не вижу как это сделать.

Ты бы лучше, коллега, объяснил - зачем это. Тогда мож получишь альтернативный вариант от кого.

Обьясняю!
Мои пользователи подключаются через RDP к терминальному серверу. После подключения у них автоматом открывается Интернет Эксплорер окошко, на котором они нажимают Кнопочку открывающюю следующее маленькое окошко.
Так вот, после подключения они (пользователи) получают Интернет Экслорер в полноэкранном виде, и в этом случае открывающееся маленькое окошко они не видят, так как оно открывается в бэкграунде.
Таким образом, необходимо как то определить , что Интернет Эксплорер на терминале будет открываться не полноэкранном виде.
Ежели уж точно интересно, то все сказанное относиться к Microsoft Certification Server. И с помощью терминала мы даем возможность удаленным пользователям делать "Enroll certificate"

Контроллер домена Win2003 R2.
Клиенты WinXP Pro SP2.

Подцепляю при включении компов (Computer>Windows settings>Scripts>Startup) сетевой диск следующим vbs скриптом:

Option Explicit
Dim objNetwork, strDrive, objShell, objUNC
Dim strRemotePath, strDriveLetter, strNewName
'
strDriveLetter = "X:"
strRemotePath = "\\dc.server.net\datalab"
strNewName = "FileServer"

' Section to map the network drive
Set objNetwork = CreateObject("WScript.Network")
objNetwork.MapNetworkDrive strDriveLetter, strRemotePath

' Section which actually (re)names the Mapped Drive
Set objShell = CreateObject("Shell.Application")
objShell.NameSpace(strDriveLetter).Self.Name = strNewName

WScript.Quit

' End of script.

Однако вместо имени "FileServer" диск называется "Отключенное сетевое устройство", причем прекрасно работает.

Антивирусов на компах нет, firewall отключен, пинг до сервера (через роутер) отличный.

В чем проблема?

Цитата:

следующим vbs скриптом

Попробовал - работает корректно

Работает как Computer Settings или как User Settings?
У меня нормально работает только во втором случае, а в первом либо отключенное устройство, либо (если выставить на шару доступ для domain computers) при выполнении скрипта пишет, что такая буква уже используется, однако диск в системе появляется и опять с именем "отключенное устройство"...

друзья, помогите найти решение проблемы. в "просмотре событий" в разделе "приложения" идет постоянная ошибка с кодом 1030, в которой написано:

Не удалось запросить данный список объектов групповой политики. Проверьте в журнале событий наличие сообщений, описывающих причины сбоя.

еще одна проблема: не могу изменить групповую политику в консоли-при изменении какого-либо параметра пишет, что оснастке групповой политики не удалось сохранить изменения, т.к. вход в систему не произведен: выбранный режим входа для данного пользователя на этом компьютере не предусмотрен.

Может эти две проблемы между собой связаны как-то? я под админом на этом компе (контр. домена). винда 2003 сервер стандарт.

почитал инструкцию по установке GP - для человека впервые сталкивающегося со всеем этим (для меня в частности) много непонятного))) хотя статья мне понравилась -особенно то что есть картинки - побольше их надо)))
мне кажется лучше сделать статью в которой описано все с самого начала-
как установить днс и ад (оптимально настроить , как назвать - и все лучше конешно на конкретных примерах с картинками )
какие настройки у клиента прописывать и как его подключать?
я например поставил днс AD и тд- и AD настраивал как описано в статье но так и не смог я компьютер клиента ввести в домен )))

Цитата:

лучше сделать статью в которой описано все с самого начала-
как установить днс и ад (оптимально настроить , как назвать - и все лучше конешно на конкретных примерах с картинками )

Эта "инструкция" называется книга. Объем - порядка 1000-1500 страниц. Если кто-то надеется, прочитав пару статей в интернет, научиться устанавливать и настраивать AD - это просто смешно.

Товарищи, подскажите, как принудительно, через group policy, раздать на все компы (WinXP,SP2) правило по отображению на рабочем столе ссылок на "Мой Компьютер" и "Мои Документы"?

Т.е. автоматизировать процесс Start > Right Click on My Computer > Show on Desktop

Я так подозреваю, что при установке этой галки что-то пишется в реестр, но вот что именно?

Установка через ярлыки не совсем подходит, т.к. на каких-то компах My Documents локальная папка, на каких-то сетевая, а переменной %mydocuments% в виндах нет...

А я по статье отпишусь. Вчера понадобилось в сетке настраивать этого самого зверя, "Active Directory".
Я в статье ожидал для себя увидеть принципы работы и на фиг оно вообще надо и что конкретно делает.

Настроил я без статьи довольно успешно, так как почти каждый пункт там действительно подробно объяснён, а вот что даёт active directory я так толком и не понял.

Чем Active Directory лучше чем ручная настройка компьютеров например?
Можно ли сделать так чтобы люди не имели доступа на сервер, а только в определённую папку и каждый с определёнными правами?

russianczar
могу тебе сказать об одном очень большом плюсе - централизация при помощи этой "штуки". Если компов штук десять - то уже стоит эту вещь использовать в сети.
Поставишь Active Directory на сервере и избавишься от гемороя бегать на каждый комп и заводить одинаковых пользователей... Все данные по безопасности и по пользователям хранятся на этом сервере и все компы берут всю инфу с него. Это само самое простое. на пальцах.