» Групповые политики (Group Policy, GPO): документация, ссылки

Lykym
1. Речь о логоффе.
2. а куда информация сыпаться будет? В евент лог? Скрипт написан чтобы смотрели люди, которые лазить по чужим евентлогам не будут.
Diadema
Типа сделать батник в батнике? Можно, но хочется изящней в данном случае. Пока пишется в спец папку, но это бардак )

InsideTM

Цитата:

Речь о логоффе.

Цитата:

(Данная политика ведет аудит не только входа, но и выхода из системы)

Об этом и речь идет. Писаться будет в журнал безопасности, на той машине к которой политика будет применяться.

Добавлено:
Diadema

Цитата:

А если запустить через runas,

Это ка такое можно применить к скрипту который выполняется при выходе пользователя из системы .

InsideTM

Цитата:

Типа сделать батник в батнике? Можно, но хочется изящней в данном случае. Пока пишется в спец папку, но это бардак )

Если как то там и прописать в батнике, то любой юзер сможет просмотреть скрипты в папке sysvol на контроллере и без проблем узнать пароль админа, т.е. от кого будет запущен батник runas.

Lykym
Журнал безопасности не вариант. По причинам, которые я указал выше.

А по поводу батника в батнике. Можно завести отдельно юзера с правами на конкретный каталог, это не нарушит безопасность и не создаст бардака, но всё же ищется что-то более изящное.

InsideTM
можно попробовать RunIt as. Taм , по крайней мере, пароль не видно.

InsideTM


Цитата:

Проблема: Скрипт запускается от имени пользователя, который не имеет прав доступа к каталогу отчёта (и иметь не должен). Как запустить скрипт от имени системы при логоффе?

Тогда разреши ему писать в этот каталог, а читать не разрешай, при помощи Ntfs так сделать можно, щас нет возможности проверить как это будет работать, но атрибуты у папки такие установить можно.

По поводу запуска с админскми правами. Может кому-то поможет такая информация. У команды runas есть ключ /savecred с помощью которого можно один раз запустить приложения от имени админа (при этом надо ввести один раз пароль админа). При последующем таком запуске приложение будет автоматически запускать от имени админа, без ввода пароля. Т.е. в батнике пишем
runas /user:Administrator@domain /savecred c:\app.exe
и все.

Mushroomer

Цитата:

runas есть ключ /savecred

вообщем-то - да. этакая палочка-выручалочка, но (имхо) - на крайний случай, в подавляющем числе опять же - имхо лучше, надежней и практичней задача решается грамотной раздачей разрешений, что на файловую систему, так и на ветки реестра.

Lykym
Тут наверно частично сыграло роль моя криворукость. Сегодня проверю. Но ведь я могу разрешить доступ на конкретную папку, не разрешая доступ на предыдущее дерево? Или там всё равно листинг надо будет ставить?
Просто папка лежит в структуре папки общим размером 2ТБ. Пока там выставятся разрешения на что угодно я помру ), но это глюк моего мозга. Наверно же можно на конкретную выставлять... надо проверить.

5555555
То есть я могу запустить с этим ключом на своей машине и на всех остальных доменных всё будет ок? Или я на все 100 машин один раз дожен вбить пасс?

slavpa
Оригинально Гляну обязательно, если не поможет предыдущий вариант. Я стараюсь не юазть доп софт, если можно избежать этого встроенными средствами винды

InsideTM

Цитата:

на все 100 машин

а я не знаю . как писал, исключительно редко применял, теперь вообще не применяю. и подозреваю, что - на все 100

Цитата:

можно на конкретную выставлять

а вот это правильное направление.

ALL
мучают сомнения по поводу правильности создания и подключения GPO.
Я делал так:
1. Создал объект групповой политики OU2
2. Создал группу Users2 как подраздел этого объекта
3. В свойствах OU2 (закладка "групповая политика") создал новый объект групповой политики.
4. Нажал кнопку "редактировать", там нашел "Перенаправление папок" и начал их настраивать.
5. В процессе настройки выяснилось что там надо указывать группу с которой будет работать это перенаправление. Указал Users2.
6. Добавил к списку групп, в которые включен тестовый пользователь, группу Users2.
7. На другом компе попытался войти тестовым пользователем и убедился что ничего не работает.
8. Зашел в свойства домена.
9. В свойствах (закладка "групповая политика") уже есть объект дефолтовой групповой политики.
10. Повторил все с п.4 по п.7. Так же ничего не работает.
11. Зашел в свойства домена (закладка "Безопасность") и добавил туда группу User2, наделив ее всеми правами (их там - безмерно). Убрал только одну галку - "запись".
12. Повторил п.7 - Все заработало
13. В свойствах OU2 (закладка "групповая политика") удалил созданный объект групповой политики.
14. Сейчас думаю может и OU2 теперь не нужен? Пересоздать эту группу User2 как обычную группу и все? Я то ее в OU запихнул потому что у простой группы нет закладки "Групповая политика", а жаль

