» Групповые политики (Group Policy, GPO): документация, ссылки

attaattaatta


Цитата:

А gpresult говорит, что все ок ?

А чё она говорит, да ничё... всё типа тип топ...

rkhodjaev
BGInfo
Полезная утилита, позволяющая выводить системную информацию на рабочий стол, поверх обоев. Пользователь может выбирать размер, начертание и цвет шрифта, пункты для отображения (их порядка 50) и расположение всего информационного блока на экране монитора. Помимо отображения информации, BGInfo также поддерживает экспорт данных в базу данных источников сети, что позволяет консолидировать информацию из систем нескольких машин на одном источнике.
Входит в состав утилит Sysinternals Tools от Марка Руссиновича
Ссылка

rkhodjaev
в ГПО в конфигурации пользователя - сценарий входа/выхода - вход в систему - висит батник следующего содержания:
\\mydomain.local\SYSVOL\mydomain.local\Bginfo\bginfo.exe \\mydomain.local\SYSV
OL\mydomain.local\Bginfo\config.bgi /nolicprompt /silent /timer:0
он создает bginfo.bmp, который кидает в темп папку юзера и ставит ету картинку в качестве фонового рисунка на раб.столе...
пользователям больше нравится смотреть на свои картинки, поетому они после отрабатывания батника открывают хпшным встроенным просмотровщиком картинку - правой кнопкой - установить в качестве фона...
никак не могу найти как полностью запретить пользователю изменять фоновый рисунок...

в конфигурации пользователя - административные шаблоны - рабочий стол - active desktop - использовать только точечные рисунки раб.стола и запретить изменения включены

так же включена классическая оболочка в Конфигурация пользователя\Административные шаблоны\Компоненты Windows\Проводник

вобщем требуется, чтоб на рабочем столе постоянно висела картинка bginfo.bmp и чтоб пользователь не мог ее убрать или заменить чем-то...
как вариант и возможно было бы лучше, чтоб батник отрабатывал допустим каждый час...
как ето реализовать сейчас думаю...

Добавлено:
банально запихать батник в шедулер и поставить повтор каждый час...
тогда вопрос как создать задание в шедулере для всех юзверей...

Dasky
Я тоже ломал голову, как запретить пользователям менять обои.
В итоге скрипт из GPO стал распространятся через SMS 2003 каждые два часа.
Через месяц мне больше не попадались "не корпоративные" обои.
Без SMS'а можно поставить скрипт через GPO в автозагрузку, который создаст задачу в шедулере, которая, в свою очередь, будет каждый час менять обои.
Пример скрипта, например, есть тут: http://www.vbsedit.com/scripts/os/tasks/scr_1042.asp (сам не пробовал ).

FL0od13
спс...поморочусь со скриптом...
SMS 2003 в сетке нет...хотел одно время поставить, тестил в виртуалке, в итоге денег не дали...
поетому, приходится искать обходные пути...

ildarU
Dasky

Спасибо, пробовал у себя на компе. Классная вещь. Но для моих юзеров не пойдет, они скажут, вот вы что то сверху делаете и копаетесь у нас в компе , я обычно через LanScope проверяю пару данных + есть маленькая база у меня, где хранится инфа о том, у кого какой копм: имя компа и ип.

Dasky

Цитата:

никак не могу найти как полностью запретить пользователю изменять фоновый рисунок...

посмотри здесь и здесь может это оно

freeman440

Цитата:

посмотри здесь и здесь может это оно

Это не оно. Если уж на то пошло, то у моих пользователей в "свойствах экрана" вкладки "Фон" нет вообще.
Настройки воллпаппера хранятся в разделе HKCU. К этому разделу у пользователей по-любому должны быть полные права (у меня был печальный опыт попытки урезать эти права). Поэтому теоретически запретить смену обоев пользователям нельзя. По крайней мере в XP.

Цитата:

посмотри здесь и здесь может это оно

да, не оно...
вкладка фон у моих пользователей не функциональна...сделал ее неактивной через ГПО...
реестр не трогал...
FL0od13

Цитата:

Настройки воллпаппера хранятся в разделе HKCU. К этому разделу у пользователей по-любому должны быть полные права

а права на раздел HKCU обрезал для всего раздела?если изменить права только на подраздел ХКЦУ или на елемент...
выставить допустим только чтение?без записи?

