Есть маленькая проблема и как ее лучше решить? Есть 80 рабочих мест Win2k Pro и поднят домен контролер. Не могу ни как добиться, что бы пользователи не игрались в игры. Что надо настроить в у них группе (в домене), что бы они не могли ни куда записывать кроме одной папки на своих рабочих местах и не могли запускать файлы *.exe кроме определенных. Как можно попороть эту проблему?
» Запретить пользователям играть в игры (Win2000 pro, AD)
Цитата:
не могли запускать файлы *.exe кроме определенных.
Это настраивается при помощи групповых политик.
Цитата:
что бы они не могли ни куда записывать кроме одной папки на своих рабочих местах
Эту проблему я решил - создав группу и дав этой группе разрешение на запись только в определенную папку (Мои документы). Правда делал ручками на каждой машине (у меня их не так много). Ну и опять же при помощи политик скрыл диски A-C, E-и дальше.
Может более опытные коллеги подскажут, как это решить менее трудоемко.
А каких инепо полттик, что-то ненашел ?
На контроллере домена:
Конфигурация пользователя -> Административные шаблоны -> Компоненты Windows -> Проводник -> "Запретить доступ к дискам через "Мой компьютер" и "Скрыть выбранные диски из окна "Мой коипьютер".
Конфигурация пользователя -> Административные шаблоны -> Компоненты Windows -> Система -> "Выполнять только разрешенные приложения для Windows" и "Не запускать указанные приложения windows".
Конфигурация пользователя -> Административные шаблоны -> Компоненты Windows -> Проводник -> "Запретить доступ к дискам через "Мой компьютер" и "Скрыть выбранные диски из окна "Мой коипьютер".
Конфигурация пользователя -> Административные шаблоны -> Компоненты Windows -> Система -> "Выполнять только разрешенные приложения для Windows" и "Не запускать указанные приложения windows".
Что бы применить групповую политику к какому-то пользователю необходимо ему дать группу Group Policy Creator Owners
Добавлено
делаю как в help
Open Active Directory Users and Computers.
In the console tree, right-click the domain or organizational unit you want to set Group Policy for.
Where?
Active Directory Users and Computers [domain_controller_name.domain_name]
domain
organizational_unit
child_organizational_unit...
Click Properties, and then click the Group Policy tab.
Click Edit to open the Group Policy object you want to edit. (Or, click New to create a new Group Policy object, and then click Edit.)
а закладки Group Policy нет. Как ее включить?
Добавлено
делаю как в help
Open Active Directory Users and Computers.
In the console tree, right-click the domain or organizational unit you want to set Group Policy for.
Where?
Active Directory Users and Computers [domain_controller_name.domain_name]
domain
organizational_unit
child_organizational_unit...
Click Properties, and then click the Group Policy tab.
Click Edit to open the Group Policy object you want to edit. (Or, click New to create a new Group Policy object, and then click Edit.)
а закладки Group Policy нет. Как ее включить?
Проще всего запутить программу "Лшить всех премии v.1.0" или "Штраф в 20 у.е. за каждую найденую игру v2.0" 
c0r0ner
Точно
Или в политиках прописать -
Конфигурация пользователя -> Административные шаблоны -> Компоненты Windows -> Проводник -> "Запретить играть в игры"
Точно
Или в политиках прописать -
Конфигурация пользователя -> Административные шаблоны -> Компоненты Windows -> Проводник -> "Запретить играть в игры"
ShahrayOleg
Добавив юзера в GP Creator Owners разрешаем ему создавать и редактировать GPO, а оно надо? Чтобы применять политику юзер должен иметь Read и Apply на нее.
к стандартным контейнерам (Users, Computers, Builtin) GPO не применяется, возможно поэтому и вкладки нет?
Добавив юзера в GP Creator Owners разрешаем ему создавать и редактировать GPO, а оно надо? Чтобы применять политику юзер должен иметь Read и Apply на нее.
к стандартным контейнерам (Users, Computers, Builtin) GPO не применяется, возможно поэтому и вкладки нет?
Цитата:
к стандартным контейнерам (Users, Computers, Builtin) GPO не применяется, возможно поэтому и вкладки нет?
Да, GPO можно применяеть к сайту, домену или OU.
Если нужно применить политику к нескольким пользователям - создаешь OU, кидаешь туда всех юзверей, к которым хочешь применить политику, кликаешь на OU, жмешь cв-ва -> вкладка "Групповая политика". Далее, если политика уже создана, то добавляешь ее, если нет, то создаешь новую, настраиваешь...
