» Групповые политики (Group Policy, GPO): документация, ссылки

Здравствуйте!


Каким образом средствами GP (а именно IPsec) можно разрешить пользователям домена (2003R2) ходить только на определенные сайты в инете?

пробовал делать следующее:
-создавал политку блокирования отправки пакетов по всем протоколам и портам на определнное DNS имя (ya.ru,например) - работает.
-создавал политику блокирования всего и политку разрешения опрделенного IP-адреса (также все протоколы), делал последнюю наивысшим приоритетом - не работает.

В gpresult на клиенте видны обе политики (т.е. все правильно), однако на разрешенный узел пакеты не ходят Обе политики на OU.

Подскажите,пожалуйста, возможно ли даже теоретически достичь поставленной цели?

Спасибо.

Добавлено:
Разобрался.

Политика IPsec состоит из:
1. Policy - входит в GPO, включает в себя все последующие пункты.
2. Rule
3. Filterlist - список фильтров (что,откуда,куда...)
3. Filteraction - действие фильтра (запретить,разрешить,изменить(для шифрования))

Так вот. В одну Policy может входить несколько Rule!

В моем случае запрещаю Все, разрешаю локальную подсеть, вручную разрешаю определенные ресурсы (по DNS имени, т.к. IP-адрес как правило не один).

Надеюсь,кому-то поможет.

Подскажите, какое правило групповой полтики влияет на появление\скрытие "безопасного извлечения устройств" ?

Привет Парни! Может кто знает как через Групповые политики разрешить удаленное управление для всех рабочих станций домена. Что бы через RDP на них можно было заскакивать, не могу найти, но должна эта фишка быть, нутром чую. Спасибо громадное.

AskeT_13

Цитата:

как через Групповые политики разрешить удаленное управление для всех рабочих станций домена.

Computer Configuration\Administrative Templates\Windows Components\Terminal Services, включите Allow users to connect remotely using Terminal Services.
Далее создаете global group и добавляете ее в группу Remote Desktop Users здесь Computer Configuration\Windows Settings\Security Settings\Restricted Groups. Все теперь пользователи вашей global group будут входить в RDU. Обновляете политику и настраиваете политику брандмауэра. Вроде бы, ничего не забыл и не перепутал.

2TCPIP
Большое спасибо!!!Все вышло как хотел.

Люди ! А как вернуть политики XP в первоначальный вид, до того как комп ввели в домен, или в тока проинсталированный вид. А то я его из домена вывел, а политики на комп еще действуют

arzumanyan
Вот это лень.....
А в шапку глянуть? "Восстановление политик"

Всем доброго времени суток.
Сразу прошу извинить, если повторяюсь, но беглый просмотр тем в шапке, не сильно добавил ясности.

Существует один домен. Также имеются группы компьютеров, разделенные по отделам, каждая группа в своем OU, со своими Computer Policy. Пока все пользователи в отдельном OU. Как организовать, чтобы при входе одного и того же пользователя на компьютеры в разных отделах применялись разные User Policy?

На данный момент я вижу следующее решение. С помощью WMI Filtering проверять, на какой компьютер заходит пользователь, и применять соответствующую политику. Как лучше проверять? Пробовал по имени компьютера,

Код: Select * FROM Win32_ComputerSystem WHERE Name="COMP1" OR Name="COMP2" OR Name="COMP3"... и т.д.

mcTNT2
loopback policy processing

Спасибо.
Сначала до меня не дошел смысл этого пункта

FreemanRU
в сылку глянул, не помогло в бывшем домене была политика не шарить драйв (c$), и он как был так и остался. Еще опция "message text for user attempting to log on" как выскакивала, так и продолжает

Цитата:

Еще опция "message text for user attempting to log on" как выскакивала, так и продолжает

Поставь там пустое поле в тексте (удали текст сам).

G14
Когда в новой политике ставлю текст, старая заменяется новой, когда вообще удаляю текст ... опять появляется текст со старого домена И еще, если даже вручную выставляю дефолтную шару c$, после рестарта всё исчезает

научите плиз, как отрубить у всех сразу скринсервера? т.е. чтоб она ваще не включалась эта заставка

AFT
Административные шаблоны\Панель управления\Экран


Цитата:

скринсервера

есть сервак W2003. На нем поднят Terminal Server. Сервер не в домене.На нем стоит уже оффис в дальнейшем еще и 1С. Пока там они работают с большими таблицами Exel
созданы пользователи, которые включены в группу remote desktop users и buhotdel. Для них настроены права доступа на диски и дисковые квоты.
Хотелось бы узнать, как можно с помощью групповых политик убрать из меню пуск все кроме "Завершения сеанса". Запретить пользователям лазить в панель управления и менять там что-либо. В общем создать максимально ограниченого пользователя. В Групповых политиках пробовал запретить, но запрет распространяется на всех пользователей, в т.ч. и на админов.Хотелось чтобы политика применялась для определенной группы(пользователи терминала). В шапке нашел похожую тему, но там рассматривается случай с доменной структурой. У меня же этот сервак не в домене. Как можно сделать так чтобы политика применялась для локальной группы пользователей.

Как полностью запретить менять обои в домене?
В 2003 server - выбираю запрет на смену обоев, запрет на доступ к панели управления.
посредством acdsee и других программ юзеры не могут менять, а выбрав в експлорере - сделать фоновым рисунком рабочего стола - МЕНЯЮТ ОБОИ БЕЗ ПРОБЛЕМ.

