» Групповые политики (Group Policy, GPO): документация, ссылки

SHRIKE74

Цитата:

у меня прекрасно работает запрет на экзешник плеера в групповых политиках

Вот не хочу через запрет экзешника,потому что если переименовать экзешник,то можно запросто запускать прогу.Есть другие варианты?просто когда-то слихал об ХЭШ-запрете,но ни разу не сделал.


Добавлено:
+ у одного пользователя даже через экзешник не получается,хотя у себя и еще у одного запретилась.А одного польз. запускается

Подскажите, плз, есть такая проблема - есть доменный пользователь, он пытается залогиниться на компьютер через удалйнный рабьочий стол, но система выдаёт ошибку: интерактивный вход в систему запрещён локальной политикой. Хотя он прописан на том компе, на который лезет, в группе удалённых пользователей

russiauser
Домен есть? Целевой компьютер не контроллер домена случайно?

Конфигурация компьютера-конфигурация Windows-Параметры безопасности-Локальные политики-Назначение прав пользователей.

Проверить значения параметров:
-Разрешать вход через службы терминалов
-Запретить вход в систему через службы терминалов
-Локальный вход в систему
-Отклонить локальный вход

PS ошибка вылезает при авторизавции


Добавлено:
Целевой компьютер, не контроллер, просто доменный комп. Все параметры проверил, там всё нормально, кроме "Разрешать вход в систему через службу терминалов", туда почему-то мне не даёт добавлять никого (логинился на комп доменным администратором, пробовал даже локально на комп), но там уже были добавлены локальные админы, поэтому добавил пользователя в локальные админы, и после этого удалённо пустило.
PS Этот параметр меняется только через политику? если да, то подскажите, плз, как, если нет, то подскажите почему

russiauser - вот на предыдущей странице человек точно такой же вопрос задавал, даже со скриншетом такой же проблемы.. всё объяснили... RoDeZiya тоже же всё написал...
Конфигурация компьютера-конфигурация Windows-Параметры безопасности-Локальные политики-Назначение прав пользователей это и есть групповая политика.
А параметр "Разрешать вход в систему через службу терминалов" не доступен на локальной машине потому, что он перекрывается групповой политикой. Значчит заходи на сервер и меняй этот параметр как тебе надо.
Т.е. на сервере в групповой политике надо настроить параметр
конфигурация компьютера -- конфигурация Windows -- Параметры безопасности --
Локальные политики - Назначение прав пользователя -- разрешить вход в систему через службу терминалов

Добавлено:
rkhodjaev - если ставить запрет программы через Конфигурация компьютера - конфигурация Windows - параметры безопасности - политики ограниченного использования программ... то даже если будут этот exe файл переименовывать - то программа всё равно не запустится

Требование:
- пользователь должен иметь право на установку программу, локально управлять(создать-удалить) своими документами (и не только своими, просто все, что находится в папке МОИ ДОКУМЕНТЫ).
- пользователь НЕ должен иметь право на переконфигурацию сетевого интерфейса(TCP/IP), или менять сетевые конфигурации (домен, DNS суфикс, имя комьпютера).

подскажите пожалуйся, как это организовать? вот создал OU, там уже создал все уч.записи, которые должны по требованию совпать! какую группу добавить ? и какие политики конфигурировать ?

Привет всем.Люди,у меня такая ситуация.Клиенты логинятся в домеин через впн.Как мне зделать так что бы перед входом в систему была опция логинется толко в домеин

спасибо за помощь
PS впредь постараюсь сначала найти ответ на свой вопрос, прежде чем его задать, извиняюсь

2 Sto50: создаёшь подключение, далее открываешь его - появляется окошко подключения с пользователем и паролем, далее жмёшь свойства ,переходишь на вкладку параметры и ставишь галочку "Включать домен входа в Windows", если я правильно понял вопрос, то вроде так

russiauserПосле ctrl alt del ,у тебя есть опция заходит локально или в domain.Так вот,мне надо что бы мои юзеры могли заходить толко в domain а не локально.При этом domain находится в другом офисе.И все юзеры конектятся через впн.

ну а почему бы тогда не оставить только одного локального админа - а остальных пользователей локальных удалить. А пароль на локального админа никому не говорить.. ну и отключить гостя. Раз уж тебе надо чтобы никто локально не мог зайти.

Спасибо за ответ,но мне надо подключать впн перед тем как юзер зашел в windows и убрать выбор куда заходить,то-есть в domain или локально.

Подскажите как сделать так чтобы на клиентской машине в домене не накатывались определенные политики. Как правило это скрипты .js. Например скрипт удаления локальных доменных админов и добавления нужных для домена админов (скрипт есть в наличии). Надо чтобы в оснастке AD U&C показывало что накатываются гр пол, а на клиентской машине что-то сделать чтобы не накатывались (машина должна быть в домене).

подскажите плиз

политики ограниченного использования программ

win 2003

не могу понять правильный синтаксис для пути реестра

как дать доступ на ветку реестра полностью ?

%hkey_local_machine\software\microsoft\% не работает

0192406

Цитата:

политики ограниченного использования программ

Цитата:

как дать доступ на ветку реестра полностью ?

Управлять acl на реестр нужно не через политики ограниченного использования программ, а просто через групповые политики ("Конф.компьютера -> Конф. Windows -> Параметры безопасности -> Реестр"

kazavo4ka


спс.

завтра посмотрю что получится...


еще вдогонку вопрос...

