» Групповые политики (Group Policy, GPO): документация, ссылки

Ну поставил я домен на Win2003 Server, ну создал доменных юзеров, ну логинятся они нормально с рабочих станций.
Но попытался сделать групповые политики, как написано в статье - ниче не работает. Т.е. есть домен DOMAIN, создаю в нем OU testers, там создаю групповую политику, конфигурирую как надо. Затем создаю в этом OU пользователя, но когда логинюсь под ним с рабочей станции, нифига эта групповая политика не применяется.

И еще. Загрузка доменным пользователем длительностью 5 мин - это норма? Контроллер вроде не слабоват - 2.5 ГГц, ОЗУ 512 Мб.

Добавлено:
А на самом контроллере домена захожу под админом, пытаюсь зайти в свойства компьютера, сети, десктопа,... - пишет, что нельзя, т.к. на этом компе включены ограничения. Свяжитесь с администратором (со мной то бишь). Это называется - свежеустановленный Win2003 Server.
Пошукал в локальных групповых политиках, в Domain Security Policy - везде все Not Configured.

Добавлено:
Я даже в Default Domain Policy сконфигурировал, к примеру, чтобы юзеры не имели доступ к панели управления - рабочие станции кладут на этот запрет - доменные юзеры свободно ходят в панель управления.

а политики применять для юзеров поставил?

Где? Я делал все по статье, там про это ничего нет. Написано, что политики применяются к тем юзерам и компам, которые находятся в том же OU, для которого создан GPO.

Не устанавливается программа в виде MSI созданного в VS2005 через политики (применяется на компьютер) на некоторых компьютерах. При этом в событиях ошибки 101, 103, 108, 1085 выдает, о том, что файл недоступен. Хотя он доступен по сети, если его открывать вручную. У пользователя локальные права администратора, пробовал и под админом домена заходить на комп, не помогает. На многих компьютерах - все ставится без проблем. Сетевые настройки по DHCP всем одинаковые. Как исправить можно?
Другие параметры политик применяются на всех компьютерах.

Подскажите возможно ли запретить "пользователю удаленного рабочего стола" или обычному юзеру использовать интернет на машине с сервером 2003?

На машине установлен Windows Server 2003 R2 и используется под 1Ску, всем кроме админа надо отрубить инет но ессно с возможностью доступа к локальной сети. Книженцию по администрированию 2003 прикупил, но за пол дня беглого изучения так и не добрался до истины а проблемку желательно решить быстрее.

Цитата:

Цитата:gap5
Спасибо за подробное разъяснение. Есть некоторые вопрсы.


Цитата:1) В групповой политике для твоих компов
Computer Configuration - Security Settings - Local Policies/User Rights Assignments - Restricted Groups, там указываешь группу BUILTIN\Administrators в members указываешь юзера\группу которого хочешь поместить в локальных админов

Это я нашел и сделал, но только в списке у меня не было BUILTIN\Administrators, были просто Administrators и я вбил вручную BUILTIN\Administrators, так пойдет?

Цитата:2) Рroperties папки вкладка security, там и выставляешь права... (перед этим ставишь галку View > Advanced Features)

Так я и не нашел о чем идет речь здесь, можно ткуть пальцем?

Цитата:Еще незабудь в политиках для домена добавить
Computer Configuration - Security Settings - Local Policies/User Rights Assignments - Add workstations to domain

Это добавил. Спасибо.
Еще вопрос, сможет ли он давать Permitions в Security на папки?


После установки, как описано, у меня юзер Administrator пропали прова, я не мог ходить по сетке, конектится к другим сервакам и т.д. Сейчас вернул все на место.
Подскажите, что не так?

????

Цитата:

Где? Я делал все по статье, там про это ничего нет. Написано, что политики применяются к тем юзерам и компам, которые находятся в том же OU, для которого создан GPO.

Проблема не решена.

Доигрался с настройками до того что у всех кроме админов нет инета как вернуть?

з.ы. мнеб еще ссылочку на русификацию GPOE -> там не все пункты русифицировались после МУИ

Цитата:

Но попытался сделать групповые политики, как написано в статье - ниче не работает.

Проблема решена. Если кому понадобится (в статье по GPO об этом не написано) - причина была в том, что на клиентах не был прописан адрес DNS-сервера в настройках сети (в моем случае он совпадает с адресом самого контроллера домена). После прописки ДНС групповые политики стали применяться.