Как полность запретить смену обоев?

FreemanRU
не так! у меня инглиш

ошипся топом.

подскажите где че сделать, чтоб никто не мог менять свой пароль кнопкой "Смена пароля", установка галочки у пользователя в домене со временем слетает

Народ, подскажите такую вещь, чето не догоняю:
есть OU=Servers, OU=Computers и OU=Users, соответственно сервера в первой группе, рабочие станции во второй, учетные записи пользователей в третьей. Как сделать, чтобы настройки пользователей для серверов и рабочих станций были разные (ну например чтобы пользователи не могли менять заставку рабочего стола на сервере и могли на своей машине)

Как исправить такую вот ситуёвину?:

Имеется несоответствие версий одного и того же объекта групповой политики в Active Directory и SYSVOL. Стоит контроллер домена win2003 ee r2 sp2.

Добавлено:
Всё, вопрос снимается. Как вариант решения - это backup, потом удаление, создание новых политик, импортирование из backup'ов

mobiman_ua
Политика компьютера имеет приоритет перед политикой юзера. Поэтому то, что ты укажешь в локальных политиках для OU Servers в ветке компьютеры будет иметь приоритет перед политикой OU Users определенной в ветке пользователи.

SeriusDanil
да, только в ветке пользователей есть настройки, которых нет в ветке компьютеров

SeriusDanil
mobiman_ua
Учимся пользоваться поиском и "версией для печати". Оба.
http://forum.ru-board.com/topic.cgi?forum=8&topic=8921&start=300#10

Привет всем может кто-нибудь выложить русские шаблоны групповых политик (*.adm) от русской windows 2003 ent sp2 , а то я смотрю в английской они менялись после sp2 хотелось бы читать все описания политик на русском...желательно дефолтные

Ребята подскажите как с помощью групп. политики
назначить всем юзерам в качестве десятичной точки точку, а не запятую

Стоит Windows SBS 2003 Premium SP2 и клиенты XP
В групповых политиках на компьютера выставлено в "Политика паролей" - "Макс. срок действия пароля" 60 дней.
Но на компьютерах (клиентах) пароль запрашивает на смену через 30 дней, а не через 60.
Error в применении политик на компьютер не обнаружено.
При получении резултирующей политики на клиентах XP все нормально, стоит 60 дней.
В чем могут быть проблемы? Куда рыть.... Интересует любая помощь...

2ALL

Подскажите, какой настройкой в политиках убирается закладка "Общий доступ" в свойствах файлов\папок? Иными словами запрещающая юзеру расшаривать файлы через GUI (про net share я в курсе).

2rosalin

Стандартно никак, у меня этим занимается свой ADM файл, вот его содержимое:


Код:
CLASS USER
CATEGORY "Control Panel"
CATEGORY "Regional and Language Options"
POLICY !!Decimal
    KEYNAME "Control Panel\International"
EXPLAIN !!Decimal_Expl
    PART !!Decimal EDITTEXT
    VALUENAME "sDecimal"
    DEFAULT ,
    END PART
END POLICY
POLICY !!Toggle
EXPLAIN !!Toggle_Expl
    KEYNAME "Keyboard Layout\Toggle"     
    PART !!Toggle_Help DROPDOWNLIST
    VALUENAME Hotkey REQUIRED
    ITEMLIST
    NAME !!Toggle_1 VALUE 1
    NAME !!Toggle_2 VALUE 2 DEFAULT
    END ITEMLIST
    END PART
END POLICY
POLICY !!Defin
EXPLAIN !!Defin_Expl
    KEYNAME "Keyboard Layout\Preload"     
    ACTIONLISTON
    VALUENAME "1" VALUE 00000409
    VALUENAME "2" VALUE 00000419
    END ACTIONLISTON
    ACTIONLISTOFF
    VALUENAME "1" VALUE 00000419
    VALUENAME "2" VALUE 00000409
    END ACTIONLISTOFF
END POLICY
END CATEGORY
END CATEGORY
[Strings]
Decimal="Decimal symbol"
Defin="Set default input locale to English"
Defin_Expl="ON - the default input locale is set to English, OFF - Russian"
Decimal_Expl="Changing the decimal symbol in Customize Regional Options"
Toggle="Switch between input languages"
Toggle_Expl="Key sequence to switch between input languages"
Toggle_Help="Key sequence"
Toggle_1="ALT+SHIFT"
Toggle_2="CTRL+SHIFT"

BirdsKing

Maximum password age
Minimum password age

значения какие ?

Добавлено:
rosalin

Цитата:

Ребята подскажите как с помощью групп. политики
назначить всем юзерам в качестве десятичной точки точку, а не запятую

нет такого в GPO . Изменяется руками на каждом клиенте. Либо пишется собственный шаблон

Добавлено:
mobiman_ua

Цитата:

Народ, подскажите такую вещь, чето не догоняю:
есть OU=Servers, OU=Computers и OU=Users, соответственно сервера в первой группе, рабочие станции во второй, учетные записи пользователей в третьей. Как сделать, чтобы настройки пользователей для серверов и рабочих станций были разные (ну например чтобы пользователи не могли менять заставку рабочего стола на сервере и могли на своей машине)

Если структура такая :

AD

OU <- Account Server comp
OU <- Account computer
OU <-Account user

где OU - организационное подразделение (читай папка) в котой вложенны обьекты.
то создаешь в каждой папке свой политику мо мвоими параметрами.

Заметь вложенности не дожно быть.