Вопрос у меня возник по ходу работы. Как сделать так, чтобы ограниченный пользователь мог создавать и удалять папки на диске D, E, F. Еще один ворос, если я отключу ограниченному польователю изменять реест винды, чем ему это грозит? сможет ли он нормально работать?
» Групповые политики (Group Policy, GPO): документация, ссылки
mecong
Maximum password age - 60
Minimum password age - 1
Maximum password age - 60
Minimum password age - 1
Вопрос из разряда не стандартных. Есть пользователи, у них в AD есть некий флаг (атрибут класса user). Есть некое ПО, которое работает только при наличие определенного значения этого флага у пользователя.
Внимание, вопрос - как не прибегаю к помощи SMS и других платных продуктов, установить данное ПО на компьютеры пользователей по флагу в AD?
При установке ПО требуются права администраторов (а точнее - происходить регистрация COM-библиотеки).
Проблемы:
1. Необходимо установка по флагу в AD. (Почти) решена использованием WMI-фильтров.
2. Необходимо установить от имени превилигированной учетной записи. Не решена. Сохранение паролей в cmd или vbs файлах не предлагать. Программа упакована в exe и возможностью тихой установки, но без проблем могу её переконвертировать в msi.
3. Программа должна ставиться без участия пользователей.
Внимание, вопрос - как не прибегаю к помощи SMS и других платных продуктов, установить данное ПО на компьютеры пользователей по флагу в AD?
При установке ПО требуются права администраторов (а точнее - происходить регистрация COM-библиотеки).
Проблемы:
1. Необходимо установка по флагу в AD. (Почти) решена использованием WMI-фильтров.
2. Необходимо установить от имени превилигированной учетной записи. Не решена. Сохранение паролей в cmd или vbs файлах не предлагать. Программа упакована в exe и возможностью тихой установки, но без проблем могу её переконвертировать в msi.
3. Программа должна ставиться без участия пользователей.
FreemanRU
Цитата:
Always install with elevated privileges?
Цитата:
Это к разработчикам программы. Если она умеет ставиться "тихо", то умеет, если обязательно требует user input, то извиняйте...
Цитата:
2. Необходимо установить от имени превилигированной учетной записи.
Always install with elevated privileges?
Цитата:
3. Программа должна ставиться без участия пользователей.
Это к разработчикам программы. Если она умеет ставиться "тихо", то умеет, если обязательно требует user input, то извиняйте...
G14
Цитата:
Ну это я написал к тому, что публикация через "Установку/удаление программ" не подходит.
Цитата:
Как-то забыл про это. Спасибо, буду пробовать.
Но как я понимаю, есть одно НО - после включения пользователь сможет поставить любой MSI-пакет от имени SYSTEM, что не есть хорошо.
Цитата:
. Программа должна ставиться без участия пользователей.
Ну это я написал к тому, что публикация через "Установку/удаление программ" не подходит.
Цитата:
Always install with elevated privileges?
Как-то забыл про это. Спасибо, буду пробовать.
Но как я понимаю, есть одно НО - после включения пользователь сможет поставить любой MSI-пакет от имени SYSTEM, что не есть хорошо.
FreemanRU
Цитата:
Ну так assign
Цитата:
конечно, не есть. у меня возникла идея, но без тестов она мне кажется сейчас несколько бредовой, хотя чем черт не шутит ....
Короче смысл: GPO применяются последовательно. Значит можно поробовать в GPO, который инсталлит софт, выставить Always install with elevated privileges, а в следующем - задизэйблить. Я не помню, задерживается ли применение следующих GPO на время устновки ассигнованного софта. И попробовать не на чем сейчас. Испытаешь?
Цитата:
Ну это я написал к тому, что публикация через "Установку/удаление программ" не подходит.
Ну так assign
Цитата:
Но как я понимаю, есть одно НО - после включения пользователь сможет поставить любой MSI-пакет от имени SYSTEM, что не есть хорошо.
