» Групповые политики (Group Policy, GPO): документация, ссылки

Цитата:

тупой вопрос........
А где находяться эти групповые политики....... как их найти если есть домен ???
Вот локально знаю - набрал gpedit.msc и вот все политики локальные.....
А де это все находиться ели есть домен ???

Active Directory User and Computers - Название домена - Properties - Group Policy

koosok22 ок.......
еще.....
почему если смотрю групповые политики у себя на компьютере ( установии набор Административе тулс для свызи с сервером) то они видны, могу что то глянуть..
А если клацну на сервере на домене, то показует совершенно другое окно с какиме то вкладками Linked Group Policy Group Policy Inheritance Delegation


в чем отличие

IeugeniyI
я не знаю не пользуюсь утилитами так что не подскажу

домен, сервак w2k3, клиентские машины - winxp. поднят dfs. включены политики ограниченного использования программ - по умолчанию все запрещено, есть список разрешенных прог. на локальном диске политики ограничения работают на ура. при попытках разрешить прогу на сетевом (dfs) диске - не работает.
т.е. например правило ""z:\Правовые системы\Гарант\" - неограничено" игнорируется, блочит по дефолтной политике. пробывал создавать англ имена папок - то же самое.
работает только если указать ""Z:\" - неограничено" но мне такое не надо . подскажите где затык плз.

----------
неактуально более.

Подскажите, мож GPO такое может...
Нужно в проводнике принудительно при входе в домен делать вид файлов с сортировкой по Date Modified
Может ключик какой есть, меняющий дефолтный вид сортировки?
А так получается сортировка для каждой папки хранится здесь
[HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\Bags\1 и далее\Shell\Inherit]
"Sort"=dword:00000003

Товарищи, выручайте
На выходных обновлял Win2000 до Win2003. После обновления вылез BSOD, решил отключением сторонних драйверов. Сегодня обнаружил новую проблему: отчистилась папка SYSVOL (стала полностью пустая), хотя ссылки на соответствующие политики остались. Создал новые политики, но старые не могу удалить, т.к. выдается ошибка file not found (в event viewer по этому поводу сплошные красные кресты). Пробовал ручками создать в папке SYSVOL нужные папки, при удалении стала вылазить новая ошибка: "server is unwilling to process request".
Как же избавиться от ссылок на старые GPO, реестр вручную чистить или есть более "нежные" способы?

qrock
Нужны сообщения в красных крестах

BULLDOG
Спасибо, за ответ.
Там были сообщения, что не найден скрипт, политика и т.п. Проблему решил самостоятельно с помощью двух чудных команд:
dcgpofix /target:Domain
dcgpofix /target:DC

вдруг кому-то тоже пригодится

Никак не могу догнать до одной вещи. Скажем создал я определённую OU и перенёс туда всех пользователей из папки Users, затем хочу для этой OU применить политику которая находится в ветке "Конфигурация компьютера...". Вопрос: она не применится к ним, так-как в этой OU только учётки пользователей? Чтобы она применилась мне нужно тащить в эту OU учётки компов из Computers? Никак не разбирусь, подскажите плз.

товарищи, требуется жестко задать обои на рабочем столе.
Вопрос поднимался несколько раз, и решался на уровне user configuration
но тут задача несколько иная:
есть две OU: OU1 и OU2 в них входят куча компов, требуется задать два вида обоев, для OU1 wallpaper1, для OU2 соответственно wallpaper2
и неважно какой пользователь логиниться.

При этом жестко запретить менять обои.



Добавлено:

Цитата:

Скажем создал я определённую OU и перенёс туда всех пользователей из папки Users, затем хочу для этой OU применить политику которая находится в ветке "Конфигурация компьютера...". Вопрос: она не применится к ним, так-как в этой OU только учётки пользователей? Чтобы она применилась мне нужно тащить в эту OU учётки компов из Computers? Никак не разбирусь, подскажите плз.

как же ты для юзера хочешь применить настройки компа?
у тебя есть OU с компами - туда пихай настройки "Конфигурация компьютера"
и есть OU с пользователями - туда настройки пользователя

Gremlin19

Цитата:

у тебя есть OU с компами - туда пихай настройки "Конфигурация компьютера"

в том то и дело что нет ОУ с компами, они по дефолту помещаются в Default container for upgraded computer accounts, а для этой папки нельзя политику применить

Что мешает создать OU Compuetrs и туда переместить, применив gpo?

Возможно ли при помощи групповых политик менять принтер по умолчанию?

Как групповой политикой поставить Office 2003
Взял из сборки ZVERDVD2009 инсталляхи офиса со встроенным сп3
В гп добавил MSI-ку PRO11.MSI, но дистрибутив почему-то не ставится, пишет
Description:
Не удалось установить приложение Microsoft Office - профессиональный выпуск версии 2003 из политики Install-Office2003. Ошибка %1612.

