» Групповые политики (Group Policy, GPO): документация, ссылки

NektoAlexSKG
Computer configuration->Windows Settings->Security Settings->Local Policies->User Rights assignment-> Allow Log on Locally

Добавлено:
klimusu

Цитата:

как группе компьютеров запретить перемещаемые профили?

Computer configuration->Administrative Templates -> System->User Profiles->Only Allow Local user profiles

VovaMozg
Спасибо! Список политик показывает, а вот детально их просмотреть не даёт (кнопка Изменить не активна).
Я правильно понимаю, что все настройки применяемые политикой хранятся в \\server\SYSVOL\?
Или какие-то настройки передаются через соединение со службой сервера?

Люди помогите пожалуйста.
Ситуация такая: мне нужно применить групповые политики к машине пользователя (windows xp) на сервере (windows 2003) создал организационную единицу в которую переместил пользователя. Задал для этой организационной единицы групповые политики (чтобы удостовериться в работоспособности политик задал простейшие ограничения в конфигурации пользователя как запрет запуска отдельных программ, убрать значёк корзины с рабочего стола...) и о УЖАС .... ничего не работает. Обновлял политики вручную GPUPDATE и перезагружал комп и что только не делал ничего не помогает.
Решил запустить для этого пользователя мастер результирующей политики, чтобы посмотреть какие политики применяются к данной учетной записи и опять УЖАС ... появляется "Ошибка групповой политики - оснастке RSoP не удалось перечислить пользователей на выбранном компьютере из-за указанной ниже ошибки ----> Пользователь с таким именем не существует" Хотя он существует и более того прекрасно входит в домен под этой учеткой!
Помогите пожалуйста, все перепробовал ничего не помогает!
Буду рад любой помощи!

Цитата:

мне нужно применить групповые политики к машине пользователя (windows xp) на сервере (windows 2003) создал организационную единицу в которую переместил пользователя

ололо

ego83

Попробуй вывести этого пользователя из домена обратно в воркгруп, перезагрузится и ввести опять в домен..... у меня была такая же ситуёвина когда я поменял имя компьютера на компе....

Bumsiq

Пробовал из домена обратно в воркгруп не помогло!

ego83
А ты других пользователей пробовал??

ПЕРЕФРАЗИРОВАНО!
И вопрос уважаемой аудитории... никто не знает как заблокировать всем компьютерам в сети возможность видеть системные расшары ($C, $D), но при этом оставить возможность видеть расшары файлового сервера...

Привет всем.

В домене разварачивается антивирус [msi пакет] с помощью групповой политики [Конфигурация компьютера -> Конфигурация программ -> Установка программ].
Нужно обновить его т.е. заменить более новым. Но при замене самого файла, установка не происходит. [more=Log на клиентах]Не удалось установить приложение АНТИВИРУС из политики ПОЛИТИКА. Ошибка: Ресурс с установочными файлами для этого продукта недоступен. Проверьте существование ресурса и доступ к нему. [/more]

На сколько я понимаю если удалить и создать повторно саму политику, пакет развернётся и там где уже был установлен более старый.

Как этого можно избежать?

Integer27h
проверь сетевые настройки на клиентах, в частности днс. какой номер ошибки?

Цитата:

проверь сетевые настройки на клиентах, в частности днс. какой номер ошибки?

Источник: Application Management
Код (ID): 102
Тип: Ошибка
Пользователь: NT AUTHORITY\SYSTEM
Описание: Не удалось установить приложение АНТИВИРУС из политики ПОЛИТИКА. Ошибка: Ресурс с установочными файлами для этого продукта недоступен. Проверьте существование ресурса и доступ к нему.

Дело в том что если вернуть предыдущий файл, то установка происходит без проблем. Может при установки она проверяет что-то типа CRC файла, и не дает его устанавливать?

когда пользователь не работает за компьютером некоторое время, его сеанс блокируется, где в политиках выставлятся время и где это отключается\включается?

klimusu, смотри настройки Screen Saver'а.


all, как бы скрыть кнопку без лишних телодвижений да штатными средствами?