В общем вопрос такой:
Я хочу создать независимый(непривязанный ни к чему) объект групповой политики с одним единственным правилом (или несколькими, которые я считаю возможным сгруппировать в одном объекте).
А затем этот объект привязать к нужной группе или пользователю.
Как я понял, "Перенаправление папок" - нетипичный пример, т.к. тут группы(пользователи) задаются внутри конкретной настройки объекта ГП.

Как правильно (по шагам) реализовать задуманное?
Т.е. надо создать независимый объект ГП, в котором 1 правило.
Или я был очень близок к истине, выполняя п.1 - п.6 ???

Добавлено:
Вот ща поставил Group Policy Management Console и все вроде встало на свои места.
В папочке Group Policy Objects создаю свою Policy и в ее закладочке "Delegation" выставляю на группу или пользователя на кого эта политика распостраняется.
Как это нормально сделать в стандартной "Active Directory - пользователи и компьютеры" - до сих пор в непонятках

InsideTM

Цитата:

Или я на все 100 машин один раз дожен вбить пасс?

IMHO придется бегать, если профиль у юзера не перемещаемый, мне кажется это работает также как и запомнить пароль на шару, т.е. пароль храниться гдето в профиле пользователя.


Цитата:

можно попробовать RunIt as

Примерно тоже самое придется бегать, насколько я понял после того как установил сей софт,
чтоб все заработало эту утилиту надо ставить на всех машинах.


Цитата:

Но ведь я могу разрешить доступ на конкретную папку, не разрешая доступ на предыдущее дерево? Или там всё равно листинг надо будет ставить?

Сделай шару и кидай файл через шару, если не нравиться то можно побаловаться жесткими ссылками - hardlink, если встроенных средств не хватает могу посоветовать утилиту Junction от Sysinternals.





Добавлено:
mozers
Создаешь OU, пихаешь туда компы и юзеров, в свойствах OU выбираешь политику, если требуемой нет, то там же создаешь новую политику, заходишь в свойства политики и настаиваешь. Политика не применяется к группе, она применяется к юзерам и компам. Группа нужна для разграничения прав, но если ты запретишь группе читать и выполнять данную политику тогда к юзерам которые в нее входят политика не примениться.

Рано обрадовался. Как выяснилось, с Group Policy Management Console все только удобно и красиво создается и подключается. Только не работает
Поэтому вопрос, заданный на предыдущей странице "Как правильно (по шагам) создать независимый Объект групповой политики, с единственным правилом и правильно привязать его к существующей группе/пользователю?" до сих пор - в силе.

Добавлено:
Lykym
Цитата:

Создаешь OU, пихаешь туда компы и юзеров

Создал OU. Назавал Rule1. Переместил туда пользователя из Users. Все.
Теперь я думаю создать еще OU Rule2 так откуда я пользователя возьму? (так то он - либо в Users, либо в Rule1, либо в Rule2...)
(Мне надо чтобы на пользователя действовало и Rule1 и Rule2 и Rule3...)

Добавлено:
И таким макаром, кстати, объект групповой политики создается не там где нужно (в Group Policy Management Console это ясно видно) а именно не внутри Croup Policy Object, как все остальные политики, а прямо в корне домена. Хотя, может быть это не так страшно...

Цитата:

Создал OU. Назавал Rule1. Переместил туда пользователя из Users. Все.
Теперь я думаю создать еще OU Rule2 так откуда я пользователя возьму? (так то он - либо в Users, либо в Rule1, либо в Rule2...)

А задать одной OU несколько политик вера не позволяет?

Lykym
Да дело не в вере... Не понимаю я! Ведь сколько политик там не задай, все они будут выполнятся для этого OU. А я то хочу иметь возможность задать для любого пользователя или группы любой набор политик!
Т.е. например чтобы для пользователя Иванов задать Политику1.
для пользователя Петров задать Политику1 и Политику2.
для пользователя Сидоров задать Политику2 и Политику3.
ну и т.д....

