Ru-Board.club
← Вернуться в раздел «В помощь системному администратору»

» Групповые политики (Group Policy, GPO): документация, ссылки

Автор: VovaMozg
Дата сообщения: 02.07.2009 11:36
dopelganger
что мешает это сделать например скриптом:
1. берем локальную группу админстраторы
2. получаем всех её членов
3. исключаем из этой группы все кроме Администраторы и Domain Admins
4. Полученых в шаге 2 пользователей помещаем в нужную тебе группу
Автор: dopelganger
Дата сообщения: 02.07.2009 12:17
VovaMozg
Глупый, наверное, вопрос, а какой скрипт??? Написанием увы ни владею.... Хотя была мысль использовать скрипты, но ввиду незнания этой области, отказался от нее.....

Как вариант можно сделать это руками, но уж оч. не хочется....
Автор: master_evil
Дата сообщения: 02.07.2009 12:31
Всем привет. Помогите советом пожалуста.
Есть домен на w2003ServR2 клиенты XPprof SP2-SP3
созданы OU для компов и для пользователей.
настроены политики для компов, все применяется нормально кроме настроек брендмауэра, не работают исключения для портов и программ. На клиенской машине использование команды netsh firewall show state verbose=enable показало что политики получены с домена (исключения общий доступ к файлам и принтера, удаленое управление и т.п.), но исключения для програм и портов заданы только локально почему клиентские брендмауэры не хавают исключения которые я задаю на домене?
Автор: exdee
Дата сообщения: 09.07.2009 08:50
Добрый день. Думаю попал по адресу (в ту тему). В общем через ГП изменил расположение папок для документов и рабочего стола. На сервере создаются папки документов и рабочего стола с именем профиля. Всё в принципе нормально, но есть одно НО!!! В создаваемые папки имеют доступ все кому не лень. Подскажите как правильно настроить доступ к папке и безопасность, чтобы доступ имел только пользователь который создал эту папку и администратор. Заранее благодарен.
Автор: mic2000
Дата сообщения: 14.07.2009 12:25
Подскажите можно ли ФИО пользователя из AD поместить в поле "Описание компьютера" на WinXP?
Автор: Dasky
Дата сообщения: 14.07.2009 13:09
mic2000
так ето же в АД - Компьютерс просто так делается...любому компу задаешь описание...
или имеется в виду выдрать имя залогиненого пользователя и загнать его в описание компа?
Автор: mic2000
Дата сообщения: 15.07.2009 09:02

Цитата:
так ето же в АД - Компьютерс просто так делается...любому компу задаешь описание...
или имеется в виду выдрать имя залогиненого пользователя и загнать его в описание компа?


ага, так и хочу, что бы тот кто залогинился в описании был
Автор: ExpertRus
Дата сообщения: 15.07.2009 09:25
Всем привет

Прошу помощи гуру и профессионалов.
Суть задачи. Разветвленная сетевая инфраструктура. Основной домен - mydomen.com с двумя контроллерами. Дочерний домен - filials. mydomen.com тоже с двумя контроллерами.
Рабочие станции и пользователи головного офиса зарегистрированы в основном домене mydomen.com Рабочие станции и пользователи филиалов зарегистрированы в дочернем домене filials. mydomen.com Групповые политики присутвуют и распространяются через основной и дочерние домены.
Задача - необходимо распространять групповые политики для отдельных филиалов, постараться реализовать отказоустойчивую схему авторизации пользователей при пропадании связи с филиалами.
Предположительное решение - поднять контроллеры дочернего домена в каждом филиале. Построить site'ы для каждого филиала. Применять групповую политику на каждый site в отдельности.
Вопрос - правильное ли принято решение?
Поднял для примера в одном из филиалов контроллер дочернего домена. Создал site filial1 , определил для него связи со всеми контроллерами основного и дочернего доменов, определил для него подсеть, переместил в этот site соответсвующий контроллер домена филиала. Создал и привязал групповую политику для этого site, но она почему то применилась лишь для контроллера этого филиала и этого site. На рабочих станциях, которые находятся с ним в одной подсети - на них групповая политика не распространилась. Я что то делаю неправильно?
Заранее спасибо за помощь.
Автор: Dasky
Дата сообщения: 15.07.2009 14:57

