» Групповые политики (Group Policy, GPO): документация, ссылки

Проблема: при входе пользователя на DC применяются пользователькие политики - создание ярлыков, присоединение принтеров... Как запретить эти политики на 1 копьютере - DC?

densanx
В свойствах политики, в безопасности добавь нужный компьютер (группу) и для "Применение групповой политики" поставь галочку запретить

VovaMozg
Так мне нужно отключить пользовательскую политику. При чем здесь компьютер?
Мне нужно запретить применение пользовательской политики на 1 компьютере.

densanx
фильтровать можно и по пользователям/группам

Помогите, есть два домена, как в политиках настроить так чтоб юзера с одного домена могли работать на компютерах которие в другом домене? И чтоб могли запускать от своего имени в другом домене программы. Между доменами есть двухсторонние трасты.

densanx
в настройки политики, настроки для юзера или для компьютера?
попробуй сделать в настройках настроки для компьютера, но самуполиттику применять для юзера.
по сути на то она и пользовательская политика, чтобы применялась на вскех компах где залогинится пользователь. попробуй сделать как я сказал, после этого сделай рсоп и проверь: применяется ли политика.
З.Ы. - самому интересно, чет не пробовал так

Цитата:

попробуй сделать в настройках настроки для компьютера, но самуполиттику применять для юзера

ето вы ерунду сказали =\\

Ещо один вопрос, на машине WS1 с домена DC1 есть MS SQL 2005, ето те самие домены между ними трасти. На домене DC2 есть група типа Universal security в которою добавлены юзера с DC2. Група добавлена в логины MS SQL server. При коннекте к базе используя віндовс аутентификацию и юзера с DC2 видает ошибку 18452. Что делать? Два дня мучаюсь

подскажите пожалуйста, как через GPO убрать у пользователей кнопку(и из списка при завершении работы) завершение сеанса.

voffka1984
конф. пользователя\админ.шаблоны\панель задач и меню пуск\там ищи

спасибо большое snayper7, нашёл!

Выставляю в политиках безопасности домена изменяю пороговое значение блокировки, а в политиках безопасности контроллера домена ничего не изменяю. В итоге блокировка применяется и на станциях и на контроллерах домена.
Подскажите пожалуйста как сделать так чтобы политики безопасности домена не перекрывали политки безопасности контроллера домена?

можно запретить локальным админам установку ПО? подскажите, если можно это реализовать

Люди - подскажите!.. почему может не применяться политика "Группы с ограниченным доступом"... GPResult выдаёт:

Цитата:

Группы с ограниченным доступом
------------------------------
Н/Д

Создал для теста отдельный OU.. в нем сделал пользователя.. Для этого OU создал GPO... в нем в конфигурации компьютера - "Группы с ограниченным доступом"... Там указываю группу "Администраторы", члены групп - указал тех кого надо. на клиентских компьютерах перелогиниваюсь - не работает.. уже писал gpupdate /force - тоже не работает. Там ведь в группу администраторы, через управление компьютером, должны занестись те участники которых я указал?.. в общем члены группы администраторы не меняются - остаются старыми. Но вообще - групповая политика по другим параметрам работает...
вот мой GPResult:

Цитата:

Создано на 04.06.2008 в 12:08:36



RSOP-результаты для VT2003\testik на B106-10 : Режим журналирования
--------------------------------------------------------------------

Тип ОС: Microsoft Windows XP Professional
Конфигурация ОС: Рядовая рабочая станция
Версия ОС: 5.1.2600
Имя домена: VT2003
Тип домена: Windows 2000
Имя сайта: Default-First-Site
Перемещаемый профиль:
Локальный профиль: C:\Documents and Settings\testik
Подключение по медленному каналу?: Нет


Конфигурация компьютера
------------------------
CN=B106-10,CN=Computers,DC=vt2003,DC=local
Последнее применение групповой политики: 04.06.2008 at 12:07:56
Групповая политика была применена с: vtmain.vt2003.local
Порог медленной связи групповой политики: 500 kbps

Примененные объекты групповой политики
---------------------------------------
Default Domain Policy

Следующие политики GPO не были приняты, поскольку они отфильтрованы
--------------------------------------------------------------------
Политика локальной группы
Фильтрация: Не применяется (пусто)

Компьютер является членом следующих групп безопасности:
-------------------------------------------------------
Администраторы
Все
Пользователи
СЕТЬ
Прошедшие проверку
B106-10$
Компьютеры домена

Результирующий набор политик для компьютера:
---------------------------------------------

Установка программ
------------------
Н/Д

Сценарии запуска
----------------
Н/Д

Сценарии завершения работы
--------------------------
Н/Д

Политики учетных записей
------------------------
GPO: Default Domain Policy
Политика: MinimumPasswordLength
Параметры компьютера: 1

GPO: Default Domain Policy
Политика: LockoutBadCount
Параметры компьютера: Н/Д

Политика аудита
---------------
Н/Д

Права пользователя
------------------
Н/Д

Параметры безопасности
----------------------
GPO: Default Domain Policy
Политика: RequireLogonToChangePassword
Параметры компьютера: Не включено

