» Group Policy: Не применяются групповые политики

User17, конечно, обычный пользователь?

Если нужно, чтобы один ярлык был на рабочем столе для всех пользователей, то можно модифицировать скрипт - поменять строку
Цитата:

DesktopPath = WSHShell.SpecialFolders("AllUsersDesktop")

Применять полученный скрипт нужно на "компьютер", причём дать права на чтение группе "Domain Computers" на шару+NTFS \\192.168.0.2\programs.

18.06.09
Проверьте, что UAC отключен.

Отключил UAC, выгнал комп из домена и вогнал обратно. Скрипты Прописанные на "компьютер" применились. Но, они применились один раз и все. Больше (если удалить файлики) они не появлялись. Хотя это и верно. ТОгда возниакет другой вопрос, Почему у пользователей домена не хватает прав на запись в папку allusers? и как добавить эти права?

можно ли перенести групповые политики с одного ПК на другой в XP PRO .Сеть рабочая группа.

bagros

Цитата:

Но, они применились один раз и все. Больше (если удалить файлики) они не появлялись.

Если всё правильно, то после перезагрузки ярлыки должны появится снова, зуб даю

Цитата:

ТОгда возниакет другой вопрос, Почему у пользователей домена не хватает прав на запись в папку allusers? и как добавить эти права?

Зачем пользователям права на AllUsers? Эта папка служебная. В ней пользователь не должен ничего менять.

И так. Делаю след движение:
1. Выгоняю из домена.
2. удаляю все папки пользователей
3. вгоняю в домен
4. захожу под юзером.
5. нифига нет. Ни ошибок ни ярлыков. Скрипты не применяются, хотя все остальное (запреты и рисунки РС) все пашет.
Может сам скрипт не пашет для вин2к8?
з.ы. Если тот же самый скрипт добавить в дефолтную, то появляется один первый ярлык. Остальных нет.

bagros

Цитата:

нифига нет. Ни ошибок ни ярлыков. Скрипты не применяются, хотя все остальное (запреты и рисунки РС) все пашет.
Может сам скрипт не пашет для вин2к8?

Скорее всего Вы неправильно применяете политику. Что показывает rsop.msc?


Цитата:

з.ы. Если тот же самый скрипт добавить в дефолтную, то появляется один первый ярлык. Остальных нет.

Появляется один первый ярлык? Значит моё первое утверждение обосновано. А ярлык один, потому что скрип "кривой". Покажите его здесь целиком (под тегом "more").

