Кстати, нашел тут, всем читать вдумчиво:
http://www.microsoft.com/rus/technet/security/prodtech/windowsserver2003/w2003hg/s3sgch04.mspx
http://www.microsoft.com/rus/technet/security/prodtech/windowsserver2003/w2003hg/s3sgch04.mspx
» Обсуждение статьи "Групповые политики Active Directory"
sLap
назначенное задание надо делать на текущем компе, иначе оно работать не будет
назначенное задание надо делать на текущем компе, иначе оно работать не будет
Подскажите пожалуйста, как применять GPO к машинам на Vista, я слышал что что-то на серваке нужно переносить в другие папки... Хотелось бы узнать поподробнее и на русском. Если у кого есть ссылочки на маны, приветствуется!
to
Цитата:
Вот в кратце как должно быть...
Ну или вот подробнее Самоучка ...
Цитата:
Настройка центрального хранилища — несложная задача, которую достаточно выполнить один раз для данного домена.
Для создания центрального хранилища в домене службы каталогов Active Directory выполните следующие действия.
1 Откройте Проводник и перейдите в общую папку SYSVOL контроллера домена – эмулятора PDC в вашем окружении (можно использовать любой контроллер домена, но обычно изменения групповых политик сосредоточены именно на владельце роли PDC).
2 Войдите в папку Policies в папке SYSVOL и создайте новую папку PolicyDefinitions.
3 Скопируйте содержимое папки C:\windows\policydefinitions на вашей рабочей станции под управлением Windows Vista в новую папку PolicyDefinitions, включая языковую папку ADML (например ru-ru на компьютере с региональными настройками Россия)
После того, как файлы ADMX и ADML будут скопированы в папку центрального хранилища, редактор объектов групповых политик в Windows Vista начнет обращаться к этим файлам и игнорировать локальные файлы.
Вот в кратце как должно быть...
Ну или вот подробнее Самоучка ...
to RuStn
А если у меня папка Policy лежит здесь \\srv1\SYSVOL\"Domain name"\Policies
Или мне в папке SYSVOL нужно создать папку Policy?
И самый главный вопрос, чем можно править эту новую ГП?
А если у меня папка Policy лежит здесь \\srv1\SYSVOL\"Domain name"\Policies
Или мне в папке SYSVOL нужно создать папку Policy?
И самый главный вопрос, чем можно править эту новую ГП?
Цитата:
Подскажите пожалуйста, как применять GPO к машинам на Vista, я слышал что что-то на серваке нужно переносить в другие папки... Хотелось бы узнать поподробнее
На русском не знаю, а на английском --- пожалуйста.
Приветствую всех. Есть один вопрос касаемо ГП .
Есть домен,на 2003s, в нём созданны контейнеры по отделам , с которые входят группы и юзеры.
Применена политака запрета запуска определённых приложений, но вся беда в том, что политика действует не на всех юзеров из данного контейнера. В качестве эксперемента создал новый контейнер , и поместил туда все группы к которым планировалось применить данную политику.. не помогло опять у некоторых она работает нормально , а у некоторых не работает ваабще. причём на юзеров состоящих в одной и тойже группе с одинаковыми правами , на некоторых применяеться без проблем, а на некоторых не влияет никак.
Помогите советом.
Заранее спасибо!
Есть домен,на 2003s, в нём созданны контейнеры по отделам , с которые входят группы и юзеры.
Применена политака запрета запуска определённых приложений, но вся беда в том, что политика действует не на всех юзеров из данного контейнера. В качестве эксперемента создал новый контейнер , и поместил туда все группы к которым планировалось применить данную политику.. не помогло опять у некоторых она работает нормально , а у некоторых не работает ваабще. причём на юзеров состоящих в одной и тойже группе с одинаковыми правами , на некоторых применяеться без проблем, а на некоторых не влияет никак.
Помогите советом.
Заранее спасибо!
