[q][/q]
да, кстати, спс. что напомнил, а то бы чуть позже появился еще один глупый вопрос от меня ))))))))
да, кстати, спс. что напомнил, а то бы чуть позже появился еще один глупый вопрос от меня ))))))))
» Групповые политики (Group Policy, GPO): документация, ссылки
настраивал почту на машине, работающей в Active Directory. раньше все работало через локальный почтовый сервер. оказалось, что "telnet внешний_IP 25" не проходит. через учетку администратора домена такой запрос и почта проходят. как можно открыть эти порты? (брэндмауэр отключен групповой политикой).
Здравствуйте. может где и обсуждалось, но подскажите , можно ли груповыми политиками прикрыть Portable софт ?
crazyspoOky
можно прикрыть по хэшу либо же по пути. использу доп.софт можно ещё по критериия посмотреть...
можно прикрыть по хэшу либо же по пути. использу доп.софт можно ещё по критериия посмотреть...
а ведь портайбл то в основном используют какую либо утилиту ее создавшею? типа триинстал? может можно както его запретить? или GPO прикрывает только те, что в реестре прописаны? я думаю може просто поставить разрешение на запуск определенных программ. Тогда в этом случае они прописываются типа %PROGRAMFILES%/autodesk/autocad.exe? А по хэшу, это надо прописать запрет на запуск именно хотого хеша?
crazyspoOky да. можно одновременно и хэш и путь запретить.
VovaMozg
в продолжение вчерашнего вопроса по поводу паролей, скрипт не нашел, поступил проще - через выделить все. В связи с этим вопрос, отработать то, отработало, в целом насколько это корректно?
в продолжение вчерашнего вопроса по поводу паролей, скрипт не нашел, поступил проще - через выделить все. В связи с этим вопрос, отработать то, отработало, в целом насколько это корректно?
спасибо большое, реализовал еще и через политику ограниченного использования программ, разрешив только запуск программ из ProgramFiles, Windows и на всякий случай из Applecation Data, а диск C спрятал
dopelganger
ну а в чем проблема если получилось
в винде для многих операций имеется как правило несколько путей решения
ну а в чем проблема если получилось
в винде для многих операций имеется как правило несколько путей решения
Имеется домен и общая для всех доменная политика. Возникла необходимость подредактировать один небольшой параметр скринсейвера на одной из групп домена. Но конечно же политика группы перекроется политикой домена. Ставил уже в политике группы галочку "Не перекрывать" которая по логике не должна давать доменной политике по умолчанию перекрывать параметры этой группы. Ан нет. Все равно применяется политика домена. Что делать?.. Как сделать чтобы внутри домена политика группы имела приоритет над доменной?
erve
Есть у Microsoft такая вещь Group Policy Management Console (см. шапку "Enterprise Management with the Group Policy Management Console"), так вот там параметр называется Enforced.
Есть у Microsoft такая вещь Group Policy Management Console (см. шапку "Enterprise Management with the Group Policy Management Console"), так вот там параметр называется Enforced.
Поставил, все равно применилась доменная политика по умолчанию...
erve
Ты пытаешься применить политику на OU? Галку "Enforced" на какой потилики поставил?
Ты пытаешься применить политику на OU? Галку "Enforced" на какой потилики поставил?
на политике той группы которая должна примениться ДО доменной
а доменная по замыслу должны примениться после и перезаписать неопределенные параметры
Link enabled тоже оставляю... Т.е. она может даже и применяется ПОСЛЕ доменной, но не переписывает то что уже задано предыдущей. Моделирование как раз и показывает что применяются доменные политики, те политики что не совпадают с доменными прекрасно выполняются. Хммм... даже не так - в области Компьютера у меня политики группы перезаписали пустые доменные, а в области Пользователя почему то даже неопределенные доменные политики не перезаписались
а доменная по замыслу должны примениться после и перезаписать неопределенные параметры
Link enabled тоже оставляю... Т.е. она может даже и применяется ПОСЛЕ доменной, но не переписывает то что уже задано предыдущей. Моделирование как раз и показывает что применяются доменные политики, те политики что не совпадают с доменными прекрасно выполняются. Хммм... даже не так - в области Компьютера у меня политики группы перезаписали пустые доменные, а в области Пользователя почему то даже неопределенные доменные политики не перезаписались
erve
Честное слово ничёго не понял...
или проиллюстрируй или распиши всё конкретно...
Честное слово ничёго не понял...