[more]Dim WSHShell
Set WSHShell = WScript.CreateObject("WScript.Shell")
Dim MyShortcut, MyDesktop, DesktopPath
DesktopPath = WSHShell.SpecialFolders("AllUsersDesktop")
Set MyShortcut = WSHShell.CreateShortcut(DesktopPath & _
"\2gis_3.0.lnk")
MyShortcut.TargetPath = WSHShell.ExpandEnvironmentStrings _
("\\192.168.0.3\programs\2gis\3.0\grym.exe")
MyShortcut.WorkingDirectory = WSHShell.ExpandEnvironmentStrings _
("\\192.168.0.3\programs\2gis\3.0\grym.exe")
MyShortcut.WindowStyle = 4
MyShortcut.IconLocation = WSHShell.ExpandEnvironmentStrings _
("\\192.168.0.3\programs\2gis\3.0\grym.exe, 0")
MyShortcut.Save
'*********************************************************************
Set MyShortcut = WSHShell.CreateShortcut(DesktopPath & _
"\documents.lnk")
MyShortcut.TargetPath = WSHShell.ExpandEnvironmentStrings _
("\\192.168.0.3\programs\links\documents.lnk")
MyShortcut.WorkingDirectory = WSHShell.ExpandEnvironmentStrings _
("\\192.168.0.3\programs\links\documents.lnk")
MyShortcut.WindowStyle = 4
MyShortcut.IconLocation = WSHShell.ExpandEnvironmentStrings _
("\\192.168.0.3\programs\links\documents.lnk, 0")
MyShortcut.Save
'*********************************************************************
Set MyShortcut = WSHShell.CreateShortcut(DesktopPath & _
"\miranda.lnk")
MyShortcut.TargetPath = WSHShell.ExpandEnvironmentStrings _
("\\192.168.0.3\programs\miranda\miranda32.exe")
MyShortcut.WorkingDirectory = WSHShell.ExpandEnvironmentStrings _
("\\192.168.0.3\programs\miranda\miranda32.exe")
MyShortcut.WindowStyle = 4
MyShortcut.IconLocation = WSHShell.ExpandEnvironmentStrings _
("\\192.168.0.3\programs\miranda\miranda32.exe, 0")
MyShortcut.Save
'*********************************************************************
Set MyShortcut = WSHShell.CreateShortcut(DesktopPath & _
"\Access_base.lnk")
MyShortcut.TargetPath = WSHShell.ExpandEnvironmentStrings _
("\\192.168.0.3\programs\links\start.bat")
MyShortcut.WorkingDirectory = WSHShell.ExpandEnvironmentStrings _
("\\192.168.0.3\programs\links\start.bat")
MyShortcut.WindowStyle = 4
MyShortcut.IconLocation = WSHShell.ExpandEnvironmentStrings _
("\\192.168.0.3\programs\links\start.bat, 0")
MyShortcut.Save
'*********************************************************************
Set MyShortcut = WSHShell.CreateShortcut(DesktopPath & _
"\2gis_2.0.lnk")
MyShortcut.TargetPath = WSHShell.ExpandEnvironmentStrings _
("\\192.168.0.3\programs\links\2gis_2.0.lnk")
MyShortcut.WorkingDirectory = WSHShell.ExpandEnvironmentStrings _
("\\192.168.0.3\programs\links\2gis_2.0.lnk")
MyShortcut.WindowStyle = 4
MyShortcut.IconLocation = WSHShell.ExpandEnvironmentStrings _
("\\192.168.0.3\programs\links\2gis_2.0.lnk, 0")
MyShortcut.Save
'*********************************************************************
Set MyShortcut = WSHShell.CreateShortcut(DesktopPath & _
"\otdeli.lnk")
MyShortcut.TargetPath = WSHShell.ExpandEnvironmentStrings _
("\\192.168.0.3\programs\links\otdeli.lnk")
MyShortcut.WorkingDirectory = WSHShell.ExpandEnvironmentStrings _
("\\192.168.0.3\programs\links\otdeli.lnk")
MyShortcut.WindowStyle = 4
MyShortcut.IconLocation = WSHShell.ExpandEnvironmentStrings _
("\\192.168.0.3\programs\links\otdeli.lnk, 0")
MyShortcut.Save
'*********************************************************************
Set MyShortcut = WSHShell.CreateShortcut(DesktopPath & _
"\po-nzk.lnk")
MyShortcut.TargetPath = WSHShell.ExpandEnvironmentStrings _
("\\192.168.0.3\programs\links\po-nzk.lnk")
MyShortcut.WorkingDirectory = WSHShell.ExpandEnvironmentStrings _
("\\192.168.0.3\programs\links\po-nzk.lnk")
MyShortcut.WindowStyle = 4
MyShortcut.IconLocation = WSHShell.ExpandEnvironmentStrings _
("\\192.168.0.3\programs\links\po-nzk.lnk, 0")
MyShortcut.Save
'*********************************************************************

[/more]

Абсолютно нормальный скрипт. Нифига не понимаю. Политика точно на комп применяется?

gpresult показывает что да. [more]Microsoft Windows XP [Версия 5.1.2600]
(С) Корпорация Майкрософт, 1985-2001.

C:\Documents and Settings\user17>gpresult

Программа формирования отчета групповой политики операционной системы
Microsoft (R) Windows (R) XP версии 2.0
(С) Корпорация Майкрософт, 1981-2001

Создано на 16.06.2009 в 12:18:43


RSOP-результаты для ENERGO\user17 на SCKOMDIR : Режим журналирования
---------------------------------------------------------------------

Тип ОС: Microsoft Windows XP Professional
Конфигурация ОС: Рядовая рабочая станция
Версия ОС: 5.1.2600
Имя домена: ENERGO
Тип домена: Windows 2000
Имя сайта: Default-First-Site-Name
Перемещаемый профиль:
Локальный профиль: C:\Documents and Settings\user17
Подключение по медленному каналу?: Нет


Конфигурация компьютера
------------------------
CN=SCKOMDIR,CN=Computers,DC=energo,DC=local
Последнее применение групповой политики: 16.06.2009 at 11:26:32
Групповая политика была применена с: bs.energo.local
Порог медленной связи групповой политики: 500 kbps