Скачал Easy MSI Editor , как в MSI-ку вписать серийник, автоинсталляцию и указать что это апгрейд и он ставится поверх Office 2000 ?


Добавлено:
Сделал автоинсталяху (unattended.mst) с помощью ОРК, включил ее в модификацию, но офис не хотит ставиться на Win2K SP4
Обычная инсталляция работает.

Цитата:

товарищи, требуется жестко задать обои на рабочем столе.
Вопрос поднимался несколько раз, и решался на уровне user configuration
но тут задача несколько иная:
есть две OU: OU1 и OU2 в них входят куча компов, требуется задать два вида обоев, для OU1 wallpaper1, для OU2 соответственно wallpaper2
и неважно какой пользователь логиниться.

При этом жестко запретить менять обои.

AgelNick и другие. Нашел решение

что бы жестко задать обои на комп независимо от залогинившеговя юзера надо:

Код: 1. Computer Configuration - Windows Settings - Scripts - Startup - скрипт1.бат
2. Computer Configuration - Administrative Templates - System/Group Policy - User Group Policy loopback processing mode - Enabled - Mode: Merge
3. User Configuration - Windows Settings - Scripts - Logon - скрипт1.бат
В батнике запускается Bginfo.exe с нужными тебе параметрами.

Автоинсталл через ГП заработал, проблема была в пермишенах, теперь как вывести свой банер на время инсталла, Startup работает после установки MSI-ки, а мне надо до.

Подскажите, плиз, в связи с чем под обычным пользователем запускается gpedit.msc? Ведь так "он" сможет убрать установленные ограничения...
Просветите!

Цитата:

Подскажите, плиз, в связи с чем под обычным пользователем запускается gpedit.msc? Ведь так "он" сможет убрать установленные ограничения...

Дык же он локальную политику так сможет менять. А она имеет самый низкий приоритет и перекрывается остальными. В статье же в шапке об этом четко написано.

Добрый день.
Есть домен 2003 с кучей машин
в дефолт домен полиси настраиваю параметры интернет эксплорера - в том числе и исключения для прокси. Исключения для прокси не отрабатывает для клиентов IE 7.

Делаю RSOP - все в порядке, параметры должен получить
Делаю gpresult /v о исключениях прокси нет упоминаний (все остальное отображено)
Делаю group policy modeling - о параметрах IE нет ни слова (дефолт домен полиси применяется)
Создал пользователя к которому не применяется никаких другх политик (в том числе и к компу)

Как бы то ни было
IE 6.х - отрабатывает нормально, получает список исключений, стираю список из управления броузера, закрываю броузер, обновляю - исключения восстановлены, тоесть все работает.
записи в реестре появляются.

IE 7 - не получает список исключений.
и так и сяк, в реестре никаких записей.

Прописываю руками исключения - записи в реестре появляются в том же ключе что и для IE6

В замешательстве. Куда глядеть?

Добрый день!
Есть домен на базе Windows 2003 Server R2 SP2.
На контроллере домена поднята служба печати, опубликованы принтера через групповые политики (на компьютер и на пользователя).
При входе пользователя в сеть выполняется команда pushprinterconnections.exe, после чего у пользователя в оснастке панели управления "Принтеры" появляются все принтера опубликованные в домене через групповую политику.

Проблема заключается в том, что после удаления принтера в домене и соответственно снятия его публикации в групповой политике, на пользовательском ПК этот принтер остается (но при этом возможность печати на данный принтер конечно же отсутствует). Таким образом на ПК пользователей в списке принтеров имеется очень много "мертвых/недоступных" принтеров, что не есть хорошо.

Может кто знает как решить данную проблемку, буду очень признателен.

добрый день(или может быть утро) !
Прислал нам доблесный головной офис требования по отключению всех USB-устройств(кроме принтеров), CD-ROM через групповые политики. Прислали административный шаблон.Применил его, обновил групповые политики, проверил - работает, в диспетчере устройств отображаются


Но вот беда, потом прислали требование отключить этот шаблон,разрешил все, что было запрещено, а потом отключил его, обновил груп политики, а ситуация не изменилась, устройства по прежнему недоступны. Методом эксперементов установил, что помогает тока восстановление системы на контрольную точку до применнения шаблона. И все бы вроде ничего, тока восстановления включено не на всех машинах.
Как побороть такую беду ?

Как запретить определенным юзерам запускать диспетчер задач на определенных компьютерах?
Тоесть, есть юзвери которые заходят через РДП на сервак и вызывают клавишами диспетчер задач. Как им запретить вызывать диспетчер задач на серваке, но не запрещать на локальной машине.