Влияют ли настройки безопасности в AD на локальных пользователей машин, входящих в домен?
Ситуевина такая: на всех станциях до включения в домен был локальный пользователь с пустым паролем. Позже все машины были включены в домен, в настройках которого указано, что минимальная длина пароля - 6 символов. После включения в домен на клиентских машинах все еще можно заходить под тем локальным пользователем без пароля, но когда я под локальным админом пытаюсь что-то изменить с этим пользователем, скажем, перекинуть из Пользоватлей в Опытные Пользователи, то система ругается и говорит, что он не соответсвует некоторым пунктам безопасности. Хотя после этого опять под ним можно логиниться без пароля. Вот такое вот противоречие...

Конечно влияют... В Defaul Domain Policy стоят настройки которые применяются для всех машин домена. Там поменяй..

Во, еще непонятность.
В групповых политиках доменных юзеров в User Configuration -> Windows Settings -> Folder Redirection -> My Documents -> Properties я выбрал "Advanced - Specify locations for various user groups" и указал путь к сетевой домашней папке \\file_server\root\%USERNAME%\My Documents.
Все работает, документы юзеров хранятся на файл-сервере, и доступны с любой другой машины, как будто он на ней и работал.
НО: по сети все юзеры могут ходить в эту шару на файл-сервере и заходить в чужие папки!!!
Где разрешить доступ только к своей папке? В Свойствах самой папки на файл-сервере пробовал с пермишнами, ничего не вышло - либо все закрыто (в том числе своя папка), либо все открыто.

Еще по ходу - можно ли сделать так, чтобы документы сохранялись в локальной папке компа Мои Документы, но и резервно копировались на файл-сервер?

Добавлено:
Первый вопрос отменяется - на том томе, который я решил использовать под домашние папки, стоит FAT32 Не заметил сразу.
Второй вопрос в силе - несмотря на удобство файл-сервера, не хотелось бы полагаться на его надежность (RAID сделать возможности нет), поэтому хотелось бы автоматически резервировать документы локально.

Fulkabaster
Есть фича Offline Files, но вот насколько адекватно она работает - это вопрос.

Например:

Если клиент и сервер какое-то время не общались и на клиенте удалились определенные файлы. Например по ошибке (крах FAT или еще что ни будь), тут он подключается к серверу - и? Что случится с файлами?

Если клиент пытается сохранить файлы которые запрещены скринингом (по расширению например) - что скажет сервер? Пошлет или просто не будет синхронизировать запрещенные расширения? Актуально если юзер хранит в папке "Мои Документы" музыку, и видео - а бэкапить хотелось бы только документы.

Fulkabaster


Цитата:

Еще по ходу - можно ли сделать так, чтобы документы сохранялись в локальной папке компа Мои Документы, но и резервно копировались на файл-сервер?

Сделай папку доступной автономно а в ГП выставь в
Конфигураци Пользователя -- Административные шаблоны -- Сеть -- Автономные файлы
(в англицкой версии смотри как называется)
выставь синхронизацию автономных файлов...

Сори сразу если не здесь....
Трабл: Есть комп в WinXP с запароленной уч. записью в домене, точнее был...
Его забрали из домена и засунули в раб. группу другой сети. А как его "присоединить" к этой раб. группе, чтоб уч. запись сохранилась со всеми настройками, т.к. она важна? Банальная идентификация со сменой на рабочую группу не дает войти в учетную запись... Эх... =)
Пасиб.

Ufolog
Создай локального пользователя с таким же именем и паролем. Зайди под ним один раз. Скопируй профиль из доменного в локальный.

Nand
Мое почтение! Как сделаю, обязательно отпишусь... =)

Nand
Спасибо, все получилось быстро и без гимора со стороны банк-клиента и 1С программ.

Как настроить WinXP, чтобы при входе в домен на окошке приглашения (где вводят логин/парол/домен) не отображалось имя последнего грузившегося с даной машины юзера? Или это не в групповых политиках настраивается?

И еще: на днях вперве увидел Висту, ее надо было включить в домен. Включил, но у нее другой интерфейс входа в домен, имхо, корявый. Можно ли сделать, чтобы Виста выдавала такое же стандартное окошко, как XP?

Fulkabaster

Цитата:

Как настроить WinXP, чтобы при входе в домен на окошке приглашения (где вводят логин/парол/домен) не отображалось имя последнего грузившегося с даной машины юзера? Или это не в групповых политиках настраивается?

Computer Configuration\Windows Settings\Local Policies\Security Options\Interactive logon: Do not display last user name

день добрый.
есть windows 2003, в нём terminal server. вопрос в следующем:
1. можно ли скрыть пункт меню: пуск/программы/автозагрузка или какое другое меню например outlook express или блокнот?
2. можно ли пользователям запретить создавать папки на рабочем столе?