Примененные объекты групповой политики
---------------------------------------
Default Domain Policy
Default Domain Policy

Следующие политики GPO не были приняты, поскольку они отфильтрованы
--------------------------------------------------------------------
Политика локальной группы
Фильтрация: Не применяется (пусто)

Компьютер является членом следующих групп безопасности:
-------------------------------------------------------
Администраторы
Все
Пользователи
СЕТЬ
Прошедшие проверку
SCKOMDIR$
Компьютеры домена


Конфигурация пользователя
--------------------------
CN=user17 Коровин Алексей Владимирович,OU=energo,DC=energo,DC=local
Последнее применение групповой политики: 16.06.2009 at 12:18:26
Групповая политика была применена с: bs.energo.local
Порог медленной связи групповой политики: 500 kbps

Примененные объекты групповой политики
---------------------------------------
users
Default Domain Policy
Default Domain Policy

Следующие политики GPO не были приняты, поскольку они отфильтрованы
--------------------------------------------------------------------
Политика локальной группы
Фильтрация: Не применяется (пусто)

Пользователь является членом следующих групп безопасности:
----------------------------------------------------------
Пользователи домена
Все
Пользователи
ИНТЕРАКТИВНЫЕ
Прошедшие проверку
ЛОКАЛЬНЫЕ
energo

C:\Documents and Settings\user17>[/more]

Здравствуйте помогите плиз. Стоит win2k8 64x на нем возникает следующая ошибка:
Ошибка при обработке групповой политики. Попытка чтения файла "...\gpt.ini" с контроллера домена была неудачной. Параметры групповой политики не могут быть применены, пока не будет исправлена эта ситуация. Это может быть временным явлением, его возможные причины:
a) Ошибка разрешения имен или проблемы сетевого подключения к текущему контроллеру домена.
b) Запаздывание репликации Active Directory (созданный на другом контроллере домена файл еще не реплицирован на текущий контроллер домена).
c) Отключен клиент распределенной файловой системы (DFS).+ System
EventID 1058

Проверить ДНС, проверить досутп к папке sysvol

Люди!

подскажите где на клиенте прописан ДНС заданный через групповые политики? А то я ошибся и теперь клиенты не могут достучаться до сервера и обновить политики. Или как удалить политики и создать их заново на клиенте?

DNS можешь посмотреть командой ipconfig /all
Изменить можно в сетевых настройках. Но придётся побегать по клиентам. Второй вариант - прописать адрес ДНС сервера в дхцп установках (на сервере) и, чтобы клиенты подхвативали адрес (тебе нужный адрес днс сервера) не через ГП, а при обновлении своего ип адреса со стороны дхцп сервера.

УДАЧИ !!!

Почему-то не применяются политики ограниченного использования программ для подразделения, в котором два пользователя. При этом политики конфигурации пользователя нормально применяются.
В сетевом подключении указаны два днс-сервера: сервер АД и шлюз.
gpresult для пользователя:

Цитата:

Конфигурация пользователя
--------------------------
CN=gptest,OU=test,DC=td,DC=pmz,DC=com,DC=ua
Последнее применение групповой политики: 24.12.2009 at 11:18:13
Групповая политика была применена с: servertd.td.pmz.com.ua
Порог медленной связи групповой политики: 500 kbps

Примененные объекты групповой политики
---------------------------------------
test
Default Domain Policy
Политика локальной группы

Пользователь является членом следующих групп безопасности:
----------------------------------------------------------
Пользователи домена
Все
Пользователи удаленного рабочего стола
Пользователи
REMOTE INTERACTIVE LOGON
ИНТЕРАКТИВНЫЕ
Прошедшие проверку
ЛОКАЛЬНЫЕ

РЕШЕНА.

...хоть отпишись, чтобы люди знали "на будущее", в чём проблема была.

УДАЧИ !!!

И с приближающимися всех праздниками !!!

Предидущий админ создал в политике административный шаблон по отключению флешек

CLASS MACHINE
CATEGORY !!category
CATEGORY !!categoryname
POLICY !!policynameusb
KEYNAME "SYSTEM\CurrentControlSet\Services\USBSTOR"
EXPLAIN !!explaintextusb
PART !!labeltextusb DROPDOWNLIST REQUIRED
VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 3 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
END CATEGORY
END CATEGORY


В результирующей политике написано

Примечание: этот параметр реестра не хранится в
разделе политики и поэтому имеет более высокий
приоритет. Если объект групповой политики,
использующий этот параметр, будет удален, сам
параметр сохранится.