Приветствую!
Вопрос такого плана - в политиках есть пункты касающиеся Remote assitance, в частности в ветке: Computer configuration – Administrative templates – System – Remote Assistance
Но там задаётся возможность вкл-я функции приглашения помошника и список кто может помогать ьез запроса уведомления. Но что-то в настройках пользовательских ПК всё равно остаётся возможность отключить ремоут асситанс сняв соот-ю галку (это св-ва мой комп - ремоут - remote assistance) - нельзя ли её залочить окончательно?

Dasky

Цитата:

а права на раздел HKCU обрезал для всего раздела?если изменить права только на подраздел ХКЦУ или на елемент...
выставить допустим только чтение?без записи?

Я это делал давно и к сожалению не помню точно какие баги всплыли. Вроде бы при загрузке профиля возникали ошибки. Точно помню, что пришлось делать временно всех пользователей лок. админами, чтобы восстановить права.

Права хотел обрезал следующим способом (нашёл в vbs-скрипте):

Код:
WSHShell.Run "subinacl.exe /keyreg ""HKEY_CURRENT_USER\Software\Microsoft\Screensavers"" /grant=AL\%USERNAME%=F",1, true
WSHShell.Run "subinacl.exe /keyreg ""HKEY_CURRENT_USER\Control Panel\Desktop"" /grant=AL\%USERNAME%=F",1, true

WSHShell.Run "regedit.exe /s C:\Settings\DisplaySettings.reg",1, true
WSHShell.Run "%windir%\System32\RUNDLL32.EXE user32.dll, UpdatePerUserSystemParameters 1 False",1, true

WSHShell.Run "subinacl.exe /keyreg ""HKEY_CURRENT_USER\Software\Microsoft\Screensavers"" /grant=AL\%USERNAME%=R", 1, true
WSHShell.Run "subinacl.exe /keyreg ""HKEY_CURRENT_USER\Control Panel\Desktop"" /grant=AL\%USERNAME%=R",1, true

greenfox

Цитата:

Но что-то в настройках пользовательских ПК всё равно остаётся возможность отключить ремоут асситанс сняв соот-ю галку (это св-ва мой комп - ремоут - remote assistance)

как же её залочить если у тебя пользователи имеют права локальных админов на ПК, так или иначе необходимы только знания чтоб её поставить или убрать даже через реестр. Простому пользователю эта настройка не доступна.

Master_Alex
но на той же вкладке ниже Remote Desktop залочен же нормально? (у всех)

greenfox
в ХР у меня залочена (простой юзер)... и кнопка дополнительно тоже
зато в висте тоже залочена (простой юзер), но можно нажать дополнительно и снять уже там галочку разрешения

Добавлено:
проверь раздел (ХР СП3)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server
у юзера туда только запись должна быть...
и в этом же разделе, политикой например поставить при логоне постоянно прописывать в реестр
fAllowToGetHelp = 1 (проверил - именно этот пунк - твоя галочка)

Master_Alex
Да под простым юзером галка лочится, точнее лочится само окно - галка в зависимости не снимал ли её кто ранее. Просто скажем если админ компа её снял (а под админом окно доступно) то после применения политики заново (после ребута скажем) она почему то не выставляется назад... хотя пункт "Solicited Remote Assistance" в GP выставлен на все ПК в домене... странно
Цитата:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server
у юзера туда только запись должна быть...
и в этом же разделе, политикой например поставить при логоне постоянно прописывать в реестр
fAllowToGetHelp = 1

да это так, просто было интересно почему сама политика не срабатывает.

Уважаемые гуру GPO!
Возможно ли в WinServer 2003 прикрутить "управление групповыми политиками" как в WinServer 2008, интересует в частности появившиеся возможность управления "настройка" -> "параметры панели управления" через GPO?

Подскажите.
2003 Сервер в домене.
Есть политика с назв "Завершение работы: разрешать завершение работы системы без выполнения входа в систему".
Если я правильно понял становится активна кнопка "Завершение работы.." в логон окне.
Вопрос:
1)Действует ли она на RDP сессии?
2)Если пользователь залогонился в консоль (удал или локально неважно) можно ли локально нажать кнопку "Завершить работу..." в логон окне?