конечно, не есть. у меня возникла идея, но без тестов она мне кажется сейчас несколько бредовой, хотя чем черт не шутит ....
Короче смысл: GPO применяются последовательно. Значит можно поробовать в GPO, который инсталлит софт, выставить Always install with elevated privileges, а в следующем - задизэйблить. Я не помню, задерживается ли применение следующих GPO на время устновки ассигнованного софта. И попробовать не на чем сейчас. Испытаешь?
G14
Цитата:
На сколько я помню, сначала применяются политики, затем только ставится софт. Хотя проверить надо будет.
Но тут появилась еще одна проблема. Не могу написать WMI-запрос. Есть класс Win32_UserAccount, но он не поддерживает получение собственных (не стандартных) свойств класса user.
Цитата:
Я не помню, задерживается ли применение следующих GPO на время устновки ассигнованного софта
На сколько я помню, сначала применяются политики, затем только ставится софт. Хотя проверить надо будет.
Но тут появилась еще одна проблема. Не могу написать WMI-запрос. Есть класс Win32_UserAccount, но он не поддерживает получение собственных (не стандартных) свойств класса user.
сначала применяются сами политики, а затем только инсталится софт. порядок действий в справке написан четко.
FreemanRU
я так понимаю ты решил padion ставить только для тех пользователей, которым он нужен.
(сильно просто похоже на то )
вот к примеру у меня у меня padion ставится через политики, "на компьютер".
msi-пакет.
требует регистрации com-компонента
"на компьютер" все msi пакеты инсталятся от SYSTEM
а вот если я буду ставить ПО при входе пользователя в систему - действительно не получится поставить, так как даже в Program Files папку создать прав не хватит.
далее задача решается допустим написанием скрипта, который кидается в автозапуск для all user
скрипт проверяет наличие флага в AD. если флаг есть - запускает Pandion. нет флага - не запускает.
этот самый скрипт можно запихать в msi пакет и инсталить "на компьютер".
то что надо?
FreemanRU
я так понимаю ты решил padion ставить только для тех пользователей, которым он нужен.
(сильно просто похоже на то
) вот к примеру у меня у меня padion ставится через политики, "на компьютер".
msi-пакет.
требует регистрации com-компонента
"на компьютер" все msi пакеты инсталятся от SYSTEM
а вот если я буду ставить ПО при входе пользователя в систему - действительно не получится поставить, так как даже в Program Files папку создать прав не хватит.
далее задача решается допустим написанием скрипта, который кидается в автозапуск для all user
скрипт проверяет наличие флага в AD. если флаг есть - запускает Pandion. нет флага - не запускает.
этот самый скрипт можно запихать в msi пакет и инсталить "на компьютер".
то что надо?
weerkostya
Я сделал проще. В HelpDesk, который и ставит флаг можно/нельзя, вместе с установкой флага пользователь включается в специальную группу (PandionUsers).
Создана политика, в которой включен "Always install with elevated privileges" и назначено на пользователя установка пакета с Pandion (который был перепакован в MSI).
На эту политику назначены права применения для группы PandionUsers и для группы Domain Computers, и запрещено применение для группы Domain Admins.
В итоге, когда пользователь заходит на любой комп - он получает Pandion уже установленным, со всеми настройками.
Я сделал проще. В HelpDesk, который и ставит флаг можно/нельзя, вместе с установкой флага пользователь включается в специальную группу (PandionUsers).
Создана политика, в которой включен "Always install with elevated privileges" и назначено на пользователя установка пакета с Pandion (который был перепакован в MSI).
На эту политику назначены права применения для группы PandionUsers и для группы Domain Computers, и запрещено применение для группы Domain Admins.
В итоге, когда пользователь заходит на любой комп - он получает Pandion уже установленным, со всеми настройками.
FreemanRU
намного проще поставить пандиона на _все_ рабочие станции (допустим через политики "на компьютер")
на сервера можно руками уж поставить.