или проиллюстрируй или распиши всё конкретно... Есть домен. В нем куча групп(подразделений) с компьютерами. Есть Default domain policy в которой прописаны политики домена. Некоторые группы имеют свои политики которые применяются естественно ДО доменной политики, собственно в групповых политиках задаются параметры которые не определены в доменной. Поэтому при применении доменной параметры групповой остаются.
Теперь возникла следующая задача. Для одной из групп надо создать политику, параметр которой отличается от определенного в доменной. Т.е. надо сделать так, чтобы или приоритет групповой был выше или применялась она позже доменной...
Ставлю по Вашему совету галочку Enforced. Что вижу... В результирующей политике все равно стоит параметр доменной, а не групповой. При чем ради эксперименты поставил в групповой еще пару параметров которые в доменной не определены. И с удивлением увидел что в разделе Конфигурация компьютера изменения применились, а в разделе Конфигурация пользователя (где находится и нужный мне параметр) они не применились, хотя в доменной политике они не определены!
Смотрю в результирующей политике - так и есть!
В конфигурации компьютера политика группы применяется, а в конфигурации пользователя - нет.
Теперь возникла следующая задача. Для одной из групп надо создать политику, параметр которой отличается от определенного в доменной. Т.е. надо сделать так, чтобы или приоритет групповой был выше или применялась она позже доменной...
Ставлю по Вашему совету галочку Enforced. Что вижу... В результирующей политике все равно стоит параметр доменной, а не групповой. При чем ради эксперименты поставил в групповой еще пару параметров которые в доменной не определены. И с удивлением увидел что в разделе Конфигурация компьютера изменения применились, а в разделе Конфигурация пользователя (где находится и нужный мне параметр) они не применились, хотя в доменной политике они не определены!
Смотрю в результирующей политике - так и есть!
В конфигурации компьютера политика группы применяется, а в конфигурации пользователя - нет.
erve
Цитата:
Цитата:
Цитата:
куча групп(подразделений) с компьютерами
Цитата:
Конфигурация пользователя (где находится и нужный мне параметр)
Да вот я сам уже прихожу к этому... медленно но верно 
Хорошо, как мне задать групповую политику для группы пользователей?
Доменная-то распространяется и на пользователей и на компы...
Хорошо, как мне задать групповую политику для группы пользователей?
Доменная-то распространяется и на пользователей и на компы...
erve
Применяй на уровне домена, только сделай фильтрацию по группе (безопасности), в которую будут входить нужные тебе пользователи...
Применяй на уровне домена, только сделай фильтрацию по группе (безопасности), в которую будут входить нужные тебе пользователи...
А как быть с приоритетом над доменной? или тут как раз галочка Enforced и пригодится?
erve
Можно сделать проще, удалить нужную тебе политику из Default domain policy и назначить несколько политик с нужными тебе параметрами на определённые OU (организационные единицы/подразделения). В этих OU могут содержаться как компы, так и пользователи/группы. В идеале для компов должны быть свои OU, для изеров/групп - свои. И соответственно политики относящиеся с компам применять к OU где компы, а политики для юзеров применять к OU где есть юзера/группы.
Вот такое вот разграничение.
P.S. Что такое
Цитата:
P.P.S. Под группы я понимаю группы безопасности.
Можно сделать проще, удалить нужную тебе политику из Default domain policy и назначить несколько политик с нужными тебе параметрами на определённые OU (организационные единицы/подразделения). В этих OU могут содержаться как компы, так и пользователи/группы. В идеале для компов должны быть свои OU, для изеров/групп - свои. И соответственно политики относящиеся с компам применять к OU где компы, а политики для юзеров применять к OU где есть юзера/группы.
Вот такое вот разграничение.
P.S. Что такое
Цитата:
ДОя не понял...
P.P.S. Под группы я понимаю группы безопасности.
Дело в том что нужная политика применяется на кучу групп, поэтому руками ее туда прописывать будет трудоемко.
Помогло перенесение на верхний уровень и прописывание групп кому это надо
Всем спасибо!
Помогло перенесение на верхний уровень и прописывание групп кому это надо
Всем спасибо!
erve
Цитата:
Зачем же в ручную... создайшь одну и потом копируешь
Цитата:
Дело в том что нужная политика применяется на кучу групп, поэтому руками ее туда прописывать будет трудоемко.