Как корректно удалить применение данного параметра? Простое удаление шаблона не помогает. При комманде gpupdate /force все равно происходит запись в реестр.

JekaRus
Цитата:

Простое удаление шаблона не помогает

не надо его удалять.. исправь шаблон на дефольтное значение:
Цитата:

NAME !!Enabled VALUE NUMERIC 3 DEFAULT

и примени.. а уж потом удаляй..

Здраствуйте! Не применяется скрипт в ГП использую ГП по умолчанию.DC win 2003 пк vista b win7.
C:\Users\Administrator>gpupdate
Обновление политики...

Обновление политики пользователя завершено успешно.
Обновление политики для компьютера успешно завершено.

При обработке политики компьютера возвращены следующие предупреждения:

Windows не удалось применить параметры "Scripts". Параметры "Scripts" могут имет
ь свой собственный файл журнала. Щелкните ссылку "Дополнительные сведения".

Чтобы получить дополнительные сведения, просмотрите журнал событий или запустите
GPRESULT /H GPReport.html из командной строки для просмотра сведений о результа
тах групповой политики.
GPReport.html говорит что
Scripts не удалось выполнить из-за указанной ниже ошибки.
Не удается найти указанный файл.
Попробывал сделать след образом создал новый OU туда переместил олдин комп и создал для этого OU свою ГП.Отсюда все заработало. почему при использовании дефолтной ГП возникает ошибка?

...дык, сравни ранее созданную политику с той, что создал для нового ОУ. Второе: посмотри последователь применения политик - может, первая как-то переопределяет пути или права доступа к скрипту. В общем, пользуйся методом "научного тыка".

УДАЧИ !!!

Здравствуйте. Было одно ОU - "big". В этом OU в групповой политике при логоне работал скрипт, который подключал общие папки как сетевые диски.

Сделал еще одно OU - "small". В него перенес десяток пользователей. У них другие общие папки, которые подключаются как сетевые диски. Скопировал скрипт, подправил, положил в групповые политики. Скрипт работает когда я захожу под администратором и не работает, когда под пользователем. Я так понимаю, что проблема в правах. Сравнил права на папки, где лежат скрипты, на политики, на сами скрипты. Все одинаково. Подскажите, где можно было накосячить?

mattveiko
Цитата:

Скрипт работает когда я захожу под администратором и не работает, когда под пользователем. Я так понимаю, что проблема в правах.

очень мало вероятно. все скрипты выполняемые через опцию GP Logon/off scripts выполняются с правами NT AUTHORITY/SYSTEM... так что у них ограничений нету (я искренне в это верил до сегодняшнего дня... )

У меня тут другая трабла(
потребовалось создать некоторые GP... ну в общем создал только они не применяются! GP крайне просты - одна содержит только Logon script в виде bat файла для смены основного шлюза и dns сервера ( в сети используется статическая адресация ) и вторая содержит параметры настройки proxy сервера - указывает путь до proxy.pac файла...
так вот ни та ни другая не применяется на клиентах. Пытался писать gpupdate /force и на сервере и на клиенте. Старые политики как работали так и работают, а вот новые не хотят подхватываться. Политики добавлял в раздел GPM -> Group Policy Object и далее делал ссылки в соответствующих OU в том же GPM на существующую политику. Так работают все нынешние политики - по другому у меня не работало.
В логах клиента и сервера ни чего странного...

задела меня мысля гражданина mattveiko по поводу прав... думаю авось и вправду он прав! Ну прикрутил я значится щас к своему скрипту права админа домена и О ЧУДО! он сработал, НО ладно скрипт, а что делать с обычными настройками GP такими как параметры автоматической конфигурации прокси сервера? я конечно могу написать и для его изменения батник, там всё просто - настройки для IE прокси хранятся в известной ветке реестра...

и всё таки мне всю жизнь казалось что GP применяются именно с правами NT AUTHORITY/SYSTEM...