Всяко пробовал твой вариант. Работает только если в закладке OU "Безопасность" добавить пользователя включенного в этот OU.
Если в OU добавить группу, то вообще для членов этой группы никакого эффекта нет

Та же самая установка что в моем Policy1 (для примера удаляю иконку Корзины с Рабочего стола) без всяких проблем выполняется будучи заданной в Default Domain Policy. Но, увы, для всех
И в любом случае в Event Log после использования gpupdate /force все чисто...

mozers

Цитата:

Т.е. например чтобы для пользователя Иванов задать Политику1.
для пользователя Петров задать Политику1 и Политику2.
для пользователя Сидоров задать Политику2 и Политику3.
ну и т.д....

В свойствах Политики 1 на закладке Security добавить пользователя Иванов и поставить галочку Apply Group Policy
В свойствах Политики 1 на закладке Security добавить пользователя Петров и поставить галочку Apply Group Policy
В свойствах Политики 2 на закладке Security добавить пользователя Петров и поставить галочку Apply Group Policy
В свойствах Политики 2 на закладке Security добавить пользователя Сидоров и поставить галочку Apply Group Policy
В свойствах Политики 3 на закладке Security добавить пользователя Сидоров и поставить галочку Apply Group Policy
ну и т.д....

Vby
Ща увы нет AD под рукой чтоб проверить
Но все таки несколько уточнений:
1. В свойствах Политики или в свойствах OU в которую входят эти политики???
(наверное в свойства Security OU надо добавлять всех троих, а в свойствах конкретной Политики только того, кого нужно?)
2. По умолчанию в свойствах Security Политики и OU уже торчат разные группы и пользователи, среди которых самые интересные "Прошедшие проверку". Что делать с ними???
3. И галочку Apply Group Policy я что то вспомнить не могу Там же, наскокаяпомню у каждого пользователя/группы - туча галок на самые различные права... Ладно, завтра найду наверное...

mozers
Рекомендую прочитать вот эту статью. Тут вкратце о том, как связать объект GPO c OU, как назначить фильтрацию безопасности, какова иерархия и приритеты применения объектов GPO к объектам Active Directory, как заблокировать применение политики для определенного уровня (пользователя), как форсировать применение политики.
Более конкретно по точной настройке фильтрации GPO можно прочитать здесь. Пошаговая процедура.
Вот вкратце список того, что рекомендуется делать, создавая и назначая объекты групповой политики.

Насчет группы Прошедшие проверку и что с ней делать:

Цитата:

When restricting the application of a GPO, be sure to remove Authenticated Users. Otherwise all users will always be affected by the GPO.

Computers are members of the Authenticated Users group. If you remove Authenticated Users from the list on the Scope tab and you want the GPO to apply to a computer, you must specifically ensure that the computer belongs to a group that is included in the Security Filtering section on the Scope tab

TCPIP
Спасибо за ссылки. Изучаю...
Цитата:

При ограничении приложения ПОЧТАМТА, убедитесь, что удалили Заверенных Пользователей. Иначе всех пользователей будет всегда затрагивать ПОЧТАМТ.

Компьютеры - члены Заверенных Групп пользователей. Если Вы удаляете Заверенных Пользователей из списка на позиции табуляции Scope, и Вы хотите, чтобы ПОЧТАМТ обратился к компьютеру, Вы должны определенно гарантировать, что компьютер принадлежит группе, которая включена в Защиту, фильтрующую раздел по позиции табуляции Scope

В общем - понятно Если бы было еще понятней, то я задавал бы свои вопросы в каком нить англоязычном форуме...

И все таки что КОНКРЕТНО я делаю неправильно ???
1. Создаю OU
2. OU - "Свойства" - "Групповая политика" - "Создать" потом на нем - "Изменить"
3. Устанавливаю в этом OGP - "Remome Recycle Bin icon on the desktop". Закрываю.
4. OU - "Свойства" - "Групповая политика" на этом OGP - "Свойства" - закладка "Безопасность": Удаляю "Прошедшие проверку", добавляю пользователя test@domen-name.ru.
5. OU - "Свойства" - закладка "Безопасность": Удаляю "Прошедшие проверку", добавляю пользователя test@domen-name.ru.
ВСЕ.
На компе пользователя test запускаю gpupdate /force и не вижу никаких изменений ((

mozers
Простите, но
1) пользователь, к которому должна применяется эта политика внесен в OU, к которому прилинкована политика?
2) Зачем вы так активно изменяете безопасность групповой политики? "Прошедшие проверку" - это означает, что политика будет применяться ко всем пользователям, внесенным в это OU.
ИМХО, изменять безопасность объектов групповой политик нужно в том случае, если нужно к нескольким пользователям/компьютерам входящим в определенное OU применить политику, которая не должна применяться к остальным пользователям/компьютерам входящим в OU.

