» Групповые политики (Group Policy, GPO): документация, ссылки

NoNetCrawling.adm

Код:
CLASS USER; этот код изменяет раздел реестра HKEY_CURRENT_USER
; следующая команда создает узел, называемый «CUSTOM»
; в конфигурациях пользователя
CATEGORY !!categoryname

; следующая команда определяет имя политики
; с помощью переменной «policyname»
POLICY !!policyname

; следующая команда определяет раздел реестра, который нужно изменить
KEYNAME "Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced"

; следующая команда определяет текст на вкладке «Объяснение»
EXPLAIN !!explaintext

; следующая инструкция определяет раздел реестра, который нужно изменить
VALUENAME "NoNetCrawling"
     VALUEON NUMERIC 1
     VALUEOFF NUMERIC 0
END POLICY
END CATEGORY

; следующий раздел строки назначает строки символов
; для различных имен, указанных в предыдущем разделе
[strings]
categoryname="CUSTOM"
policyname="Отключить автоматический поиск папок и принтеров"
explaintext="Эта политика отключает автоматический поиск папок и принтеров"

ripev
Не могу найти где в GPO указать список пользователей которым дается доступ

Venchik
А по этому пути разве нет:
Computer Configuration\Windows Settings\Security Settings\User Rights Assigment\

ripev
Безотносительно к домену пробую у себя на компе, который не является членом домена.
У меня изначально стоит вот так:
http://pic.ipicture.ru/uploads/080912/ONLRrjKbfK.jpg

Захожу в свойства системы...Удаленные сеансы...галочка на "Разрешить удаленный доступ к этому компьютеру" не стоит даже...

Блин, забыл как ADM-файлы добавлять

BULLDOG
Рекомендации по использованию административных шаблонов групповой политики (файлы ADM)Создание пользовательских административных шаблонов в Windows 2000

Venchik
Во-первых: Права запретить перекрывают права разрешить. Но если ты удалишь из запрещений Администраторов (к которо ты наверно и принадлежишь) то тебе еще нужно будет добавить эту группу в список разрешенных.
Во-вторых: Необходимо включить службу удаленного рабочего стола. Ту самую преславутую галочку. Включается здесь:
Administrativ Templates\Windows Components\Terminal Services\Allow Users to connect remotely using Terminal Services

ripev
1. Думаю, Вас запутала картинка. Окошко открыто для "Разрешить...", а строка выделена "Запретить" - чтоб показать что в запретах пусто, а в разрешенных есть Администраторы.

2. Понял, спасибо. Буду пробовать. Проверю - сообщу.

столкнулся с проблемой Far.exe разрешен в GPO но cmd.exe запрещен. Но если запускать через оболочку фар то cmd запускается и через него запускается все остальное минуя GPO я не в силах запретить GPO, что делать если выход ???
п.с я тут прочитал что был параметр DisableCMD но sp2 и sp3 его не нашел...
Жду Ваших советов

koosok22

Цитата:

столкнулся с проблемой Far.exe разрешен в GPO но cmd.exe запрещен.

Используйте Software Restriction Policies.

спасибо за наводку но можно чуть чуть по подробней что прописать нужно и где, я так понял что по умолчанию она отключена... я вкл но не очень стало понятно

koosok22

Цитата:

спасибо за наводку но можно чуть чуть по подробней что прописать нужно и где

Читайте: Software Restriction Policies


Цитата:

я так понял что по умолчанию она отключена

Отключена.


Цитата:

я вкл но не очень стало понятно

Лучше наоборот: стало понятно - включил.

Конкретно по вашему примеру.Запретите запуск по-умолчанию.Разрешите пути %SystemRoot% и %ProgramFiles%.Запретите по хешу запуск cmd.exe.Для локальных администраторов можете разрешить запуск программ без ограничений (естественно, пользователи ни в коем случае не должны работать ни под административной учетной записью, ни под Опытным пользователем - только под ограниченной учетной записью).Все программы нужно ставить в %ProgramFiles%. Для идиотских программ, которые не могут работать в %ProgramFiles% (в основном всякие программки от госструктур), а хотят только в C:\ - разрешаем по хешу или по пути.
После этого, ограниченный пользователь не сможет запускать cmd.exe, а также и многое другое, на что у вас хватит фантазии.

veryom

в Additinal rules сделал
1 %SystemRoot% unrestricted
2 %ProgramFiles% unrestricted
3 C:\ unrestricted
4 правило по хешу 53aeeaf4e7f12b8e91b3a474cafb4115:395776:32771 disallowed
security level
Software will not run, regardless of the access rights of the user

но что то эффекта нет может что то пропустил?

koosok22
Обратите внимание на наследование данного GPO. Подопытный пользователь или компьютер (если вы настраиваете SRP на уровне компьютера) подпадает под данный GPO?Не входит ли подопытный пользователь в группу администраторов при условии, что вы разрешили администраторам выполнение ПО?Хеш вычисляли по cmd.exe на станции назначения или на сервере? Нужен хеш того файла, где будут применяться политики, т.е. хеш cmd.exe с рабочей станции. Этот хеш можно вычислить при помощи оснастки локального GPO gpedit.msc.

veryom
1 я создал новую политику и в ней сделал все вышеперечисленное затем данному узеру поставил применять эту политику
2 нет он простой пользователь
3 Хеш вычислял и на сервере и на лок машине (у меня она VMWare незнаю имеет это значение)

koosok22

Цитата:

я создал новую политику и в ней сделал все вышеперечисленное затем данному узеру поставил применять эту политику

А SRP где настраивали? В данном случае нужно в ветке User configuration.

veryom

Цитата:

А SRP где настраивали? В данном случае нужно в ветке User configuration

дурочина простофиля я (( Вы правы...
а подскажите а разве 1 и 2 не являются что только оттуда можно запускать проги?
если есть папка на раб столе как запретить запуск exe любых ?

koosok22

Цитата:

а подскажите а разве 1 и 2 не являются что только оттуда можно запускать проги?

