» Групповые политики (Group Policy, GPO): документация, ссылки

alexhirurg

Цитата:

но она не применяется применяется для членов группы только та что на департамент, где юзверь

Переведи эту фразу на русский язык.

А вообще так: в настройках Безопасности для политику удаляешь "Прошедших проверку", добавляешь нужную группу и ставишь право "Применять политики". Всё, после этого политика будет применятся только на тех, кто в эту группу входит.

Миссия: убить мэйл-агент (www.agent.mail.ru).
Как делаю:
1. Создаю OU "тест". Загоняю туда юзера "тест".
2. В групповых политиках "конф. пользователя => адм. шаблоны => система => не запускать указанные приложения Виндоуз"
3. Вбиваю туда mra.exe и magent.exe
4. Захожу на доменную машинку под пользователем "тест"

Итог, как и понятно, - всё работает.

1. Права на чтение ГП у группы, в которую входит этот юзер, есть.
2. ГП обновлял
3. Машину перегружал

Booklet

Цитата:

mra.exe и magent.exe

RSoP прогонял? Политики реально применяются?

Booklet
Посмотрите вот эту и вот эту статьи.

FreemanRU
Перевожу хотел сделать такой финт - разделить группы и пользователей в разные оу, т.к. группы содержат пользователей со всего леса, они соттветственно все в разных оу, а политика должна применятся к группе, вот и получается что кроме как выносить все политики для групп на верхний уровень (на весь офис, где все оу, в которых сами пользователи) и разделять только назначением прав...

У меня сервер 2003 r2
доменная структура
клиенты домена переодически конектятся терминалом (для работы с доками и 1с на сервере)
Подскажите , как мне сделать чтобы было невозможно подключить в терминал локальные диски, даже если в свойствах подключения к удалённому рабочему столу на комьютере клиента выставить подключать локальные диски.
Либо чтобы даже если локальные диски подключатся, не было возможности копиовать информацию с дисков сервера на подключеные локальные диски

Цитата:

Booklet
Посмотрите вот эту и вот эту статьи.

То есть нужно создать группу безопасности и кидать юзеров туда что ли?

По второй статье понял, в чём косяк. У меня Винда 2000 сервер.

Вопрос такой:

- есть групповая политика домена
- есть пользователи которые входят в домен как пользователи и также являются локальными администраторами

проблема в том что групповая политика не действует на локальных администраторов в районе сетевого окружения, отключаю все в политике но все равно доступ к изменению сети у них есть.

Macclaud
gpupdate /force на контроллере и компе делал ?

Macclaud
А что пресловутый rsop.msc показывает? Security filtering настроено правильно? Есть права чтения у пользователей?

Товарищи профессионалы, помогите пожалуйста ламеру..... Неделю бъюся и ничего не получается... Есть adm- файл. В нем прописано добавление ветки в реестр. В групповых политиках на сервере создал группу, добавил в эту группу пользователя и его комп. Затем на эту группу открыл GPO и в административные шаблоны добавил свой xxx.adm файлик... Чего сделать дальше что бы этот файлик применялся на клиентских компах?

Только не посылайте в поиск. Времени просто нету там ковыряться....

В домене групповой политикой для юзеров определен адрес и порт прокси для IE. Все работает как надо на всех машинах кроме двух. На них настройки не применяются и вручную прописать прокси невозможно: поля неактивны. Как можно это исправить?

blinking99
анализируй журнал событий и rsop.msc

blinking99
C административным шаблоном Internet Explorer Maintainance можно попробовать исправить вот это. Проверьте также, что политики IE работают не в режиме preference mode (хотя фактически этот режим лишь разрешает пользователям подлаживать настройки под себя...). Кстати, имейте в виду вот эту проблему с задержкой, если вы применяете шаблон для IE7. Судя по тому, что у вас неактивно редактирование, у вас просто перекрываестя применение политик. Политики применяются в порядке локальная<сайт<домен<[контроллер домена]<подразделение<вложенное подразделение. Так что самая мощная полика, та, которая во вложенном подразделении и она перекроет все остальные политики, если на них не стоит блокировка перекрытия. Попробуйте включить журналирование применения групповых политик. Попробуйте включить журнал отладки пользовательского окружения и выполните следующие проверки. Помимо оснастки RSOP рекомендую воспольоваться еще и Microsoft Group Policy Diagnostic Best Practice Analyzer. Подробнее о разрешении проблем с результирующей политикой. О том, как интерпретировать записи журнала отладки читайте здесь. Подробнее о разрешении проблем с политиками читайте в этом документе.
Вот еще одна полезная статья.