если можно то как? вроде перерыл все политики, а ничего похожего не нашёл

АЙ!!!
После установки ISA Server 2000 (а также SP1 и FP1 к нему), нет доступа к групповым политикам!! (ISA поставил на контроллер домена).
При входе на вкладку Group Policy в свойствах любого OU выдает вот че:

==================================================

The domain controller for Group Policy operations is not available. You may cancel this operation for this session or retry using one of the following domain controller choices:
- The one with the Operations Master token for the PDC emulator
- The one used by the Active Directory Snap-ins
- Use any available domain controller

OK CANCEL

==================================================


Причем при выборе любого из трех вариантов пишет Failed to find domain controller.

Удалил ISA Server, а глюк остался (хотя может и не связан он с ISA, а просто совпало?)
Как восстановить доступ к групповым политикам?

Добавлено:
Решено, да не совсем.
Для нормальной работы ИСЫ отключал Client for Microsoft Networks и Printer & File sharing в свойствах внешнего интерфейса. Когда включил опять - групповые политики стали доступны.

Теперь осталось сообразить, так ли опасно оставлять эти галочки для рабочей ИСЫ?

Два вопроса по "Политикам ограниченного использования программ" (WinXP SP2 PRO, локально):
1. Можно ли отменить применение этих политик не только для локальных администраторов, но и для произвольных пользователей?
2. Запрешщенное пользователю к запуску приложение не открывается от имени администратора, под администратором запускается. Это нормально? Можно ли обойти?
Благодарю за ответы.

Не удаётся сохранить изменения.
Компьютер в домене, XP (SP2), захожу админом, в домене тоже права админ.
Компьютер с ХР не виден другими компьютерами, изменяю в Групповых политиках настройку: "Доступ к компьютеру из сети" - ВСЕ, перезагружаюсь, а настройка не сохраняется, снова приходится вбивать - ВСЕ...
Подскажите чё не так?

Я делаю перенаправление Desktop на файл-сервер, при этом перенаправляются только файлы и папки, находящиеся на рабочем столе. Как сделать, чтобы и рисунок рабочего стола хранился на файл-сервере и появлялся на столе у юзера независимо с какой машины он зашел?
Еще поясните плз, для чего нужно перенаправление папок Application Data и Start Menu.

коллеги!
у меня вот такая проблема как в этой теме http://forum.ru-board.com/topic.cgi?forum=8&bm=1&topic=16722

можно ли с помощью ГПО выставить права юзеру на его профиль?

Помогоите решить проблему: нужно, чтобы групповая политика применялась только к компьютерам недавно добавленным в домен. Компьютеры раскидал по OU, хотел добавить политику к контейнеру computers (т.к. туда добавляются новые компы), но оказалось, что этого сделать нельзя. Есть у кого-нибуть мысли по этому поводу?

Добрый день, господа администраторы!
У меня такая проблема, надо запретить пользователю выход по аське, но как сделать это средствами AD никак не соображу.
В кратце о пользователе:
Работает на терминале под управлением Windows Server 2003.
Шлюз в интернет ISA Server 2006
Клиент ICQ Miranda.
Надо сделать так, чтобы она не могла выходить только во внешнюю аську (в миранде еще присутствует плагин внутренней ICQ).
Испробовал все (что знал) не помогает.
- Запрет на ИСЕ по имени пользователя не помогает, т.к. аська коннектиться не по прокси, а на прямую из под пользователя Anonimous.
- Переводить все аськи на прокси тоже не пойдет, компов в сети порядка 300, придется всех обойти и руками выставить.
- Запрет на ИСЕ по ИП тоже не пойдет, т.к. там много юзеров которым нужна аська.
- Удалить плагин аьски тоже не вариант, ибо его юзают другие.
- Запретить средствами AD хеш миранды тоже не вариант, релизов много, везде хеши разные да и к тому же она ей нужна для внутренней аськи.

Какие есть еще варианты? Помогите плиз.

Народ, кто-нибудь знает как побороть такую проблему, не хочет работать результирующая политика с удаленного компа, через админпак Active Directory - пользователи и компьютеры... что делаю, выбираю домен - все задачи - результирующая политика (Планирование), нажимую далее и тут проблема - в строке "выполнить эмуляцию на этом контроллере домена" ничего нет, а если нажать на кнопку обзор, то выскакивает окно "Ошибка групповой политики" у вас нет разрешения на выполнение этой операции, а в сведеньях - Отказано в доступе.

Не пойму в чем проблема, залогинен под администраторской учеткой на windows XP SP2, а DC Windows 2003 SP2...

Вопрос такого плана: прописал в gp пермишины на определённую ветку реестра доменным пользователям. В итоге ничего не появляется на клиентах. gpresult говорит что политика применена, переодически на своей машине вижу что пермишины появляются, но только почему то крайне редко (спец-но удалляю их что бы мониторить).. Собственно чем ещё посмотреть почему не применяются соот-е сеттингсы? Или может что ещё недоделываю?