Так же можно создать политику для всех пользователей, в этом случае создаешь политику для домена.
что такое UO?
Добавлено
ой, простите, OU
Добавлено
ой, простите, OU
Organization Unit - организационное подразделение - контейнер, используемый для объединения объектов домена в логические административные группы, отражающие деятельность или инфраструктуру организации.
AdminTools->AD Users & Comp->right click->new->Org Unit
AdminTools->AD Users & Comp->right click->new->Org Unit
Может это можна где-то почитать (про групповые права, настройку и многое другое)?
Добавлено
Стоин два домен контролера (один главный а второй дополнительный). Создал OU и пытаюсь зайти на закладку Group Policy а он на меня ругается The Active Directory container you selected does not exist on the domain controller Group Policy is using. The following conditions could cuase this : и в этом роде дальше. Попробовал все ни чего не мпомогло. Может кто знает что сделать
Добавлено
Стоин два домен контролера (один главный а второй дополнительный). Создал OU и пытаюсь зайти на закладку Group Policy а он на меня ругается The Active Directory container you selected does not exist on the domain controller Group Policy is using. The following conditions could cuase this : и в этом роде дальше. Попробовал все ни чего не мпомогло. Может кто знает что сделать
лучший вариант накидать всем читов ко всем грухам юзерам самим быстро надоест играть
а вообще господа админы, ежли у юзера время есть пусть грается, что вам то с того ?
Что сами без греха чтоль
а вообще господа админы, ежли у юзера время есть пусть грается, что вам то с того ?
Что сами без греха чтоль
ShahrayOleg
Цитата:
Любая книга про сервер Win2k.
Создал OU (если русский сервер - подразделение) на главном контроллере?
sunsage
Цитата:
К сожалению ко всем играм не накидаешь
Самый действенный способ
Цитата:
Цитата:
Бывают разные случаи, когда можно и глаза прикрыть, а когда...
Цитата:
Может это можна где-то почитать (про групповые права, настройку и многое другое)?
Любая книга про сервер Win2k.
Создал OU (если русский сервер - подразделение) на главном контроллере?
sunsage
Цитата:
лучший вариант накидать всем читов ко всем грухам юзерам самим быстро надоест играть
К сожалению ко всем играм не накидаешь
Самый действенный способ
Цитата:
запутить программу "Лшить всех премии v.1.0" или "Штраф в 20 у.е. за каждую найденую игру v2.0"
Цитата:
а вообще господа админы, ежли у юзера время есть пусть грается, что вам то с того ?
Что сами без греха чтоль
Бывают разные случаи, когда можно и глаза прикрыть, а когда...
ShahrayOleg
Цитата:
ИМХО проблема с репликацией. По умолчанию интервал репл. между DC 5 мин. Дело в том, что оснастки MMC подключаются к одному DC, и на нем создается OU, а GPO, вероятно, управляется другим DC. Можно подключиться к другому DC и проверить наличие созданного OU. Если через 5 мин. не появится, можно попробовать вручную - AD Sites and Services -Sites\Default-first-site-name(или имя сайта)\Servers\сервер НА который реплицировать\NTDS Settings
в правом окне правой же мышью на подключение которое начинается с имени сервера С которого реплицировать-Replicate Now.
А управление GPO лучше оставить на PDC. Оснастка Group Policy -View-DC options - (...не помню что.. PDC emulator.)
почитать для начала sybex (pdf 8M)
Цитата:
Стоин два домен контролера (один главный а второй дополнительный). Создал OU и пытаюсь зайти на закладку Group Policy а он на меня ругается The Active Directory container you selected does not exist on the domain controller Group Policy is using. The following conditions could cuase this : и в этом роде дальше.
ИМХО проблема с репликацией. По умолчанию интервал репл. между DC 5 мин. Дело в том, что оснастки MMC подключаются к одному DC, и на нем создается OU, а GPO, вероятно, управляется другим DC. Можно подключиться к другому DC и проверить наличие созданного OU. Если через 5 мин. не появится, можно попробовать вручную - AD Sites and Services -Sites\Default-first-site-name(или имя сайта)\Servers\сервер НА который реплицировать\NTDS Settings
в правом окне правой же мышью на подключение которое начинается с имени сервера С которого реплицировать-Replicate Now.
А управление GPO лучше оставить на PDC. Оснастка Group Policy -View-DC options - (...не помню что.. PDC emulator.)
почитать для начала sybex (pdf 8M)
Да OU создал а применить групповые политики нельзя. На бакапном домен контролере все создается а на основном нет. Говорит что групповые политики не созданы. В чем дело незнаю!