Зачем же в ручную... создайшь одну и потом копируешь
erve
Цитата:
Извините, что плохо понимаю. Что значит "на одной из групп домена"? Т.е. ты хочешь, чтобы был другим некоторый параметр у группы безопасности "MineGrouppen", например?
Что значит "конечно же политика группы перекроется политикой домена"? Что такое политика домена и политика группы? Попытаюсь догадаться. Пусть политика домена - это "Default Domain Policy", а политика группы - это созданная тобой групповая политика "GPO MineGrouppen", прикрученная к определённой OU "OU Company" (организационной единице) в которой у тебя лежит группа безопасности "MineGrouppen". Похоже? Тогда порядок применения политики такой. Вначале применяется "Default Domain Policy", а потом "GPO MineGrouppen".
Теперь для того, чтобы "GPO MineGrouppen" применялось только к группе "MineGrouppen", нужно в Group Policy Management в политике "GPO MineGrouppen" - Security Filtering указать только группу MineGrouppen. Если нужно, чтобы политика применялась и к определённым компьютерам, тогда засунь в эту группу нужные компы помимо учёток пользователей.
Цитата:
Имеется домен и общая для всех доменная политика. Возникла необходимость подредактировать один небольшой параметр скринсейвера на одной из групп домена. Но конечно же политика группы перекроется политикой домена.
Извините, что плохо понимаю. Что значит "на одной из групп домена"? Т.е. ты хочешь, чтобы был другим некоторый параметр у группы безопасности "MineGrouppen", например?
Что значит "конечно же политика группы перекроется политикой домена"? Что такое политика домена и политика группы? Попытаюсь догадаться. Пусть политика домена - это "Default Domain Policy", а политика группы - это созданная тобой групповая политика "GPO MineGrouppen", прикрученная к определённой OU "OU Company" (организационной единице) в которой у тебя лежит группа безопасности "MineGrouppen". Похоже? Тогда порядок применения политики такой. Вначале применяется "Default Domain Policy", а потом "GPO MineGrouppen".
Теперь для того, чтобы "GPO MineGrouppen" применялось только к группе "MineGrouppen", нужно в Group Policy Management в политике "GPO MineGrouppen" - Security Filtering указать только группу MineGrouppen. Если нужно, чтобы политика применялась и к определённым компьютерам, тогда засунь в эту группу нужные компы помимо учёток пользователей.
Цитата:
Извините, что плохо понимаю. Что значит "на одной из групп домена"? Т.е. ты хочешь, чтобы был другим некоторый параметр у группы безопасности "MineGrouppen", например?
Да, он должен отличаться от того, что установлен в Default Domain Policy
Цитата:
Что значит "конечно же политика группы перекроется политикой домена"? Что такое политика домена и политика группы? Попытаюсь догадаться. Пусть политика домена - это "Default Domain Policy", а политика группы - это созданная тобой групповая политика "GPO MineGrouppen", прикрученная к определённой OU "OU Company" (организационной единице) в которой у тебя лежит группа безопасности "MineGrouppen". Похоже?
Так и есть
Цитата:
Тогда порядок применения политики такой. Вначале применяется "Default Domain Policy", а потом "GPO MineGrouppen".
Тут меня переклинило и стало казаться что наоборот... Оттого и проблемы
Цитата:
Теперь для того, чтобы "GPO MineGrouppen" применялось только к группе "MineGrouppen", нужно в Group Policy Management в политике "GPO MineGrouppen" - Security Filtering указать только группу MineGrouppen
У меня эта политика и применялась, но только к компьютерам, а не к пользователям. а нужный параметр был как раз в настройках пользователей
Цитата:
Если нужно, чтобы политика применялась и к определённым компьютерам, тогда засунь в эту группу нужные компы помимо учёток пользователей
Собственно я может в терминологии путаюсь, но у меня в дереве есть Подразделения (группы компьютеров со своими GP) и контейнер с пользователями и группами. Можно создать НЕЧТО включающее в себя и компы и пользователей?..
erve
в группу "MineGrouppen" добавь учётки пользователей и компьютеров к которым должна применяться политика "GPO MineGrouppen"
В политике "GPO MineGrouppen" в "Security Filtering" указать только группу "MineGrouppen" для того, чтобы политика "GPO MineGrouppen" применялась только к ней
Прикрути политику к тем организационным единицам, где у тебя находятся члены группы "MineGrouppen". Если у тебя дерево, значит у дерева есть корень. значит есть одна общая OU, например с названием организации "OU Company". В этой общей корневой OU у тебя гарантированно находятся члены группы "MineGrouppen" (пользователи и/или компьютеры). Пусть они даже раскиданы по дочерним OU. Тогда нужно привинтить групповую политику "GPO MineGrouppen" только к организационной единице "OU Company"
ЗЫ. Тут "Enforced" не нужен, если я таки правильно понял задачу.