GPO: Default Domain Policy
Политика: PasswordComplexity
Параметры компьютера: Не включено

GPO: Default Domain Policy
Политика: ForceLogoffWhenHourExpire
Параметры компьютера: Не включено

GPO: Default Domain Policy
Политика: ClearTextPassword
Параметры компьютера: Не включено

Параметры журнала событий
-------------------------
Н/Д

Группы с ограниченным доступом
------------------------------
Н/Д

Системные службы
----------------
Н/Д

Параметры реестра
-----------------
Н/Д

Параметры файловой системы
--------------------------
Н/Д

Политики открытого ключа
------------------------
Н/Д

Административные шаблоны
------------------------
GPO: Default Domain Policy
Параметр: Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\262144\Paths\{d2c34ab2-529a-46b2-b293-fc853fce72ea}
Состояние: Включено

GPO: Default Domain Policy
Параметр: Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\262144\Paths\{7272edfb-af9f-4ddf-b65b-e4282f2deefc}
Состояние: Включено

GPO: Default Domain Policy
Параметр: Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers
Состояние: Включено

GPO: Default Domain Policy
Параметр: Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers
Состояние: Включено

GPO: Default Domain Policy
Параметр: Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers
Состояние: Включено

GPO: Default Domain Policy
Параметр: Software\Policies\Microsoft\Windows NT\Terminal Services
Состояние: Включено

GPO: Default Domain Policy
Параметр: Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
Состояние: Включено

GPO: Default Domain Policy
Параметр: Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\262144\Paths\{8868b733-4b3a-48f8-9136-aa6d05d4fc83}
Состояние: Включено

GPO: Default Domain Policy
Параметр: Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\262144\Paths\{191cd7fa-f240-4a17-8986-94d480a6c8ca}
Состояние: Включено

GPO: Default Domain Policy
Параметр: Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\262144\Paths\{d2c34ab2-529a-46b2-b293-fc853fce72ea}
Состояние: Включено

GPO: Default Domain Policy
Параметр: Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\262144\Paths\{191cd7fa-f240-4a17-8986-94d480a6c8ca}
Состояние: Включено

GPO: Default Domain Policy
Параметр: Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\262144\Paths\{7272edfb-af9f-4ddf-b65b-e4282f2deefc}
Состояние: Включено

GPO: Default Domain Policy
Параметр: Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\262144\Paths\{8868b733-4b3a-48f8-9136-aa6d05d4fc83}
Состояние: Включено


Конфигурация пользователя
--------------------------
CN=brbr,OU=test,DC=vt2003,DC=local
Последнее применение групповой политики: 04.06.2008 at 12:08:04
Групповая политика была применена с: vtmain.vt2003.local
Порог медленной связи групповой политики: 500 kbps

Примененные объекты групповой политики
---------------------------------------
Default Domain Policy

Следующие политики GPO не были приняты, поскольку они отфильтрованы
--------------------------------------------------------------------
test_GPO
Фильтрация: Не применяется (пусто)

Политика локальной группы
Фильтрация: Не применяется (пусто)

Пользователь является членом следующих групп безопасности:
----------------------------------------------------------
Пользователи домена
Все
Пользователи
ИНТЕРАКТИВНЫЕ
Прошедшие проверку
ЛОКАЛЬНЫЕ
ggg

Результирующий набор политик для пользователя:
-----------------------------------------------

Установка программ
------------------
Н/Д

Политики открытого ключа
------------------------
Н/Д

Административные шаблоны
------------------------
Н/Д

Перенаправление папки
---------------------
Н/Д

Пользовательский интерфейс обозревателя Internet Explorer
---------------------------------------------------------
GPO: Default Domain Policy
Имя крупного подвижного рисунка: Н/Д
Имя файла крупной эмблемы: Н/Д
Текст заголовка: Н/Д
Текст агента пользователя: Н/Д
Удалить существующие кнопки на панели: Нет

Подключения Internet Explorer
-----------------------------
Прокси-сервер HTTP: Н/Д
Прокси-сервер Secure: Н/Д
Прокси-сервер FTP: Н/Д
Прокси-сервер Gopher: Н/Д
Прокси-сервер Socks: Н/Д
Разрешить автоматическую настройку: Нет
Разрешить использование прокси: Да
Использовать один прокси-сервер: Нет

Адреса Internet Explorer
------------------------
GPO: Default Domain Policy
Домашняя страница: Н/Д
Адрес страницы поиска: Н/Д
Адрес страницы поддержки: Н/Д

Безопасность Internet Explorer
------------------------------
Всегда отображаемые сервера: Н/Д
Разрешить перекрытие пароля: Ложь

GPO: Default Domain Policy
Импортировать текущие параметры оценки содержимого: Нет
Импортировать текущие параметры зон безопасности: Нет
Импортировать текущую информацию безопасности Authenticode: Нет
Зафиксировать список заслуживающих доверия издателей: Нет

Программы Internet Explorer
---------------------------
GPO: Default Domain Policy
Импортировать текущие параметры программ: Нет

Помогите пожалуйста))..

galakt_irk

Цитата:

Группы с ограниченным доступом

применяются к компьютерам, а не к пользователям. Помести в свое тестовое OU компьютер.