это очевидно предпочтительней, чем разрешать пользователям из группы PandionUsers ставить ЛЮБОЙ софт на свою машину (а Always install with elevated privileges - это то именно и есть)
практика показывает - не то чтобы фигни понаставят всякой, столько нелицензионного ПО натаскают
намного проще поставить пандиона на _все_ рабочие станции (допустим через политики "на компьютер")
на сервера можно руками уж поставить.
это очевидно предпочтительней, чем разрешать пользователям из группы PandionUsers ставить ЛЮБОЙ софт на свою машину (а Always install with elevated privileges - это то именно и есть)
практика показывает - не то чтобы фигни понаставят всякой, столько нелицензионного ПО натаскают
weerkostya
Цитата:
Я думал об этом. Во первых не любой, а только MSI (точнее использующих Windows Installer). Во вторых у нас его пронести проблематично. В третьих есть маленькие мыслишки как и это запретить.
Цитата:
не то чтобы фигни понаставят всякой, столько нелицензионного ПО натаскают
Я думал об этом. Во первых не любой, а только MSI (точнее использующих Windows Installer). Во вторых у нас его пронести проблематично. В третьих есть маленькие мыслишки как и это запретить.
Добрый день.
Есть Server2003
AD
пользователям все создал и шары и доступы простые Users.
Пришел IT-assistant теперь ему нужно создать доступ, чтобы софт мог ставить и удалять, по сетке шарится, добавлять компы в домен и т.д. и т.п. В общем все что нужно для Helpdesk-а.
Сам я хожу по компам под Administrator. Ему создал нового пользователя. Какие прова нужно ему давать? Наверно нужно создать новую группу, а какие права группе?
Как это можно осуществить глобально, через домен?
Спасибо.
Есть Server2003
AD
пользователям все создал и шары и доступы простые Users.
Пришел IT-assistant теперь ему нужно создать доступ, чтобы софт мог ставить и удалять, по сетке шарится, добавлять компы в домен и т.д. и т.п. В общем все что нужно для Helpdesk-а.
Сам я хожу по компам под Administrator. Ему создал нового пользователя. Какие прова нужно ему давать? Наверно нужно создать новую группу, а какие права группе?
Как это можно осуществить глобально, через домен?
Спасибо.
А Domain Admins не подойдет? А чтоб не мог править полиси разрулить ntfsные права на папки с груповыми политиками. Выставить ему юзерские.
Angoim
Делаешь его локальным админом на компах (через комповые групповые политики прописываешь его в группу локальных админов), для добавления компов разрешаешь соотв. права на папку "Computers" в AD, а потом уже сам перекидываешь компы по OU.
Делаешь его локальным админом на компах (через комповые групповые политики прописываешь его в группу локальных админов), для добавления компов разрешаешь соотв. права на папку "Computers" в AD, а потом уже сам перекидываешь компы по OU.
gap5
Цитата:
Это нужно на каждом компе делать, вручную?
Цитата:
А как дать права на на целую папку "Computers" в AD? Через Properties неполучается.
Цитата:
Делаешь его локальным админом на компах (через комповые групповые политики прописываешь его в группу локальных админов),
Это нужно на каждом компе делать, вручную?
Цитата:
для добавления компов разрешаешь соотв. права на папку "Computers" в AD, а потом уже сам перекидываешь компы по OU.
А как дать права на на целую папку "Computers" в AD? Через Properties неполучается.