поможите кто чем может
имеем Win2k3 r2 SBS пока без Exchange
домен был переименован, после посыпались ошибки 1030,1058,1104.
по ним в инете ресурсов много.
интересует другой вопрос.
в GPM есть пара политик стандартных в которых используются WMI фильтры.
фильтры сами определены (типовый), собственно как и политика тоже типовая.
а в политеке в которой этот фильтр должен применяться его нет и список пуст, хотя если здесь же взять другую политику которая должнв быть без фильтра список выбора фильтров заполнен и его можно установить. как вылечить?

Доброго дня
есть машины в домене где все пареметры групповой политики применяются,
но почему то GPO свзяанная с "назначенными заданиями" не применяется, а именно задачи на рабочей машине просто не появляются в журнале ошибок нет.
помогите пожалуйста.

А вопрос вот в чём, я делаю изменения в групповых политиках контроллера домена для пользователей локальной сети. Как сделать чтобы изменённая групповая политика безопасности сразу же вступила в силу на всех ПК локальной сети или на какой то машине в отдельности не отходя от сервера и желательно не перезагружая пользовательские компьютеры?
Я знаю, что можно выставить время обновлений групповых политик безопасности в локальной сети по истечении которого она обновляется на всех ПК. У меня стоит 30 минут. Но очень часто есть необходимость чтобы изменения вступили сразу и не перезагружая компьютер. Есть ли какие нибудь команды? И очень важно чтобы не только для всех, но и на компьютеры по отдельности для которых была изменена групповая политика не отходя от сервера.
gpupdate /force на сервере AD и даже на локальных машинах сразу после изменений на AD ничего не происходит, ждёшь какое то время, то ли 30 минут, и только тогда можно сделать эту команду на локальных машинах, чтобы политики вступили в силу.

здравствуйте.
такая же проблема - не применюются групповые политики.
видимо из-за днс сервера, но не могу понять как исправить.

контроллер домена и и сервер на вин сервер 2008 р2 сп1
создаю пользоваелей и назначаю локальные политки. делаю gpupdate,в 1-й раз принменяются

если потом в политике на какого-ниь юзера менять что-то, то эти измененния не применяются, хотя после gpupdate /force типов все успевшно.

на клиентах политики отображатются старые, т.е изменений не прилетело...

отключал фаервол даже, ребутал днс и ад - не помогло.

Raz0rnsk
что в логах на клиенте? ошибки, варининги? Время клиента и контролера сходится? Сетевые настройки.. Трудно гадать на кофейной гуще. Информацию в студию

Предлагаю Всем, у кого не применяются политики
выучить специальное "заклинание для админского бубна" - RSOP.MSC

Raz0rnsk -дайте нам результаты выполнения этой команды.

tgrisha
здесь ответы на Ваши вопросы -
http://technet.microsoft.com/ru-ru/library/cc758634(v=ws.10).aspx
но если очень нужно, то "Если выбрать 0 минут в качестве интервала обновления, то компьютер будет пытаться обновлять групповую политику каждые 7 секунд" -источник - http://technet.microsoft.com/ru-ru/library/cc754948(v=ws.10).aspx

Доброго времени суток.

Не могу никак решить проблему,
имеется IE, политики прокси задаются GPO, если открыть браузер с правами администратора и изменить настройки прокси (в частности сделать некоторые исключения) то при изменении прокси в GPO политика на данном компьютере не применяется, остается то что сделано администратором. Как в данном случае форсировать применение политики на компьютере?

Восстановлю тему из небытия.
Есть проблема в применении политик брандмауэра Windows через GPO. Конкретно проблема в том что единожды когда-то применившись правило наотрез отказывается меняться на клиентских компьютерах и новые также не добавляются. На контроллерах домена правило применилось и изменилось, но на остальных хоть убейся, но ни в какую. Контроллеры домена под управлением WS 2008 std, клиентские станции Windows 7 SP1. Версии применяемых политик одинаковы. RSOP.msc на клиенте просто в упор не видит измененые настройки брандмауэра. Моделирование клиентской станции на сервере в GPMC показывает что никаких проблем нет и все настройки станция может прочитать и применить корректно. gpupdate /force не приводит ни к чему. GPresult /r /scope computer говорит что всё путем и так надо. В логах ошибок никаких нет. У меня голова кипит уже. Очень надеюсь на вашу помощь.

SeriusDanil
может первый раз вы настроили так, что теперь клиентские компы не видят сервер каталога?