а на чём основано запрещение? шаблончик бы поковырять...
для примера: усбпорты, не отключенные в биосе, политикой прибиваю. остановкой драйвера усбстор
обратно чтобы включить, отдельная политика на включение есть

Цитата:

а на чём основано запрещение? шаблончик бы поковырять...

это можно

Цитата:

CLASS MACHINE
CATEGORY !!categoryname
POLICY !!policynameusb
KEYNAME "SYSTEM\CurrentControlSet\Services\USBSTOR"
EXPLAIN !!explaintextusb
PART !!labeltextusb DROPDOWNLIST REQUIRED

VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 3 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
POLICY !!policynamecd
KEYNAME "SYSTEM\CurrentControlSet\Services\Cdrom"
EXPLAIN !!explaintextcd
PART !!labeltextcd DROPDOWNLIST REQUIRED

VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 1 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
POLICY !!policynameflpy
KEYNAME "SYSTEM\CurrentControlSet\Services\Flpydisk"
EXPLAIN !!explaintextflpy
PART !!labeltextflpy DROPDOWNLIST REQUIRED

VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 3 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
POLICY !!policynamels120
KEYNAME "SYSTEM\CurrentControlSet\Services\Sfloppy"
EXPLAIN !!explaintextls120
PART !!labeltextls120 DROPDOWNLIST REQUIRED

VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 3 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
END CATEGORY

[strings]
category="Custom Policy Settings"
categoryname="Управление съемными устройствами"
policynameusb="Устройства USB"
policynamecd="Устройства CD-ROM"
policynameflpy="Дисковод"
policynamels120="Накопители большой емкости"
explaintextusb="Отключает USB порты путем отключения драйвера usbstor.sys"
explaintextcd="Отключает CD-ROM путем отключения драйвера cdrom.sys"
explaintextflpy="Отключает Дисковод путем отключения драйвера flpydisk.sys"
explaintextls120="Отключает Устройства большой емкости путем отключения драйвера sfloppy.sys"
labeltextusb="Устройства USB"
labeltextcd="Устройства CD-ROM"
labeltextflpy="Дисковод"
labeltextls120="Накопители большой емкости"
Enabled="Отключить"
Disabled="Включить"

вот такой вот шаблон

ну как я и говорил
делаешь точно такую же политику на основе этого шаблона, только на разрешение
в дропдаун-листе по каждому устройству выбираешь Включить
(судя по шаблону)
должны сервисы стартовать

пысы: руборд из дома только доступен (через транстелеком), с работы почему то на хосте где то в далласе трасерт обрывается (через ростелеком)....
так вот на работе есть ссылочка на KB от MS как раз по поводу написания такого шаблона (на отключение сервиса usbstore), постараюсь завтра найти - там как раз этот момент и опИсан - отключение политики не возвращает сервисы в запущенное состояние...

[q]
FRIbourg
[\q]

был бы благодарен за ссылку, хотя ввиду нынешнего кризиса уже, может, и не так важно, т.к. жить этой конторе осталось недолго )))) Но личное любопытство все же не дает покоя ))) Так что жду

Попытался настроить установку OpenOffice, через GPO.

Через назначение компьютерам:
Создаю контейнер, набиваю туда, необходимые компьютеры.Создаю политику, а в ней...
Конфигурация компьютера-Конфигурация программ-Установка программ-создать пакет(тип развёртывания-Назначенный).
Всё работает и инсталирует и удаляет...

А вот захотел инсталить через назначение по пользователям, кликает он по файлу, например с расширением .odt и запускается процесс установки.
Создаю контейнер, завожу туда тестового юзера.
Создаю политику:
Конфигурация пользователя-конфигурация программ-создать пакет, пробовал и публичный и назначенный тип развёртывания(галка, Автоматически устанавливать приложение при обращении к файлу с соотв. расширением, стоит)

В систем-логах рабочей станции: Служба "Управление приложениями" успешно отправила управляющий элемент "запустить",Служба "Управление приложениями" перешла в состояние Работает.
В эпликэйшен-логах: Назначение приложения OpenOffice.org 3.0 из политики TEST_Desk выполнено успешно.
Однако установка не происходит.
Куда копать???

2vovanj7
http://www.petri.co.il/disable_usb_disks_with_gpo.htm

Не подскажете в чем может быть причина того, что в домене не открываются ресурсы по unc-имени (например \\bserver или \\bserver\netlogon). Выходит ошибка, что нет доступа. Открыть ресурс можно если войти в комп через сетевое окружение и потом туда куда нужно. Также работает по net use. Чувствую, что это как-то связано с политиками, но найти пока не могу. До недавнего времени политики домена не применялись к серверу (DC), на нем это работало, а как стали применяться политики - работать перестало