Цитата:
но она почему то применилась лишь для контроллера этого филиала и этого site. На рабочих станциях, которые находятся с ним в одной подсети - на них групповая политика не распространилась

делал через консольку gpmc.msc?или просто через панель управления - администрирование - групповые политики?
mic2000
если компов мало можно и руками скопипастить...если много, видел где-то скрипт vbs, который делает подобную штуку...если не ошибаюсь видел в теме автоматизиция управления здесь на борде...но могу ошибаться...в самом ГПО не видел, чтоб можно было реализовать подобное...
Автор: Karlik
Дата сообщения: 15.07.2009 16:30
mic2000
Здесь посмотрите
Автор: kuk2000
Дата сообщения: 15.07.2009 19:11
Доброго всем времени суток.

Подскажите кто знает (и сильно не пинайте, если уже обсуждалось). Можно ли прописать проксю через ГП группам компов (но не юзеров). Что бы независимо от юзеров прописывалась опрделенная прокся.

Заранее благодарен
Автор: 5555555
Дата сообщения: 15.07.2009 19:40
kuk2000

Цитата:
Можно ли прописать проксю через ГП группам компов
по порядку очередности все равно (насколько помню) будет применяться значение обозревателя, а это - свойство окружения пользователя...
если там пусто, то можно через автоопределение прокси реализовать, см "Proxycfg.exe"


Добавлено:
ключ относится к ветке машины:
HKEY_LOCAL_MACHINE\ SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\WinHttpSettings
Автор: mic2000
Дата сообщения: 16.07.2009 09:15
подскажите еше как можно такое реализовать, немогу найти в груповых политиках где это делается

Цитата:
В действительности обычный пользователь не имеющих администраторских прав на локальном компьютере не может изменять значение переменных реестра в разделе HKEY_LOCAL_MACHINE, а так же не имеет прав на перезапуск службы сервер (server). Т.е. для работы скрипта необходимо наделить пользователя соответствующими правами, проще всего это сделать, создав отдельную групповую политику, используя которую мы дадим необходимые разрешения, а так же будем запускать данный скрипт при логине пользователя на компьютере.


мне нужно менять ветку "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters\srvcomment" и перезапускать службу "сервер"
Автор: Karlik
Дата сообщения: 16.07.2009 10:13
kuk2000

Цитата:
Подскажите кто знает (и сильно не пинайте, если уже обсуждалось). Можно ли прописать проксю через ГП группам компов (но не юзеров). Что бы независимо от юзеров прописывалась опрделенная прокся.

Как я понимаю, надо смотреть сюда: Конфигурация компьютера-Административные шаблоны-Групповая политика-Режим обработки замыкания пользовательской групповой политики.
Читать здесь , глава Обратный порядок обработки политик. Там про терминальные серверы, но общий принцип понятен из статьи.
Автор: niichavo
Дата сообщения: 16.07.2009 10:27
kuk2000

Цитата:
Можно ли прописать проксю через ГП группам компов (но не юзеров). Что бы независимо от юзеров прописывалась опрделенная прокся.

[more=Скрипт]
Код: '***************************************************************************
'
' IE proxy settings for machine
'
'***************************************************************************
Option Explicit

Dim Enabled, Shell, Key

Const Policies = "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\ProxySettingsPerUser"
Const Proxy = "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings"
Const Server="\ProxyServer"
Const OverRide = "\ProxyOverride"
Const Enable = "\ProxyEnable"
Const ProxyServer = "192.168.10.1"
Const ProxyPort = "3128"

Set Shell = Wscript.CreateObject("Wscript.Shell")

Key = Policies
Shell.RegWrite Key, 0, "REG_DWORD"
Key = Proxy & Server
Shell.RegWrite Key, ProxyServer & ":" & ProxyPort, "REG_SZ"
Key = Proxy & OverRide
Shell.RegWrite Key, "<local>","REG_SZ"
Key = Proxy & Enable
Shell.RegWrite Key, 1, "REG_DWORD"
Set Shell = Nothing
Автор: ExpertRus
Дата сообщения: 16.07.2009 14:42
Dasky
Привет
Спасибо за отклик.
Делал через gpmc.msc
Сам подход, указанный мной, через site'ы верен?
Автор: aisboard
Дата сообщения: 20.07.2009 15:17
Подскажите как доменой политикой можно (если можно) переименовать локальную группу "Администраторы" и включить в нее необходимые доменные группы.
Как переименовать локального пользователя Администратор я знаю, а группы там нет рядом.
Автор: Dasky
Дата сообщения: 20.07.2009 15:48
ExpertRus
см ПМ
Автор: niichavo
Дата сообщения: 20.07.2009 16:04
aisboard

Цитата:
Подскажите как доменой политикой можно (если можно) переименовать локальную группу "Администраторы"

Доменной политикой, имхо, никак. Может поможет гугл.