подскажите,
как через AD юзерам сетевой диск добавить

Кто нибудь знает как из exe сделать msi ну или как развернуть .exe через GP.А то ну очень не хочется оббегать 110 компов...

Цитата:

подскажите,
как через AD юзерам сетевой диск добавить

Например, сценарием при логоне.
Только начни с удаления принтеров, а потом уже добавление.

Добавлено:
Dr0nskiy
Я могу ошибаться, но вроде как конвертировать ЕХЕ в MSI низзя. А способы распространения ПО в домене уже описаны, - я лучше не опишу. Поищите через "карту"

Такая вот проблема:
есть домен Вин2003 Active Directory, вместе с ним Днс , все работает....
в домене 20 машин ВИН ХР.....профили перемещаемые ,с правами доступа к папке
профилей тоже все нормально? профиль перемещаеться коректно...
проблема в следуешем , необходимо с помошью административных шаблонов перенаправить папку мои документы , однако не тут то было папка не перенаправляеться в логах как на сервере так и на раб.станциях тишина,
причем характено что какие бы настройки не ставил для перенаправления сохраняеться либо "не задано" либо "Создать папку на корневом пути"...и путь к хоум дир....
Политика привязана к контейнеру содержащему всех юзверей домена...
Обход перекресной проверки включен.все как микрософт просит...
В чем может юыть проблема?????? Заранее Пасибо....

Добавлено:
Да кое что забыл
Юзвери домена , на каждой машине в группе администраторов записаны....
По умолчанию были в пользователях...

Как запретить для конкретного пользователя многократный одновременный вход с разных компьютеров)?

ildar

Цитата:

Как запретить для конкретного пользователя многократный одновременный вход с разных компьютеров)?

Вообще говоря, это уже обсуждалось, но, почему бы и не повторить.

Цитата:

We are happy to announce the availability of LimitLogin v1.0, an application that adds the ability to limit concurrent interactive user logons in an Active Directory domain. It can also keep track of all logins information in Active Directory domains (without necessarily enforcing logons quotas).

Добавлено:
Gusev Artem

Цитата:

проблема в следуешем , необходимо с помошью административных шаблонов перенаправить папку мои документы , однако не тут то было папка не перенаправляеться в логах как на сервере так и на раб.станциях тишина,

Попробуйте сперва включить журналирование перенаправления папок. Для этого создайте параметр FdeployDebugLevel типа DWORD со сзначением 0x0f (hex) в ветке

Код: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Diagnostics

народ!
подскажите как через гпо все пользователям назначить обои на рабочий стол?
хочется от своей службы ИТ всем новогоднии обои поставить

north_crow
Скорее всего так:
User Config - Admin Templates - Desktop - Active Desktop - Active Desktop Wallpaper

а еще менять их рандомно - так еще лучше (хотя бы раз в день). мож кто знает такое?

snayper7
А тут уже батник состряпать нужно и в стартовый скрипт засунуть

Где можно скачать описание структуры .adm файлов на русском языке ?

Подскажите пожалуйста, что делать.
Ситуация:
Домен 100 машин.
Групповая политика с одним скриптом, который запускается при логоффе.
Скрипт - батник.
Задача скрипта - записывать в файл время логоффа.

Проблема: Скрипт запускается от имени пользователя, который не имеет прав доступа к каталогу отчёта (и иметь не должен). Как запустить скрипт от имени системы при логоффе?

Заранее спасибо и извиняюсь за детский вопрос.

удалено

Проблема возникла!
NOD не убновляется у пользователейбу которых юзеровские права.Есть ли дать админовские то норма.Вот я же не могу из-за антивируса всем дать админовские права.Так можно что-то делать при помощи GPO или есть какие нидудь варианты?
Спасибо заранее

InsideTM
А если соответствующую политику активировать: конфигурация компьютера->параметры безопастности-> локальная политика-> политика аудита-> аудит входа в систему.(Данная политика ведет аудит не только входа, но и выхода из системы)
Мож тогда и не надо ни какого батника писать.

IMHO под одним юзером ты батник ни как не заставишь от имени системы запускаться, если б это можно было тогда юзер мог бы запускать любые приложения от имени системы.

А если запустить через runas, с правами пользователя имеющими право записи в папку?