Angoim
1) В групповой политике для твоих компов
Computer Configuration - Security Settings - Local Policies/User Rights Assignments - Restricted Groups, там указываешь группу BUILTIN\Administrators в members указываешь юзера\группу которого хочешь поместить в локальных админов
2) Рroperties папки вкладка security, там и выставляешь права... (перед этим ставишь галку View > Advanced Features)
Еще незабудь в политиках для домена добавить
Computer Configuration - Security Settings - Local Policies/User Rights Assignments - Add workstations to domain
1) В групповой политике для твоих компов
Computer Configuration - Security Settings - Local Policies/User Rights Assignments - Restricted Groups, там указываешь группу BUILTIN\Administrators в members указываешь юзера\группу которого хочешь поместить в локальных админов
2) Рroperties папки вкладка security, там и выставляешь права... (перед этим ставишь галку View > Advanced Features)
Еще незабудь в политиках для домена добавить
Computer Configuration - Security Settings - Local Policies/User Rights Assignments - Add workstations to domain
gap5
Спасибо за подробное разъяснение. Есть некоторые вопрсы.
Цитата:
Это я нашел и сделал, но только в списке у меня не было BUILTIN\Administrators, были просто Administrators и я вбил вручную BUILTIN\Administrators, так пойдет?
Цитата:
Так я и не нашел о чем идет речь здесь, можно ткуть пальцем?
Цитата:
Это добавил. Спасибо.
Еще вопрос, сможет ли он давать Permitions в Security на папки?
Спасибо за подробное разъяснение. Есть некоторые вопрсы.
Цитата:
1) В групповой политике для твоих компов
Computer Configuration - Security Settings - Local Policies/User Rights Assignments - Restricted Groups, там указываешь группу BUILTIN\Administrators в members указываешь юзера\группу которого хочешь поместить в локальных админов
Это я нашел и сделал, но только в списке у меня не было BUILTIN\Administrators, были просто Administrators и я вбил вручную BUILTIN\Administrators, так пойдет?
Цитата:
2) Рroperties папки вкладка security, там и выставляешь права... (перед этим ставишь галку View > Advanced Features)
Так я и не нашел о чем идет речь здесь, можно ткуть пальцем?
Цитата:
Еще незабудь в политиках для домена добавить
Computer Configuration - Security Settings - Local Policies/User Rights Assignments - Add workstations to domain
Это добавил. Спасибо.
Еще вопрос, сможет ли он давать Permitions в Security на папки?
А грамотную книжку по сабжу кто-нибудь посоветовать может? Очень интересует групповая политика именно в Windows XP. Спасибо.
А каков механизм применения политик? Они применяются при каждом входе? Или один раз после изменения?
вроде как синхронизируються через какой промежуток времени
Меня интересует, как работает механизм из вот этой инструкции. Цель - применить шаблоны ко всем, кроме нужного пользователя (админа). Для этого задается нужная общая политика, сохраняется файл registry.pol. Создаются правила для админа, применяются (когда он залогинен), файл registry.pol возвращается обратно. В результате у всех пользователей одна политика, у админа - другая.
Ребята, извините, если пропустил, но что-то не нашёл ответ по такому вопросу:
Можно запретить и скрыть доступ из "Мой компьюетр" к дискам C,D
Конфигурация пользователя-->Административные шаблоны-->Проводник
есть 2 параметра: "Скрыть выбранные диски из окна Мой компьютер" и "Запретить доступ к дискам через Мой компьютер"
там есть несколько вариантов, но, если мне нужно, предположим с помощью политики скрыть и запретить доступ к диска e:\ и f:\ что тогда делать??? как через ГП запретить доступ к этим дискам и скрыть из "мой компьютер"???
Можно запретить и скрыть доступ из "Мой компьюетр" к дискам C,D
Конфигурация пользователя-->Административные шаблоны-->Проводник
есть 2 параметра: "Скрыть выбранные диски из окна Мой компьютер" и "Запретить доступ к дискам через Мой компьютер"
там есть несколько вариантов, но, если мне нужно, предположим с помощью политики скрыть и запретить доступ к диска e:\ и f:\ что тогда делать??? как через ГП запретить доступ к этим дискам и скрыть из "мой компьютер"???
VovaMozg
Цитата:
Что это за диски? Их в списке нет?
