» Групповые политики (Group Policy, GPO): документация, ссылки

RemComm
AD: Users and Computers, там выбираешь пользователя, которому нужно ограничить время работы, на вкладке Account жмёшь кнопку Logon hours. Там выбираешь разрешенное время работы.
Да... и ещё... для того, чтобы это работало, на рабочих станциях и сервере в свойствах сетевой карточки должно быть включено NetBIOS over TCP/IP

а по поводу моего вопроса на 3й странице внизу... А?

taelas
Я пробовал это уже - задание допустимых часов работы не приводит к логауту (принудительному завершению консольной или терминальной сессии). Просто уже не дает откывать новые и отрезает подключения к сетевым ресурсам. А на текущие консольные и терминальные сессии забивает и позволяет в них работать... (( Проверенно на: домен 2К3, клиенты WinXP (все сервис-паки и обновления установлены)

Gabzya
http://forum.ru-board.com/topic.cgi?forum=8&topic=15642#1
может примерно так?

taelas
да идея та, но к сожалению там точку не поставили (

RemComm
На терминальном сервере настрой скриптик в шедулере, который был просто пролистывал работающих пользователей, и если время работы вышло - делал принудительный логофф.

FreemanRU
На терминальных - не проблема. Так и сделаю. Видьмо все прийдется молотком и напильником дорабатывать Аналогичный прием можно и на рабочих станциях применить наверно. Не секюрно и децл кривовато, но все-же солюшн. Спасибо.

Gabzya
ну так то-же самое... там нужно всё создать политики запрещённых программ, создать OU, для пользователей к которым это всё будет относиться... в запрещенные для них программы поставить explorer, taskmanager. А разрешить 1Cv77.exe. вроде всё...

в редакторе групповых политик почему-то отсутствуют некоторые пункты
http://img155.imageshack.us/img155/7415/gp9lt.jpg - скриншот.
в том числе и жизненно необходимые сценарии (logon/logoff)...
как сделать так, чтоб они появились.
DC - win2k3
раньше стояла win2k, я её поднял до 2k3 и только после этого установил контроллер.
пунктов небыло изначально

taelas
а тогда на их компах будет тоже запрет на проводник...?

Добавлено:

Цитата:

флуд. /emx/

какой флуд ты вопрос читал?? или мне еще раз то же самое нужно было запостить? чтобы написал ты что дубляш???!!!

так эта штука в "Конфигурации компьютера"...

эта штука в "Конфигурации компьютера" для компьютеров, а в "конфигурации пользователя" - для юзеров.
для компьютера то есть...

П.С. дотопал таки до консоли сервера и теперь немало удивлён... если оснастку открывать с сервера то эти пункты есть, следовательно проблема не в сервере, а в рабочей станции... переустановка adminpack.msi не помогла, копирование с сервера файлов gpedit.msc, gpedit.dll тоже... что может быть не так с машиной?

taelas
Ponimas

Цитата:

так эта штука в "Конфигурации компьютера"...

если в конфигурации компутера, то и мне будет такой запрет...

Gabzya
так ты его для группы применяй...

вроде усек спс

Реализовал политики запрещенных програм и изменил оболочку пользователя на nero.

Теперь вместо эксплорера запускается неро, но если его закрыть случайно, то пользователь высаживается, кончно можно через диспечер его заново запустить, но жалко же его, пользователя.

Как бы мне без explorer'а сдлелать пару ярлыков на разрешенные програмы (в том числе и неро)?

как поместить в подразделение(OU) юзеров? они только перемещаются...
нужно запихнуть их в группу, а группу в OU??
спс

Когда перемещаешь пользователей в оснастке "AD:пользователи и компьютеры" в определенную OU, то они и становятся ее членами. Можно посмотреть по полному Distinguished name в каких OU (вложенных) состоит интересующий пользователь (где-то в свойствах пользователя есть).

illa
понял, т.е. в 2х подразделениях они не могут состоять никак?

Только если одно вложено в другое.

есть сеть локалка, сервер 2003 и рабочие станции 2000 и хп, используются политики груповые. Как сделать что-бы моя машина при загрузке не применяла политики с сервера. У меня на машине учетная запись админская, вин2000 сп4 ру.

Чем запретить локально груповые политики? где почитать?


Добавлено:
при попытке зайти на рядом стоящий комп пишет
-------
Logon Failure.
System Error: 1385
System Message:
Вход в систему не произведен: выбранный режим входа для данного пользователя на этом компьютере не предусмотрен.
--------------

хотя в настройках пользователей и паролей все нормально.