Как полностью запретить менять обои в домене?
В 2003 server - выбираю запрет на смену обоев, запрет на доступ к панели управления.
посредством acdsee и других программ юзеры не могут менять, а выбрав в експлорере - сделать фоновым рисунком рабочего стола - МЕНЯЮТ ОБОИ БЕЗ ПРОБЛЕМ.
Как полность запретить смену обоев?
В 2003 server - выбираю запрет на смену обоев, запрет на доступ к панели управления.
посредством acdsee и других программ юзеры не могут менять, а выбрав в експлорере - сделать фоновым рисунком рабочего стола - МЕНЯЮТ ОБОИ БЕЗ ПРОБЛЕМ.
Как полность запретить смену обоев?
Winter81
для начала попробуй запустить gpupdate /force под теми пользователями с которыми грабли, для того чтобы наверняка убедиться, что ГП применились
для начала попробуй запустить gpupdate /force под теми пользователями с которыми грабли, для того чтобы наверняка убедиться, что ГП применились
Winter81
Скорее всего дело в рабочих станциях. Посмотри логи событий. В разделе ПРИЛОЖЕНИЕ посмотри что пишется. Если при загрузке пишется: Тип - УВЕДОМЛЕНИЕ, Источник - SceCli, то политики применяются нормально. Ну, а, если есть ошибки, то лечи их.
Попробуй на тех компьютерах, где не работают политики, зайти под теми пользователями, у котрых работают (пару раз).
Добавлено:
Цитата:
Работает только на ХР.
Добавлено:
Народ, такая фигня. Есть три офиса, соединенных между собой ЛВС. Во-всех конторллеры домена Вин 2003 СП2. Active Directory разделена на 3 сайта, соответсвенно. Создаю групповую политику с логин-скриптом (все делаю в одном и том же сайте, где находится хозяин всех ролей). Все нормально. Потом, через пару дней меняю его в той же политике (имя остается тем же), некоторое время (в течении рабочего дня) все работает, потом начинает работать по старому. Смотрю лигин-скрипт в ГП - он опять старый. Получается, что с удаленных сайтов реплика заменяет скрипт на старый, а должно быть наоборот, с моего сайта реплика должна заменить на удаленных сайтах старый скрипт. С чем связано?
Канал между офисами не совсем устойчивый, поэтому иногда ошибки репликации.
Добавлено:
Это происходит не всегда, но часто. Конечно есть выход: менять имя скрипта или, вообще, другую ГП создать вместо старой. Но репликация должна проходить нормально!
Скорее всего дело в рабочих станциях. Посмотри логи событий. В разделе ПРИЛОЖЕНИЕ посмотри что пишется. Если при загрузке пишется: Тип - УВЕДОМЛЕНИЕ, Источник - SceCli, то политики применяются нормально. Ну, а, если есть ошибки, то лечи их.
Попробуй на тех компьютерах, где не работают политики, зайти под теми пользователями, у котрых работают (пару раз).
Добавлено:
Цитата:
для начала попробуй запустить gpupdate /force под теми пользователями с которыми грабли
Работает только на ХР.
Добавлено:
Народ, такая фигня. Есть три офиса, соединенных между собой ЛВС. Во-всех конторллеры домена Вин 2003 СП2. Active Directory разделена на 3 сайта, соответсвенно. Создаю групповую политику с логин-скриптом (все делаю в одном и том же сайте, где находится хозяин всех ролей). Все нормально. Потом, через пару дней меняю его в той же политике (имя остается тем же), некоторое время (в течении рабочего дня) все работает, потом начинает работать по старому. Смотрю лигин-скрипт в ГП - он опять старый. Получается, что с удаленных сайтов реплика заменяет скрипт на старый, а должно быть наоборот, с моего сайта реплика должна заменить на удаленных сайтах старый скрипт. С чем связано?
Канал между офисами не совсем устойчивый, поэтому иногда ошибки репликации.