Добавлено:
Добавь шаблон
Будет скрытие дисков по маске.
Цитата:
Цитата:
предположим с помощью политики скрыть и запретить доступ к диска e:\ и f:\
Что это за диски? Их в списке нет?
Добавлено:
Добавь шаблон
Будет скрытие дисков по маске.
Цитата:
Пример, диск A имеет бит 1, диск С - 4, диск D - 8. Таким образом, чтобы скрыть диски A и D, нужно сложить их значения 1 (A) + 8 (D) и установить значение 9.
Список всех дисков:
A: 1, B: 2, C: 4, D: 8, E: 16, F: 32, G: 64, H: 128, I: 256, J: 512, K: 1024, L: 2048, M: 4096, N: 8192, O: 16384, P: 32768, Q: 65536, R: 131072, S: 262144, T: 524288, U: 1048576, V: 2097152, W: 4194304, X: 8388608, Y: 16777216, Z: 33554432, Все диски: 67108863
valhalla в том-то и дело, что в списке дисков для запрета они не указаны. скрыть их мне нужно потому, что такое устройство у нас в сети...
Сейчас попробую импортировать шаблон... Спасибо...
Сейчас попробую импортировать шаблон... Спасибо...
Цитата:
gap5
Спасибо за подробное разъяснение. Есть некоторые вопрсы.
Цитата:1) В групповой политике для твоих компов
Computer Configuration - Security Settings - Local Policies/User Rights Assignments - Restricted Groups, там указываешь группу BUILTIN\Administrators в members указываешь юзера\группу которого хочешь поместить в локальных админов
Это я нашел и сделал, но только в списке у меня не было BUILTIN\Administrators, были просто Administrators и я вбил вручную BUILTIN\Administrators, так пойдет?
Цитата:2) Рroperties папки вкладка security, там и выставляешь права... (перед этим ставишь галку View > Advanced Features)
Так я и не нашел о чем идет речь здесь, можно ткуть пальцем?
Цитата:Еще незабудь в политиках для домена добавить
Computer Configuration - Security Settings - Local Policies/User Rights Assignments - Add workstations to domain
Это добавил. Спасибо.
Еще вопрос, сможет ли он давать Permitions в Security на папки?
После установки, как описано, у меня юзер Administrator пропали прова, я не мог ходить по сетке, конектится к другим сервакам и т.д. Сейчас вернул все на место.
Подскажите, что не так?
Люди, помогите решить проблемку. Может где и пропустил? Есть перемещаемый профиль. для него применяется политика. В политике указано:
Конфигурация компьютера -- Административные шаблоны -- Система -- Профили пользователей
Политика: "Запретить распространение изменений в перемещаемом профиле на сервер" включена.
Но когда пользователь завершает работу появляется окно, что профиль не может быть перемещён на сервер, которое висит в течении 30 секунд.
Помогите сделать чтобы это окно не появлялось.
Добавлено:
И ещё вопрос (поиск не нашёл):
подскажите пожалуйста информацию про язык, которым пишутся файлы *.adm (как называется и синтаксис языка, где почитать...)
Конфигурация компьютера -- Административные шаблоны -- Система -- Профили пользователей
Политика: "Запретить распространение изменений в перемещаемом профиле на сервер" включена.
Но когда пользователь завершает работу появляется окно, что профиль не может быть перемещён на сервер, которое висит в течении 30 секунд.
Помогите сделать чтобы это окно не появлялось.
Добавлено:
И ещё вопрос (поиск не нашёл):
подскажите пожалуйста информацию про язык, которым пишутся файлы *.adm (как называется и синтаксис языка, где почитать...)
