» Групповые политики (Group Policy, GPO): документация, ссылки

Подскажите плз, как через GP нужным мне пользователям поставить включить "Удаленный доступ к рабочему столу" в разделе удаленное использование. Насчет OU и групп всё ясно, но вот саму политику что-то найти не могу.

Добавлено:

Цитата:

Mew

Попробуй зайти через IP, если получится то дело в днс или вирусе.

kURONO

Цитата:

Попробуй зайти через IP, если получится то дело в днс или вирусе.

По ip тоже не пускает.

2 kURONO
Конфигурация компьютера - Административные шаблоны - Windows Components - Terminal Services - Allow Users to Connect remotely using terminal services
По моему то что нужно=)

Добавлено:
2 Mew
ИМХО что то с netbios протоколом, либо он запрещается, либо по какой то причине глючит. Конечно непонятно по какой причине все начинает работать если зайти на ресурс через сетевое окружение=( ..разве что в этот момент проходит авторизация и узел начинает понимать кто собственно желает связи...

2 AskeT_13
Это разрешает пользователю использовать Terminal Services для удаленного подключения к рабочему столу, а мне то, что на том компе куда подключается пользователь было разрешено "Разрешено удаленное подключение к рабочему столу". Это можно сделать через мой компьютер-свойства-дополнительно-дистанционное управление рабочим столом и там поставить галочку, вопрос в том, как поставить это галочку через GP....

2 kURONO
Да это ведь одно и тоже...При подключении к другому компьютеру через РДП-клиент(mstsc)
как думаешь, какую службу ты задействуешь? Именно службу терминалов. Этой политикой ты как раз и разрешишь доступ к компам через эту службу.

кто подскажет: Требуется удалить с рабочего стола значек Microsoft Office Outlook. Удалял его вручную - после установки патчей офиса он появляется снова.
Есть ли политика для очистки рабочего стола от этого значка?

Можно ли через ГП настроить почту (outlook) все пользователям в домене AВ,
Указать почтовый сервер, логин\пароль из домена естественно.
!?

klimusu
http://forum.ru-board.com/topic.cgi?forum=8&topic=19544&start=1440#12

Кто подскажет можно ли всетаки с помощью групповой политики понизить пользователей домена, которые на своих компах являются администраторами до уровня пользователей просто.

Ознакомился с http://forum.ru-board.com/topic.cgi?forum=8&topic=7966&start=0
и с http://forum.ru-board.com/topic.cgi?forum=8&topic=10983#1

Но так и не понял можно ли это сделать не прибегая к удалению пользователя с домена с последующим введением в домен, но уже с нужными правами.

Alan Capital
Если правильно понял, то заходишь в оснастку AD User and Computers - находишь нужный комп - правой кнопкой Manage - заходишь в Local User and Groups и удаляешь с группы админов юзера

Цитата:

Alan Capital
Если правильно понял, то заходишь в оснастку AD User and Computers - находишь нужный комп - правой кнопкой Manage - заходишь в Local User and Groups и удаляешь с группы админов юзера

Это работает понятно, а самой групповой политикой это сделать можно? Просто при 1000 допустим пользователей времени много уйдет на это.

Alan Capital

man Restricted Groups

Подскажите пожалуйста, есть два домена. Между ними подняты односторонние доверительные отношения. Где и чего надо прописать что стать владельцем ГПО???

доброго времени суток!
есть домен контроллер на базе win2003 server SP2
у меня такой вопрос: можно ли с помощью ГПО запретить изменение учетной записи на домен контроллере для ВСЕХ(даже для Администратора) пользователей кроме ее владельца? эта учетная запись является членом всех админских групп.

s1onik
права назначаются группам, поэтому либо создавать группу, куда перенести всех "админов", а этой группе в оснастке управления правами урезать права, либо никак.

то есть создать группу с правами админов, только урезать им права на редактирование только своей записи или вообще на редактирование всех учеток?

s1onik
нет, только редактировать в целом. так как права назначаются группе и на тип действий.

скажите как запретить перемещаемые профили для определенной OU

Цитата:

скажите как запретить перемещаемые профили для определенной OU

Computer Configuration -> Administrative Templates -> System/User Profiles -> Only allow local user profiles - Enabled

Возможно ли на ветки реестра менять права с помощью групповых политик АД ?

Вроде нашел решение.... regini

Суть проблемы в том что при добавлении компьютера в домен, на ветки реестра HKLM у учетной записи с уровнем доступа Пользователь нет прав на чтение некоторых веток реестра. В итоге не проходит первый запуск MS Office (ошибка 2503).

Возможно есть другие решения такой проблемы без изменения прав на реестр?

Спецы, подскажите возможно ли в автомате перемещать компьютеры из стандартного OU Computers в OU созданный мной?

Поднял print services role на win 2008, настроил подключение принтеров к группе компьютеров (per device), обновил политики, перезагрузил клиентские машины.
Но на клиентских машинах принтеры не появились.. как быть? С логах ошибок нет.

Возможно ли с компьютера не входящего в домен получить политики применяемые к компьютерам и пользователям этого домена?

needDrivers
можно открыть GPO от имени доменного пользователя и посмотреть что куда применяется

Можно чуть-чуть поподробнее?
Что запускать, gpedit.msc?
Запустить приложение от имени пользователя или имя пользователя в качестве параметра командной строки?

как группе компьютеров запретить перемещаемые профили?

klimusu
может быть для юзера, у которого перемещаемый профиль запретить вход на нужные компьютеры
needDrivers
устанавливаешь на комппе adminpak.msi из Admin Tools. берешь ярлычок "Active Directory Users and Computers" и запускаешь от нужного тебе имени (запустить от имени). при этом данному пользователю должен быть разрешен доступ на этот компьютер

VovaMozg
нет.. запрещать вход для пользователя, это не вариант

Доброго времени суток!

Подскажите пожалуйста, возможно ли в домене запретить вход всем пользователям, кроме одного, на определенном компьютере?..
Вариант привязать всех пользователей к своим компам не подходит...