как vbs-скриптом мапить/анмапить диски на сетевые ресурсы, не используя WshShell.Run net use

YURETS777
Тут пример

А как сделать отключение всех сетевых соединений (аналог net use * /delete /y)
WshNetwork.RemoveNetworkDrive "*", True, True
Выдает ошибку

Такой вопрос интересует. Может уже был, я еще не всю инфу просканировал тут, но.. В OU 1c_users внесены все пользователи, которые ходють на терминальный сервер поюзать одинэску. Через GPO конфигурация юзера-административные шаблоны-компоненты windows порезаны у них права почти на все, ну кроме запуска одинэски разве что и IE. а на локальные компы они заходят локально под учеткой локального пользователя, так как если зайдут под учеткой доменной то на локальном компе у них будет все порезано. Вот из этого вытекает вопрос, можно ли как то извратиться, чтобы пользователь при заходе на терминальный сервак применял одни настройки GPO а при заходе на рабочую станцию - другие. сервак 2003, раб.станции winxp.

Leitenant

WMI фильтр тебе в помощь. подключаешь фильтр к политике и все буде ок
чтониб типа:
SELECT * from Win32_OperatingSystem Where (CSName = 'term1' or CSName = 'term2')
где term1(2) - это имена твоих терм серверов

Ага, спасиб. я уже нашел это) в принципе и loopback тоже решает проблему.

Можно ли как то через GP отключить такую лабуду как Attachment Manager который при открытии файлов выдаёт предупреждение аля "open file security warning...."?? Есть соот-й пункт в GP - Default risk level for file attachments, но он вроде работает только в совокупности с list of low risk file types, в который надо вбивать соот-е расширения ещё, что неудобно...
--------------------------

вроде нашёл ключ - "Do not preserve zone information in file attachments"

Доброе утро.

У меня замена доменного пароля происходит раз в месяц, но ессно дело половина пользователей игнорирует предупреждения и в итоге начинает обрывать мне телефон. Вопрос можно как-то с помощью политик сделать так, чтобы в последний день система вывесила окно с заменой пароля и пока этого не произойдет не давала бы работать. Т.е. либо замени пароль, либо ..... работать не дам.

dopelganger
Так сделать вроде нельзя, но можно использовать средства Self Service Reset Password Management, типа Tools4ever SSRPM или AdventNet ADSelfService.

dopelganger
можно ставить галочку "Требовать смену пароля при следующем запуске" тогда юзер пока не сменит ему не даст система войти пока не сменит пароль.
Галочку можно скриптом поставить для всех юзеров домена...

VovaMozg
ну а собссно, сам скрипт в планировщик на выполнение с расписанием обработки за 3 дня до конца месяца?

dopelganger
А разве при истекшем пароле он тебе при загрузке не скажет "либо замени пароль, либо ..... работать не дам"? У меня лично так и работает... Предупреждения стоят за 5 дней.

PhoenixUA
Я честно сказать так и не нашел где ставить кол-во дней для оповещения, у меня просто выставлено что "Account never expires". Напоминать он начинает примерно дней за 10. А вот как и где это устанавливается, к своему стыду не знаю....

Глупый вопрос, а как настроить чтобы" А разве при истекшем пароле он тебе при загрузке не скажет "либо замени пароль, либо ..... работать не дам"? У меня лично так и работает... "

Прости пож. за глупые вопросы....

dopelganger
1) В групповой политике: Конфигурация компьютера - Конфигурация Windows - Параметры безопасности - Локальные политики - Параметры безопасности - Интерактивный вход в систему: напоминать пользователям об истечении срока действия пароля заранее.
Устанавливаешь сколько надо дней.

2) В групповой политике: Конфигурация компьютера - Конфигурация Windows - Параметры безопасности - Политики учетных записей - Политика паролей - Макс. срок действия пароля.
Опять же ставишь сколько надо.

PhoenixUA

огромное спасибо, проверил, надеюсь может это средство проймет....

dopelganger
Цитата:

"Account never expires".

ну галочку-то надо будет снять у пользователя чтобы пароль истекал.

Интересный вопрос: можно ли используя групповые политики, разрешить для определенного ip адресса компьютера в домене, для которого существуют на домене несколько пользователей вход в домен только одному из них, а для остальных (кроме админа), запретить доступ? Буду рад любому ответу.

syrj те чтобы на конкретный комп достпуп был только конкретным юзерам?
Если да то идем в редактор объектов групповой политики (либо создаем новую политику, которую применяем для нужных нам компьютеров)
Конфигурация компьютера -- Конфигурация Windows -- параметры безопасности -- Локальные политики -- Назначение прав пользователя
Правим параметр "Локальный вход в систему". И ели надо "Отклонить локальный вход"