Добавлено:
Это происходит не всегда, но часто. Конечно есть выход: менять имя скрипта или, вообще, другую ГП создать вместо старой. Но репликация должна проходить нормально!
так значит хозяева у тебя паходу не налажены , и репликация неотстроенна проверь ещё разок операции по репликации репликейшн логи пачитай
Winter81
Вообще-то, была ругань на Replicator latency error interval, мол 24 часа мало, увеличил, посмотрим. Спасибо. С хозяевами все нормаль, на всех серверах в настройках один хозяин.
Добавлено:
Решил проблему с ГП?
Вообще-то, была ругань на Replicator latency error interval, мол 24 часа мало, увеличил, посмотрим. Спасибо. С хозяевами все нормаль, на всех серверах в настройках один хозяин.
Добавлено:
Решил проблему с ГП?
Народ, подскажите такую вещь, чето не догоняю:
есть OU=Servers, OU=Computers и OU=Users, соответственно сервера в первой группе, рабочие станции во второй, учетные записи пользователей в третьей. Как сделать, чтобы настройки пользователей для серверов и рабочих станций были разные (ну например чтобы пользователи не могли менять заставку рабочего стола на сервере и могли на своей машине)
есть OU=Servers, OU=Computers и OU=Users, соответственно сервера в первой группе, рабочие станции во второй, учетные записи пользователей в третьей. Как сделать, чтобы настройки пользователей для серверов и рабочих станций были разные (ну например чтобы пользователи не могли менять заставку рабочего стола на сервере и могли на своей машине)
BULLDOG
не так и не решил , похоронил её под грузом насущьных дел , патом доберусь как-нибудь , ваще была просто идея ICQ всем закрыть .. через ГП просто запуск закрываеться ))
mobiman_ua
контейнер создай в AD у себя , помести туда юзеров, и применяй к контейнеру соответствующие ограничения путём добавления политик . тока политики создавай для юзеров а не на компы..
что-то типа того ... если я правильно понял вопрос.
не так и не решил , похоронил её под грузом насущьных дел , патом доберусь как-нибудь , ваще была просто идея ICQ всем закрыть .. через ГП просто запуск закрываеться ))
mobiman_ua
контейнер создай в AD у себя , помести туда юзеров, и применяй к контейнеру соответствующие ограничения путём добавления политик . тока политики создавай для юзеров а не на компы..
что-то типа того ... если я правильно понял вопрос.
Никогда раньше с Групп Полиси не работал. Такой вопрос, вот есть вин2003, на нем АД, но нет настроек груповых политик в управление АД. Чего-то не хватает?
Сдрасьте всем! Подскажите, есть сеть на 40 компов, надо что бы с AD можно было изменять заставку на клиентских машинах, и так же ее конфигурировать, может это где то в реестре можно сделать?
dimarestive
На контейнере нажми пропертис , там закладочка групповые политики есть..
должны быть !
На контейнере нажми пропертис , там закладочка групповые политики есть..
должны быть !
Winter81
Пасиб, нашел в оснастках. С русским у меня туго.
Пасиб, нашел в оснастках. С русским у меня туго.
Ilyha58343
создаешь GPO, user configuration\administrative templates\control panel\display\screen saver executable name
и прописываешь путь, где находится твоя заставка.
создаешь GPO, user configuration\administrative templates\control panel\display\screen saver executable name
и прописываешь путь, где находится твоя заставка.
Кто подскажет как при помощи груповых политик можно раздавать права на реестр?
сформулируй вопрос, что значит права на реестр ? права на редактирование ? или как ?
Права на редоктирование.
hyperbred
Просто закрой на регэдит тогда права
в политиках я не ншёл что-то
если у тебя пользователи как обычные юзеры проходят с резанными правами , то поумолчанию редактировать реестр могут тока Администраторы как локальные так и доменные. если ты юзерам поставиш локального админа на компы , то они смогут редактировать реестр, а если просто Юзер то не смогут!