с запретом запуска программ проблем никаких нет, а вот с разрешением хуже... есть ли возможность сделать программу доступной для запуска под правами пользователя через GP.

теже самые политики ограниченного использования программ не спасают... через regmon выданы разрешения по реестру которые блокировались - толку ноль. локальный/доменный администратор могут запустить. domain users - нет.

Народ посдкажиет как заставить через доменную политику машинам входить автоматом по определенным логинами паролем (сейчас прописываю в реесте DefaultDomainName и DefaultDomainName)

как это сделать через политику?

0192406

Цитата:

теже самые политики ограниченного использования программ не спасают... через regmon выданы разрешения по реестру которые блокировались - толку ноль. локальный/доменный администратор могут запустить. domain users - нет.

Может быть программа требует не только наличия доступа к каким-либо ключам реестра, но также доступ на запись в определенные папки (например в какой-нибудь конфигурационный файл, который расположен в установочной папке программы)? Тоесть не помешало бы кроме regmon'а посмотреть filemon'ом.
Что за программа, если не секрет?

docfbi
Ответ в соседнем топике вас не устроил?

Всем доброго времени суток!
Может у кого есть полное описание политик в групповой политике, что -то типа:
Отключить список каналов
Объяснение:
Этот параметр запрещает пользователям использовать Internet Explorer в качестве средства чтения каналов. Этот параметр не влияет на платформу RSS.

Если данный параметр политики отключен, пользователи не могут получить доступ к списку каналов, расположенному в центре управления избранным.

При отключенном или ненастроенном параметре политики пользователи будут иметь доступ к списку каналов, расположенному в центре управления избранным.

Если есть поделитесь пожалуйста.

Господа, доброго времени суток!

Есть такая проблема.
Был с контроллером (w2k3), контроллер устарел (железо) и купили новый, поставили w2k3 ввели в домен сделали его PDC-шником, а старый стал резервным DC. Все операции прошли гладко и без проблем (всё реплицировалось и работает). Но теперь техники, что вводят ПК в домен, переименовывают их при необходимости не могут делать этого. Пишет: "Отказано в доступе". Администраторы домена, естественно, без проблем вводят ПК в домен, а вот техники не могут. Перепроверял в политиках домена и политиках контроллера домена - группе "техники" разрешено добавление ПК в домен.

Может кто знает, в чём причина??? Заранее благодарен за помощь!

Никто не подскажет, можно ли в групповой (или в локальной) политике запретить выключение компьютера? Нужно оставить завершение сеанса + (возможно) перезагрузку.

Mushroomer
конф.пользователя\панельзадачименюпуск\удалить и запретить доступ к команде "завершение работы"

Господа специалисты, неужели, никто не может помочь решить проблему ?????

sibovets
переназначить права группе как вариант

Выбор учетной записи почты для использования по умолчанию:
Если используются несколько учетных записей, может быть указана запись, используемая по умолчанию. В Microsoft Outlook сообщение отправляется с помощью учетной записи, используемой по умолчанию, если в сообщении не была нажата кнопка Учетные записи рядом с кнопкой Отправить для выбора другой учетной записи.
В меню Сервис выберите команду Учетные записи электронной почты.
Установите переключатель просмотреть или изменить имеющиеся учетные записи электронной почты и нажмите кнопку Далее.
Выберите в списке нужную учетную запись и нажмите кнопку По умолчанию.


Все это здорово, но не хочется обходить 500 машин и менять ручками. Как это автоматизировать? По умолчанию нужно поставить учетку Exchange.
Шаблон для Outlook есть. Кто-то может подсказать, как решить проблему?

Подскажите пожалуста ! У меня такая проблема мне надо создать пользователь с правами администратора , но ограничить иму доспут к настройкам безопасности так чтоби он мог смотреть просматривать собития , а в безобосности не мог не чего изменять !!! Зарание спосибо !!!!!

Сори. Не туда запостил. Можно удалить.

Прописал VBS скрипт на Логон.... Под учеткой админа заходишь - все отлично работает, а вот под учеткой пользователя - пишет такое вот.

Windows Script Host access is disabled on this machine. Contact your administrator for details.

На компьютерах стоит Симантек...

Добавлено:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows Script Host\Settings

Строковый параметр Enabled равный "0" отключает работу скриптов WSH (значение "1" включает обратно)

Теперь осталось узнать как через GP всем это в реестр прописать, не используя vbs.

Здравствуйте, у меня такая ситуация.
С помощью GP я переименовал учетную запись локального администратора на всех компьютерах в домене, используя GPO "Клиентский компьютер small business server". Оказалось, что под действие этой политики подпадает и DC (я пока не совсем четко разбираюсь в групповых политиках, поэтому не ожидал что это случится). В итоге я не могу ни вернуть на DC исходное именование учетной записи Администратор, ни переименовать её во что-либо другое. К примеру, если в default dc policy я пытаюсь переименовать учетную запись администратора в "MainAdmin", то после "gpupdate /force" результирующая групповая политика сообщает что "процессор обработки политики не пытался настроить этот параметр, подробности см. в логе" (каков подлец, даже не пытался!)
Самостоятельно разобраться в этом логе я не могу так что прошу помощи у ув. экспертов :
http://webfile.ru/2103462

JXJ в secyriti у политики есть для кого применять. выбери администратора и запрети применение политики. или лучше настроивай такие веще не в дефолтовой политике а в новой и её применяй для кого нужно