Привет всем.
Можно ли через ГП добавить или изменить системную переменную (не используя скрипт)? Win2000Serv + XP.
Или только через скрипт логона командой "path C:\траляля;С\Трулюлю; и т.д"

G14 - на работу приду - попробую).. спасибо)

Подскажите пожалуйста, как можно через GP сделать так, что бы при загрузке, у всех пользователей запускалась Служба Сообщений. На всех машинках Win XP SP2, на контроллере Win2003.

В групповых политиках домена сделать:
Конфигурация компьютера-конфигурация Windows-Системные службы-Служба сообщений
Автозагрзка (включено).

G14 - спасибо ещё раз)).. всё получилось.
А ещё вопрос - можно ли как-то настраивать групповую политику только для определённого пользователя (правда само понятие "групповая политика" уже теряет смысл))).. Можно конечно для нужного мне пользователя создать отдельный OU... но это какой-то некрасивый выход).. В принципе меня и такой выход устраивает... Просто один знакомый попросил чтобы на всех компьютерах куда он заходит была определенная картинка рабочего стола)).. Хотя в принципе наверное можно через скрипт подключения всех пользователей проверять имя пользователя и если это он - то видимо копировать в какую-то папку картинку и как-то применить её.. только я незнаю как..)
Но лучше бы через групповую политику...)

galakt_irk проще сделать ему перемещаемый профиль. а вообще можно создать новую политику и применить её к одному юзеру, ничего страшного в этом нет...

Решил поставить всем клиентским компьютером Агент ATIES 9.1. Соответственно, GPO->Политики->Конфигурации пользователя->Конфигурация программ->Установка программ, Добавить. Выбираю пакет AcronisTrueImageAgentEnterprise.msi (папка с пакетом расшарена), указываю в свойствах "Назначить" и "Устанавливать при входе в систему". На клиентском компьютере после "установка управляемого программного обеспечения Acronis True Image Agent" получаю такую ошибку:

Цитата:

Тип события:    Ошибка
Источник события:    Application Management
Категория события:    Отсутствует
Код события:    102
Дата:        11.06.2008
Время:        15:04:03
Пользователь:        FARM\Employee3
Компьютер:    VM-TEST
Описание:
Не удалось установить приложение Acronis True Image Агент из политики GPOAll. Ошибка: В процессе установки произошла неисправимая ошибка.

Система Windows 2003 R2 SP2 VL + Rus MUI. Какие у кого могут быть соображения по этой части?

VovaMozg - понятно... ну ладно - оставлю значит отдельную политику только для этого пользователя)).. Спасибо)

вопрос - как сделать так чтобы юзер мог логинится по rdp на другие компы

конфигурация компьютеа -- конфигурация Windows -- Параметры безопасности --
Локальные политики - Назначение прав пользователя -- запретить вход в систему
через службу терминалов
Тут поставь тех кто не должен точно заходить через RDC. Или ничего не ставь -
но пункт всё равно включи без параметров, чтобы на клиентских компьютерах обновилась эта локальная политика с пустыми параметрами.

А в параметре "разрешить вход в систему через службу терминалов" - поставь
тех, кого тебе надо.

И ещё, чтобы разрешить удаленные подключения на клиентских компьютерах:
конфигурация компьютера -- адм. шаблоны -- компоненты Windows -- службы
терминалов -- разрешить удаленное подключение с ипользованием служб терминалов
но у тебя похоже что и так включено.

ok, буду пытаться сделать)

Привет Всем!
а можно ли через ГПО закрыт Windows Media Player? Не хочу через запрет *.ехе,то есть wmplayer.exe или запретил загрузку кодеков все равно запускается и проигрывается,есть выход?

Добрый день. Подскажите пожалуйста существует ли возможность запуска сценария входа на vbs для пользователей от имени системы или администратора.

rkhodjaev
у меня прекрасно работает запрет на экзешник плеера в групповых политиках

Подумал и решил выложить полную проблему может быть кто что подскажет. Существует домен. В домене есть рабочие станции и есть терминал. Некоторые пользователи работают на станциях, а некоторые на терминале. На терминале запрещено выполнение .exe скриптов. В групповой политики у пользователей было прописано "startup.exe". Проблема состоит в том чтобы на терминале не запускать логон скрипт. Я написал следующий скрипт
Option Explicit
Dim WshNetwork
Dim WshShell
Dim Computer
Set WshNetwork = WScript.CreateObject("WScript.Network")
Set WshShell = WScript.CreateObject("WScript.Shell")
Computer=WshNetwork.ComputerName
If Computer<>"S915-TERMINAL" Then
WshShell.Run "startup.exe"
Else
WScript.Quit
End If
Но так как и выполнение скриптов на терминале для обычных пользователей запрешено он тоже не работает
Отсюда и вопрос существует ли возможность запуска скрипта из под админа или системы. Или кто может подскажет другой вариант.