Цитата:
и включить в нее необходимые доменные группы.

Читай "Группы с ограниченным доступом (Restricted Groups)"
Автор: mptv
Дата сообщения: 22.07.2009 22:32
Добрый день!
Скажите пожалуйста, можно ли с помощью GPO добавить в надежные узлы сайт?
если да, то в каком разделе?
Автор: niichavo
Дата сообщения: 22.07.2009 23:34
конф. пользователя - настройка ie - безопасность - зоны безопасности и оценка содержимого
Автор: trolly1975
Дата сообщения: 26.07.2009 21:37
Вопрос по принципу работы Групповых политик. Ответ очевиден, но нигде точно не написано, поэтому прошу вас подтвердить или опровергнуть.
Ситуация:
компьютер COMP1 находится в OU COMPOU.
пользователь USER1 находится в OU USEROU.
COMPGPO прилинковано к COMPOU.
USERGPO прилинковано к USEROU.
В COMPGPO есть некие настройки только в "Computer Configuration"
В USERGPO есть некие настройки как в "Computer Configuration" так и в "User Configuration".

Компьютер COMP1 загружается и к нему применяются настройки, описанные в части "Computer Configuration" COMPGPO. Затем, на этом компьютере регистрируется пользователь USER1. В этот момент отрабатывают настройки, описанные в "User Configuration" USERGPO.
Вопрос: В таком сценарии, отрабатываются ли настройки, описанные в "Computer Configuration" USERGPO или они игнорируются полностью?
Спасибо.


Автор: raizo
Дата сообщения: 26.07.2009 21:50
mptv
да можно в настройках пользователя
IE - security
Автор: RoDeZiya
Дата сообщения: 30.07.2009 14:32
Подскажите, как в домене запретить системе запускать экранную заставку при простое компьютера?
Автор: FL0od13
Дата сообщения: 30.07.2009 15:00
RoDeZiya
"Конфигурация пользователя" -> "Административные шаблоны" -> "Панель управления" -> "Экран".

"Использовать экранные заставки" -> "Отключена"
Автор: Dasky
Дата сообщения: 31.07.2009 15:47
добрый...
столкнулся с такой проблемой...
через ГПО, при логине юзера запускается батник, который генерит бмпшник BGInfo, с необходимой мне инфой, типа имя компа, ип, и т.д. и применяет его...
фоновые рисунки рабочего стола сделал неактивными...
теперь юзеры меняют фоновый рисунок через просмотрщик хп, правой кнопой - установить как обои...

вопрос собственно в том, как запретить им смену обоев, чтоб у них всегда стояла картинка с инфой?
спс...
Автор: attaattaatta
Дата сообщения: 31.07.2009 16:38

Цитата:
User Configuration->Administrative Templates->Control Panel->Display->Prevent Changing Wallpaper
Автор: anton04
Дата сообщения: 05.08.2009 16:40
Здраствуйте форумчане.

Подскажите, кто в курсе, как отменить перемещение/синхронизацию папки "Мои документы". Соотвествующая политика в AD есть, я удаляю линк, перезагружаюсь и ничего не происходит, т.е. перемещение/синхронизация остаётся. В самой этой политики вроде галки стоят, чтоб возвращать папку на прежнее место, при удалении политики. mobsync из реестра (локального ПК) удалил. Где ещё копать?
Автор: attaattaatta
Дата сообщения: 05.08.2009 17:13
anton04
А gpresult говорит, что все ок ?
Автор: rkhodjaev
Дата сообщения: 06.08.2009 07:47
Dasky

Цитата:
через ГПО, при логине юзера запускается батник, который генерит бмпшник BGInfo, с необходимой мне инфой, типа имя компа, ип, и т.д. и применяет его...

а можно подробнее?

Страницы: 12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565758596061626364656667686970717273747576

Предыдущая тема: Шарю по net share: Системная ошибка 5. Отказано в доступе

Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.