Просто закрой на регэдит тогда права
в политиках я не ншёл что-то
если у тебя пользователи как обычные юзеры проходят с резанными правами , то поумолчанию редактировать реестр могут тока Администраторы как локальные так и доменные. если ты юзерам поставиш локального админа на компы , то они смогут редактировать реестр, а если просто Юзер то не смогут!
Привет всем.
Есть домен на 2003 SP2, есть пользователь в домене с правами админа, как только меняю права на пользователя домена, у пользователя кардинально меняется привычный рабочий стол и слетают настройки почтовика и подключения к терминальному серверу с 1С.
Подскажите где рыть?
Есть домен на 2003 SP2, есть пользователь в домене с правами админа, как только меняю права на пользователя домена, у пользователя кардинально меняется привычный рабочий стол и слетают настройки почтовика и подключения к терминальному серверу с 1С.
Подскажите где рыть?
В групповых политиках юзерам запрещено использовать автономные файлы, однако каким-то образом у юзера появилась запись на сетевую папку в реестре:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\NetCache\AssignedOfflineFolders и далее ключ на \\fileserver.net\share1\...
Как это получилось?
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\NetCache\AssignedOfflineFolders и далее ключ на \\fileserver.net\share1\...
Как это получилось?
Вопрос про локальную политику Vista Ultimate. Раньше я мог с помощью локальной политики своей рабочей станции запретить вход остальным членам домена. А сейчас поставив Vista и введя ее в домен с удивлением обнаружил что утерял это право.
1. Я обыскался пункт в котором делается этот запрет хотя отлично знаю где он в XP и 2003. Мне удалось запустить редактор групповой политики локального компа тоько из под учетки доменного админа.
2. А когда запустил через runas mmc.exe с удивлением обнаружил что... Политика ПК -> Конфигурация Windows -> параметры безопасности -> Локальные политики -> назначение прав пользователя ->
Там есть пункт Локальный вход в систему - так вот изменить его невозможно хотя я сижу под локальной учеткой состоящей в группе локальных. И вообще мне Vista сказала... хочешь редактировать политику ? запускай редактор из под доменной учетки... я рухнул... то есть локальный админ доменной машины не сможет редактировать ее политику.
С одной стороны хорошо... Но в моем случае плохо, так как я собираюсь в отпуск, а не хочу чтобы за моей машиной кто то сидел кроме меня.
1. Я обыскался пункт в котором делается этот запрет хотя отлично знаю где он в XP и 2003. Мне удалось запустить редактор групповой политики локального компа тоько из под учетки доменного админа.
2. А когда запустил через runas mmc.exe с удивлением обнаружил что... Политика ПК -> Конфигурация Windows -> параметры безопасности -> Локальные политики -> назначение прав пользователя ->
Там есть пункт Локальный вход в систему - так вот изменить его невозможно хотя я сижу под локальной учеткой состоящей в группе локальных. И вообще мне Vista сказала... хочешь редактировать политику ? запускай редактор из под доменной учетки... я рухнул... то есть локальный админ доменной машины не сможет редактировать ее политику.
С одной стороны хорошо... Но в моем случае плохо, так как я собираюсь в отпуск, а не хочу чтобы за моей машиной кто то сидел кроме меня.
XAN
Цитата:
Договорись с админом сетки.
Цитата:
так как я собираюсь в отпуск
Договорись с админом сетки.
XAN
поставь пароль на БИОС
поставь пароль на БИОС
Кстати, может оффтоп - может кто встречал command line софтины для установки пароля на биос из под виндов? Можно же умереть пока обойдешь все 80 компов... а биос паролить надо, иначе не ровен час до появления winternals admin pak и превед!
80 - еще ничего. У меня за 350
Страницы: 1234567891011121314151617181920
Предыдущая тема: "Документирование сети"
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.