Добавлено:
Попробуйте по шагам:
1. Создаю OU
2. OU - "Свойства" - "Групповая политика" - "Создать" потом на нем - "Изменить"
3. Устанавливаю в этом OGP - "Remome Recycle Bin icon on the desktop" в положение "Enabled". Закрываю.
4. Вношу пользователя в OU.
5. На компе пользователя test запускаю gpupdate /force
6. Выхожу пользователем из системы, вхожу снова.

RoDeZiya

Цитата:

Попробуйте по шагам:
1. Создаю OU
2. OU - "Свойства" - "Групповая политика" - "Создать" потом на нем - "Изменить"
3. Устанавливаю в этом OGP - "Remome Recycle Bin icon on the desktop" в положение "Enabled". Закрываю.
4. Вношу пользователя в OU.
5. На компе пользователя test запускаю gpupdate /force
6. Выхожу пользователем из системы, вхожу снова.

Отлично! ТАК все работает, НО ТОЛЬКО для пользователя. Если вместо пользователя в OU вставить группу в которую входит этот пользователь, то ничего не работает

Созданную политику менять НЕ ЖЕЛАЮ (Поскольку хочу ее использовать время от времени, засовывая в нее различные группы и пользователей).
Поэтому создаю новую:
1. Создаю OU2
2. OU2 - "Свойства" - "Групповая политика" - "Создать" потом на нем - "Изменить"
3. Устанавливаю в этом OGP - "Remome My Computer icon on the desktop" в положение "Enabled". Закрываю.
4. Вношу пользователя в OU2...
КАК??? Он же у меня уже занят в первом OU!

Я, наверное, безнадежно туп ((

mozers
вместо OU2 создаешь вторую политику в OU1
для тех пользователей, которым она не нужна, запрещаешь чтение и применение второй политики во вкладке Безопасность свойств политики.

Еще в шапке есть:
КАК применить политику именно к нужной группе? (GPO) [?]

mozers
Зачем по твоему нужны OU, зачем нужны различные группы?


Цитата:

Если вместо пользователя в OU вставить группу в которую входит этот пользователь, то ничего не работает

Политика не применяется к группе, она применяется к юзерам и компам.
Напиши четко и подробно что ты хочешь,а народ попробует тебе помочь, а то один флуд и не боле.

mozers
Цитата:

Созданную политику менять НЕ ЖЕЛАЮ (Поскольку хочу ее использовать время от времени, засовывая в нее различные группы и пользователей).
Поэтому создаю новую:
1. Создаю OU2
2. OU2 - "Свойства" - "Групповая политика" - "Создать" потом на нем - "Изменить"
3. Устанавливаю в этом OGP - "Remome My Computer icon on the desktop" в положение "Enabled". Закрываю.
4. Вношу пользователя в OU2...
КАК??? Он же у меня уже занят в первом OU!

Дак это-же банально!
OU - "Свойства" - "Групповая политика" - "Добавить" и из списка существующих политик выбираешь те, которые хочешь прилинковать к OU. Все.
Таким образом можно к одному OU применять политики из других. И не надо пользователя таскать из одного OU в другое.

у меня русская prof xp
Создал adm файл(в первый раз), но не вижу его в политике. Подскажите, где ошибка?

CLASS USER

CATEGORY "Рабочий стол"
    POLICY EnableBalloonTips
        #if version >= 3
        EXPLAIN !!EXPLAIN1
        #endif
        KEYNAME SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced
        VALUENAME EnableBalloonTips
        VALUEON NUMERIC 0
        VALUEOFF NUMERIC 1

        PART "Рабочий стол" TEXT
        END PART
    END POLICY ;EnableBalloonTips

END CATEGORY ;Рабочий стол

CLASS USER
[Strings]
EXPLAIN1 = "EnableBalloonTips"

obtim
Отключил ли ты в Вид-Фильтрация "Показывать только управляемые параметры политики"?