в группу "MineGrouppen" добавь учётки пользователей и компьютеров к которым должна применяться политика "GPO MineGrouppen"
В политике "GPO MineGrouppen" в "Security Filtering" указать только группу "MineGrouppen" для того, чтобы политика "GPO MineGrouppen" применялась только к ней
Прикрути политику к тем организационным единицам, где у тебя находятся члены группы "MineGrouppen". Если у тебя дерево, значит у дерева есть корень. значит есть одна общая OU, например с названием организации "OU Company". В этой общей корневой OU у тебя гарантированно находятся члены группы "MineGrouppen" (пользователи и/или компьютеры). Пусть они даже раскиданы по дочерним OU. Тогда нужно привинтить групповую политику "GPO MineGrouppen" только к организационной единице "OU Company"
ЗЫ. Тут "Enforced" не нужен, если я таки правильно понял задачу.
Добрый день присутствующим. Всем пользователям домена прописан логон-скрипт. Есть острая необходимость сделать так, чтобы он не отрабатывал при входе пользователей на один из компьютеров домена. Реализуемо это?
EnMan
В скрипте сделать проверку "на каком компе я запустился"
В скрипте сделать проверку "на каком компе я запустился"
niichavo
Угумс. Так и сделал уже. Спасибо. Дело осложнялось тем, что скрипт на js, в котором я дуб-дубом. Методом тыка сделал
Угумс. Так и сделал уже. Спасибо. Дело осложнялось тем, что скрипт на js, в котором я дуб-дубом. Методом тыка сделал
Доброго времени суток!
1. Назначил перенаправление папки "мои документы" на файл. сервак с монопольным доступом. Теперь появилась задача резервного копирования документов, как мне отключить монопольный доступ, и назначить группу безопасности, с правами на чтение? Попытка отключения "монопольного доступа" в GPO, ни к чему не приводит. Можно конечно залогинеться под каждым юзверем, и добавить необходимую группу, но на 100+ ПК, это уж слишком(((.
2. Пытаюсь синхронизировать перенаправленную папку, но на 50% ПК, синхронизация не работает, в политиках в конфигурации компьютера, стоит разрешить использование автономных файлов (конфигурации компьютера>админ шаблоны>сеть>автономные файлы>разрешить или запреть использование автономных файлов). Как выяснилось, проблема только на тех машинах, где предыдущий админ, ручками отключил синхронизацию локально на машине, из каких соображений, для меня загадка. Притом, что если политика включена, данная надстройка не доступна (свойства папки>автономные файлы>использование автономных файлов"), т.е. политика работает, но не включает "использование автономных файлов". Ручками галочку ставишь, и все гуд, в принципе могу и ручками побегать потыкать, но почему не работает, может я что-то упустил?
1. Назначил перенаправление папки "мои документы" на файл. сервак с монопольным доступом. Теперь появилась задача резервного копирования документов, как мне отключить монопольный доступ, и назначить группу безопасности, с правами на чтение? Попытка отключения "монопольного доступа" в GPO, ни к чему не приводит. Можно конечно залогинеться под каждым юзверем, и добавить необходимую группу, но на 100+ ПК, это уж слишком(((.
2. Пытаюсь синхронизировать перенаправленную папку, но на 50% ПК, синхронизация не работает, в политиках в конфигурации компьютера, стоит разрешить использование автономных файлов (конфигурации компьютера>админ шаблоны>сеть>автономные файлы>разрешить или запреть использование автономных файлов). Как выяснилось, проблема только на тех машинах, где предыдущий админ, ручками отключил синхронизацию локально на машине, из каких соображений, для меня загадка. Притом, что если политика включена, данная надстройка не доступна (свойства папки>автономные файлы>использование автономных файлов"), т.е. политика работает, но не включает "использование автономных файлов". Ручками галочку ставишь, и все гуд, в принципе могу и ручками побегать потыкать, но почему не работает, может я что-то упустил?
Страницы: 12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565758596061626364656667686970717273747576
Предыдущая тема: Шарю по net share: Системная ошибка 5. Отказано в доступе
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.