Не понял вопроса.


Цитата:

если есть пака на раб столе как запретить запуск exe любых ?

Запретить запуск всех .exe из папки? Путь до папки - запрет.

Но лучше всего сделать так: переустановить все программы в правильное место (%ProgramFiles%) и запретить запуск по-умолчанию. У пользователя нет прав на запись в %SystemRoot% и %ProgramFiles%, а из все других мест запуск запрещен. Никакая бяка сквозь такую систему не пролезет, ни с флешек, ни с дискет, ниоткуда.

подскажите плз.
как запретить открытие учетки на 2-ом компе? а то парятся (не знаю как) и открывают свою учетку на другом компе - как следствие создается новая чистая учетка (

veryom

Цитата:

запретить запуск по-умолчанию

я вот это не понял где

snayper7
использовать учетную запись только на 1 компе ? это делается через свойства учетки в Ад, (вкладка Учетная запись- вход на..)

koosok22

Цитата:

я вот это не понял где

Цитата:

security level
Software will not run, regardless of the access rights of the user

Планирую на некоторое время вывезти часть компов (членов домена) за пределы локальной сети, собрал роутер, который по VPN будет цепляться к локалке, но т.к. канал в том месте, где будут находиться эти компы узковат (1,5мбита) - то неплохо было бы умерить аппетиты всяких апдейтов-рефрешей групповых политик, т.е. выставить все по минимуму - помнится в GPO были какие-то настройки, отвечающие за работу клиентов через dial-up?

gap5

Цитата:

канал в том месте, где будут находиться эти компы узковат (1,5мбита)

Если вы не будете устанавливать ПО, для фоновых обновлений должно хватить. Объем трафика там достаточно мал, больше будет уходить на регистрацию компьютеров и пользователей в домене. Лучше, конечно, выделить контроллер домена и организовать сайт.


Цитата:

помнится в GPO были какие-то настройки, отвечающие за работу клиентов через dial-up?

Core Group Policy сам определит, когда связь плохая (перед обновлением политик проверяется связь с контроллером домена, в Windows XP посылается ICMP запрос).

veryom
При каком значении мс он признает связь плохой?

gap5

Цитата:

При каком значении мс он признает связь плохой?

Порог составляет 500 Kb/s. Если скорость меньше, то связь признается плохой и определенные CSE (Client-Side Extensions) не выполняются, а именно те, которые отвечают за установку ПО, перенаправление папок и настройки IE. Литература: Optimizing Group Policy Performance.

Растолкуйте мне пожалуйста, политики к компу в домене применяются всякий раз, когда он их получает или самый первый раз, а затем только при изменении каких-либо значений в политике? А то у нас в политиках есть пунктик, где некоторые юзеры прописаны локальными админами на компах в домене. Так вот, чем больше времени проходит, тем меньше компов становится с этими юзерами в локальных администраторах. Такое ощущение создаётся, что если пользователь компа сносит из лок админов этих юзеров, то потом они не восстанавливаются. То же самое относится к режимам запуска сервисов, которые раздаются через политики домена. Или здесь надо копать в другом направлении.

kapiton1

Цитата:

Растолкуйте мне пожалуйста, политики к компу в домене применяются всякий раз, когда он их получает или самый первый раз, а затем только при изменении каких-либо значений в политике?

Если в политиках не было изменений, то они НЕ применяются в процессе загрузки или логона и при фоновом обновлении. Исключение составляют политики безопасности, в которые входят и "Группы с ограниченным доступом" - каждые 16 часов они применяются принудительно, не зависимо от того, были ли изменения в политиках или нет. Т.е. через 16 часов членство в группе локальных администраторов у вас должно восстановиться. Быть может причиной невосстановления являются пользователи, которые периодически удаляют "лишние" учетки.


Цитата:

Такое ощущение создаётся, что если пользователь компа сносит из лок админов этих юзеров, то потом они не восстанавливаются.

Применение групповых политик подразумевает работу пользователей под ограниченными учетными записями. Если пользователь работает под администратором или под Опытным пользователем, то групповые политики теряют всякий смысл. Пользователь может их просто отменить, способов на то множество. Поэтому, если вы хотите нормальной работы - соблюдайте элементарные правила гигиены безопасности.

У пользователя на компьютере не применяются политики домена. Не ответите - почему? Не хочет пользователь (компьютер) через WSUS обновляться и всё тут. Раньше это было у всех пользователей в домене. После правки GPO (ограничение на установку программ я снял), у всех всё стало нормально, подцепились все к WSUS и обновляются. А один - так и не хочет! Где копать?

Tempter
У него вообще политики применяются?