RoDeZiya
Цитата:

Дак это-же банально!
OU2 - "Свойства" - "Групповая политика" - "Добавить" и из списка существующих политик выбираешь те, которые хочешь прилинковать к OU2.

Что то не то... Я так понял Вы хотели сказать так:
1. OU2 создавать не нужно.
2. Первый OU - "Свойства" - "Групповая политика" - "Создать" - появляется новый OGP2 - потом на нем - "Изменить".
3. Установить в этом OGP2 - "Remome My Computer icon on the desktop" в положение "Enabled".
Таким образом OU будет содержать два OGP с разными правилами.
Эти правила будут распостраняться на любой комп или юсера (но не группу!) помещенную в этот OU.
Проверил - ТАК - работает

PhoenixUA
Цитата:

вместо OU2 создаешь вторую политику в OU1
для тех пользователей, которым она не нужна, запрещаешь чтение и применение второй политики во вкладке Безопасность свойств политики.

Вот теперь - понятно.
А если пойди дальше и запретить чтение данного OGP для всех, кроме определенной группы пользователей? Ща попробую...

Lykym
Цитата:

Напиши четко и подробно что ты хочешь,а народ попробует тебе помочь, а то один флуд и не боле.

Я хочу чтобы для любой конкретной группы (а не только для компа и юсера) выполнялся тот или иной набор заданных правил.
Я хочу чтобы каждая группа ассоциировалась с одним уникальным набором правил.
После этого мне вообще не нужна будет групповая политика, поскольку юсера можно будет влегкую подключить к одной, двум, пяти таким группам и на нем отработают правила этих групп.

P.S. Мне кажется что я вопрос зачастую формулирую гораздо четче и понятнее чем мне на него отвечают. Видимо мне только так кажется...

Добавлено:
И ради Бога не говорите - "политика" - зачастую вообще непонятно о чем идет разговор об OU или об OGP.

Добавлено:
УРРА!!! ВСЕ ПОЛУЧИЛОСЬ
Все именно так как хотелось. Щас насоздаю кучу OGP и одноименных групп и больше никогда их трогать не буду. Только комбинировать. УДОБНО же
СПАСИБО ВСЕМ !!!

Вот - настоящий самородок!
Эх, эту бы инфу да на несколько дней раньше накопать...
Я в этом топике - новичек. Но и статья да и еще куча других великолепных переводов, размещеннх на этом сайте, поинтереснее многих ссылок из шапки... ИМХО, конечно...

mozers

Цитата:

Вот - настоящий самородок!

Рекомендую все-таки читать эту статью в оригинале. Хорошая девушка, наверное, Елена Трубицына, но могла бы сперва посмотреть хотя бы сюда, прежде чем писать "в консоле" и прочее... Но, простим барышне, тем паче, что официально русского варианта статьи похоже нет.
Кстати, вот еще рекомендую почитать. Как только начнетсся работа с GPO, наверняка появятся задачи устранения неполадок. В этом документе вполне терпимо рассказывается о том, что можно сделать, как можно включить журналирование и режимы отладки. Ну и еще весьма полезный документ - Designing a Group Policy Infrastructure.

TCPIP

Цитата:

могла бы сперва посмотреть хотя бы сюда

а на что там смотреть? на:

Цитата:

We’re sorry, but we were unable to service your request. You may wish to choose from the links below for information about Microsoft products and services.

Фигня с групповыми политиками...

Обстановка:
Домен 2000. Станции 2000 + ХР. Есть 2 DC.
Кстати, подскажите, как выяснить который их них PDC.
Скриптик тупо запускает ЕХЕ-шник, сам BAT-ник.
Что-то вроде:
\\server\folder\1.exe

Что надо:
Чтобы скриптик входа заработал

Как делал:
0. АД-польз.и.комп.-домен-создатьOU
1. Создал группу безопасности и запихнул в этот новый OU
2. Св-ва OU - групп.политика - создать - изменить
3. конф.пользователя - конф.винды - сценарии - вход
4. добавить - обзор - выбор
Кстати, не пофигу ли где этот батник лежит? У меня просто в сет. папке

В итоге:
Никаких признаков работы скрипта.
RSOP не помог, - там в "конф.пользователя" просто нет раздела "конф.винды"


Что успел проверить:
1. Клиент для сетей Майкрософт есть
2. DNS-сервер в порядке. И инет ходит и _msdcs имеется
3. dcdiag, кроме PASSED, - IISADMIN + SMTPSVC + failed test Services
4. gpresult честно отчитался, что новой политики не знает