Добавлено:
по команде gpresult выдает такое
------
Microsoft (R) Windows (R) 2000 Operating System Group Policy Result tool
Copyright (C) Microsoft Corp. 1981-1999

Created on 3 июля 2006 г. at 17:36:29

Operating System Information:

Operating System Type:        Professional
Operating System Version:    5.0.2195.Service Pack 4
Terminal Server Mode:        Not supported

###############################################################

User Group Policy results for:

REPAIR\Repair

Domain Name:        REPAIR
Domain Type:        None (Local user account)

Roaming profile:    (None)
Local profile:    C:\Documents and Settings\Repair

The user is a member of the following security groups:

    REPAIR\Отсутствует
    \Все
    BUILTIN\Администраторы
    BUILTIN\Опытные пользователи
    BUILTIN\Пользователи
    NT AUTHORITY\ИНТЕРАКТИВНЫЕ
    NT AUTHORITY\Прошедшие проверку
    \ЛОКАЛЬНЫЕ


###############################################################

Last time Group Policy was applied: 3 июля 2006 г. at 15:56:57



###############################################################

Computer Group Policy results for:



Domain Name:        
Domain Type:        Windows NT v4


The computer is a member of the following security groups:

    BUILTIN\Администраторы
    \Все
    NT AUTHORITY\Прошедшие проверку

###############################################################

Last time Group Policy was applied: 3 июля 2006 г. at 16:19:46


===============================================================


The computer received "Registry" settings from these GPOs:

    Политика локальной группы


===============================================================
The computer received "Security" settings from these GPOs:

    Политика локальной группы


===============================================================
The computer received "EFS recovery" settings from these GPOs:

    Политика локальной группы

vetvetvet

Цитата:

Чем запретить локально груповые политики?

НИЧЕМ.


Цитата:

Вход в систему не произведен: выбранный режим входа для данного пользователя на этом компьютере не предусмотрен.

я бы еще дописал "... обратитесь к администратору". Твоей учетки разрешен вход тольок на определённые компьютеры.

Добавлено:

Цитата:

учетная запись админская

с такими настроениями она таковой будет не долго.

Цитата:

будет не долго

да долгл буде, и на другом компе прописано мою учетную запись, и она активна и с нормальными правами, только все равно не пускает и такое выдает.

Раньше работало все нормально, а с недавнего времени вот так ...
не понятно.


Добавлено:
понятно что "админ" наклацал и на некоторых машинах и на сервере 2003, машины исправлю, вот если сервер - то как?

Gabzya

Цитата:

понял, т.е. в 2х подразделениях они не могут состоять никак?

а для чего это надоть? Ежель для воздействия политиками на пользюков, то можно в каждое подразделение включить свою группу, а пользюка сделать мембером этих групп. Типа в таком ключе...

Добрый день!

Посмотрел, вроде такого вопроса еще не было... если был, ткните носом .
Домен, определена дефолтная политика безопасности в которой заданы правила формирования, смены и т.д. для паролей. Пользватели в домене пароли еесно менят как положено (куда ж они денутся), но меняют пароли сразу всем отделом. Т.е. договариваются, выбирают одинаковый пароль, и еесно после этого каждый может зайти на комп другого пользователя в отделе. Вроде удобно, но противоречит политике безопасности.
Вопрос: как с этим бороться, как отслеживать уникальность паролей у разных пользователей?
Заранее спасиб.

doreron
Технически - никак. ТОка запретить менять вообще, и выдавать кадому лично.

Привет ребята! можно ли в актив директори просмотреть на каких машинах стоит пароль при входе в систему, а на каких нет? Только для того чтобы хотя бы знать есть или нет! вести контроль за наличием в домене машин с паролями. заранее спасибо.

Rossiyanka
в политиках задай менять пароль и помнить последние несколько паролей - тогда у всех пользователей они будут, и гадать не надо.

спасибо EveryonE, но это не выход! В принципе мне по барабану, есть у них пароль на свои машины или нет, я просто хотела бы вести контроль за всеми кто обязан завести у себя пароль, некоторые возмущаясь, что никогда такого не было, щас вдруг появилось и некоторые снова вернуться за прежний безпарольный вход в систему: выполнят CTRL+ALT+DEL - заведут старый, а в строке новый оставят пустой! Вот тебе и смена пароля. Ну так да ладно, я нашла прогу которая просканила сетку на наличие у пользователей паролей на вход в систему, очень удобно. Я просто думала, что через AD это можно было выполнить. Все равно еще раз благодарна!

Rossiyanka
Дык всех, кто обязан менять в отдельную группу и обязать.