И все же, кто управляет GPO?
Может меня неправильно поняли. Домен у меня 1 , просто есть 2 сервака один основной а другой бакапный (если выходит из строя основной чтобы пользователи работали на бакапном). Через то управлять GPO должен основной сервак.
Цитата:
Может меня неправильно поняли
Правильно поняли
Сообщение в вашем посте выше
Цитата:
The Active Directory container you selected does not exist on the domain controller Group Policy is using. The following conditions could cuase this :
переводится моим хромым инглишем
как "Контейнер AD выбранный вами не существует на контроллере домена, используемом GPO". Т. е. на одном из ваших DC он есть, а на другом -нет - следовательно, не реплицируется AD - или я ошибаюсь? А Default domain policy вы можете открыть? (AdminTools->AD Users & Comp->Right click->properties->закладка Group policy)
Сделал, там пусто.
Добавлено
А как посмотреть или настроить что бы реплицирувалась AD
Добавлено
А как посмотреть или настроить что бы реплицирувалась AD
Цитата:
А как посмотреть или настроить что бы реплицирувалась AD
Я выше уже писал, как, но наверное "плохо писал"
, поэтому еще раз AD - это распределенная база данных, в вашем случае она распределена по двум DC,
Консоль AD Users&Comp подключается лишь к одному DC, судя по вашей информации
Цитата:
На бакапном домен контролере все создается а на основном нет. Говорит что групповые политики не созданы
к бакапному. А управление GPO по умолчанию на PDC эмуляторе.
Чтобы посмотреть, откройте две консоли AD Users&Comp, одну подключите(Action->Connect to Domain Controller)к одному DC , другую к другому, и сравните содержимое домена. Если совпадает-репликация работает, если нет, нужно копать.
Для начала
Цитата:
можно попробовать вручную - AD Sites and Services -Sites\Default-first-site-name(или имя сайта)\Servers\сервер НА который реплицировать\NTDS Settings
в правом окне правой же мышью на подключение которое начинается с имени сервера С которого реплицировать-Replicate Now.
Цитата:
Цытата:
А управление GPO по умолчанию на PDC эмуляторе
Можно что бы управление GPO велось не на PDC.
И если выходит один сервак из строя, то необходимо сделать другой PDC и все буд. нормально работать?
Цитата:
По умолчанию интервал репл. между DC 5 мин
Можно ли его изменить?
Добавлено
Создал OU создал GP добавил users дал ему права на пользования GP (Read Allow).
Выбрал OU Name -> GP -> Edit -> Computer Configuration -> Windows Settings -> Security Settings -> Logal Policies -> Security Options -> Messager text for users attempting to log on : Hi
и
Messager title for users attempting to log on : I am
и хожу под этим юзером в домен и ни чего не происходит.
Хто знает в чем дело?
Цитата:
Можно что бы управление GPO велось не на PDC.
Можно. Читайте внимательно
Цитата:
Оснастка Group Policy -View-DC options - (...не помню что.. PDC emulator.)
Там 3 пункта, сверху вниз - PDC; тот, к которому подключена консоль;и любой -
в моем переводе
Цитата:
И если выходит один сервак из строя, то необходимо сделать другой PDC и все буд. нормально работать?
В теории
. На самом деле все сложнее. эмулятор PDC - это только одна роль, а всего их 5. Вы бы все-таки хелп почитали, да сайбекс тот же. Помогает. Цитата:
Цитата: Цитата:
По умолчанию интервал репл. между DC 5 мин
Можно ли его изменить?
Репликация есть
Ну так что, все заработало?
Цитата:
Создал OU создал GP добавил users дал ему права на пользования GP (Read Allow).
Выбрал OU Name -> GP -> Edit -> Computer Configuration -> Windows Settings -> Security Settings -> Logal Policies -> Security Options -> Messager text for users attempting to log on : Hi
и
Messager title for users attempting to log on : I am
и хожу под этим юзером в домен и ни чего не происходит.
нет
А Apply у юзера есть? Должны быть Read и Apply Goup Policy -> Allow
Есть.
Цитата:
Выбрал OU Name -> GP -> Edit -> Computer Configuration
Computer должен быть в том OU на котором создан GPO, для того чтобы сработали параметры компа, его надо перегрузить ну и права тож
Еще одна проблема появилась. Завел новую группу. Поставил ей Group scope : Global ; Group Type : Security. Активирую закладку Members и появлеется такое сообщение A global catalog cannot be located to verify that the user logon name does not already exist in the enterprice. Как ее создать?
Предыдущая тема: VMware. Проблема с настройкой сети
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.