Подскажите, почему не появляется параметр в GP для формата даты после применения шаблона:
Взят от MS: How to Implement a Policy to Set the Date Format
Код: CLASS USER
CATEGORY !!DATE
KEYNAME "Control Panel\International"
POLICY !!ShortDateFormat
PART !!DateFormatDesc EDITTEXT REQUIRED
VALUENAME sShortDate
END PART
END POLICY
END CATEGORY ; Date
[strings]
Date="Date"
ShortDateFormat="Short Date Format"
DateFormatDesc="Please enter the date mask. For example MM/dd/yyyy"
Взят от MS: How to Implement a Policy to Set the Date Format
Код: CLASS USER
CATEGORY !!DATE
KEYNAME "Control Panel\International"
POLICY !!ShortDateFormat
PART !!DateFormatDesc EDITTEXT REQUIRED
VALUENAME sShortDate
END PART
END POLICY
END CATEGORY ; Date
[strings]
Date="Date"
ShortDateFormat="Short Date Format"
DateFormatDesc="Please enter the date mask. For example MM/dd/yyyy"
Господа такой вопрос, может знатоки посоветуют.
Надо определенной группе безопасности (test) дать права изменять системное время на локальном компе (либо любая другая политика в Local Policies/User Rights Assignment). По идее в эту группу должны будут входят только пользователи, которые включены на компах в Локальную группу Users (по умолчанию они не могут менять время)
Если я добавлю в правило в доменной политике, только эту группу (tets), то это правило, естественно, перекроет базовое локальное правило в локальной политике безопасности, в котором написано что менять время могут Админы и Павер Юзер. И естественно в результате Администраторы и Опытные пользователи не смогут менять время, а смогут менять время только те пользователи, что в заданное группе test.
Допустим Администраторов я смогу добавить в правило доменной политике к уже существующие группе безопасности (test), поскольку Администраторы есть в группе встроенных участников безопасности, а вот опытных пользователей там нету.
Как быть в таком случае? Тупо вписать Опытные пользователи, естественно, не катит. Конечно можно попробовать как вариант вписать SID опытного пользователя в {}, он везде одинаковый, но это не так красиво как хотелось был.
Может кто-то посоветует нормальное решение? Вроде задача типичная, но на форуме не нашел ответов на мой вопрос.
Заранее благодарен.
Надо определенной группе безопасности (test) дать права изменять системное время на локальном компе (либо любая другая политика в Local Policies/User Rights Assignment). По идее в эту группу должны будут входят только пользователи, которые включены на компах в Локальную группу Users (по умолчанию они не могут менять время)
Если я добавлю в правило в доменной политике, только эту группу (tets), то это правило, естественно, перекроет базовое локальное правило в локальной политике безопасности, в котором написано что менять время могут Админы и Павер Юзер. И естественно в результате Администраторы и Опытные пользователи не смогут менять время, а смогут менять время только те пользователи, что в заданное группе test.
Допустим Администраторов я смогу добавить в правило доменной политике к уже существующие группе безопасности (test), поскольку Администраторы есть в группе встроенных участников безопасности, а вот опытных пользователей там нету.
Как быть в таком случае? Тупо вписать Опытные пользователи, естественно, не катит. Конечно можно попробовать как вариант вписать SID опытного пользователя в {}, он везде одинаковый, но это не так красиво как хотелось был.
Может кто-то посоветует нормальное решение? Вроде задача типичная, но на форуме не нашел ответов на мой вопрос.
Заранее благодарен.
fedmun
На "Административных шаблонах" правой кнопкой мыши, меню Вид - Фильтрация.
Там снять галку с "Показывать только управляемые параметры политики"
На "Административных шаблонах" правой кнопкой мыши, меню Вид - Фильтрация.
Там снять галку с "Показывать только управляемые параметры политики"
FreemanRU
Цитата:
БЛАГОДЕТЕЛЬ!!!
3 часа времени убил
Цитата:
Там снять галку с "Показывать только управляемые параметры политики"
БЛАГОДЕТЕЛЬ!!!
3 часа времени убил
Страницы: 12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565758596061626364656667686970717273747576
Предыдущая тема: Шарю по net share: Системная ошибка 5. Отказано в доступе
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.