Нужно чтобы компьютер на 7-ке блокировался, скажем, через 20-30 минут простоя.
Не нашел в политиках по старым названиям, прошерстил все и не увидел такого.
Привязывать к скринсейверу не хочу т.к. стоит 5 минут отрубание дисплея..
Может в шедуллер забить? тогда подскажите коммандную строку для этого.
Пока при уходе или перед сном жать win+L, но как быть, если врубил на ночь фильму и уснул.. надо чтоб, пока я с утра сплю, к компу никто не подходил ))

Сделал через шедуллер, строка запуска блокировки - RUNDLL32.EXE user32.dll,LockWorkStation

Пероблема такова: при попытке изменения прав доступа к ключу реестра с помощью Subinacl выдаёться ошибка:
"LookupAccountName : HKEY_LOCAL_MACHINE:administrators 1337 Код защиты данных имеет неверную структуру.
Current object HKEY_LOCAL_MACHINE will not be processed"
Как с ней бороться?(

Люди, есть задача по групповым политикам на Windows Server 2008.
Дано: несколько компьютеров, разные группы пользователей которые могут работать на всех компьютерах. Настроен "общий" объект групповой политики, управляющий разделом настроек "Конфигурация пользователя" для всех пользователей заходящих на любой компьютер домена.
Нужно: При вхождении на определенный (один) компьютер из домена нужно чтобы для "определенной" группы пользователей применялись другие (особенные) настройки раздела "Конфигурация пользователя", отличающиеся от соответствующих настроек "общего" объекта групповой политики. В это же время при вхождении пользователей из этой "определенной" группы на любой другой компьютер из домена к ним должны применяться настройки раздела "Конфигурация пользователя" из "общего" объекта групповой политики.

Как это можно сделать? Перечитал массу литературы в интернете, но так и не понял как это сделать пошагово. Заранее спасибо за помощь!

Всем доброго утра

Есть OU, в нём компьютеры. На некоторые политика накладывается, на некоторые нет, попадает в отфильтрованные, как так? В чем может быть причина?

ra1n

Цитата:

В чем может быть причина?

Например, в Security Filtering в Group Policy Management. Может, в этом фильтре есть группа, в которую входят не все юзвери и/или компы, для которых ты бы желал применить политику. Или просто отсутствует группа Authenticated Users.

А так, уже были вопросы-ответы про выборочное применение политик.

добрейшее время суток. Поскажите, можно ли с помощью групповых политик (домен Windows 2k) заставить клиентские компьютеры под управлением Windows XP автоматом грузиться с Adjust for best performance (Обеспечить наилучшее быстродействие) -> System Properties- Advanced - Perfomance (Свойства системы - Дополнительно - Параметры быстродействия)? Заранее благодарен.

WildWildUser

Любым доступным способом добавлять ключ в ресстр на клиентские машины

[?\Software\Microsoft\Windows\Curr entVersion\Explorer\VisualEffects]
"VisualFXSetting"=dword:00000002

Что должно быть вместо вопроса я не знаю, надо теститировать. Это либо HKLM, либо HKCU, ну или любое =)

Цитата:

Что должно быть вместо вопроса я не знаю, надо теститировать. Это либо HKLM, либо HKCU, ну или любое =)

должно быть HKCU

После переустановки домена с 2000 на 2003 в локальных политиках стали недоступны для редактирования 3 политики в Local Policies->User Right Assignment:
1)Access this computer from the network
2)Allow log on locally
3)Allow log on through Terminal Services

мне надо правильно раздать права для Локальных пользователей IIS (IUSR_Machine , IWAM_Machine , IIS_WPG ) на сервере входящем в домен.

Доброго времени суток.
Нарисовалась проблема следующего типа - не срабатывают парочка политик:
а именно
1 - Не применяются настройки для IE User Configuration>Windows Settings>IE Maintenanse>Connection>Automatic Browser Configuration активирую галочку применять и прописал туды путь до *.pac файла.
2 - воткнул *.adm шаблон по поводу USBSTOR. эффекта 0! пользователи как могли вставлять флэшку так и могут.(((

И еще есть небольшие непонятки. Сам назапрещал 1-ой группе кучу всего, среди прочего как-то запретил им любое взаимодействие с сеткой кроме уже подключенных сетевых дисков. Всё прекрасно пашет я доволен, но тут появилась необходимость еще 1 группе пользователей запретить те же действия и я ни как не могу понять почему у одних запрет висит. а у 2х только часть. Меня щас волнует как запретить просмотр сетки путем строки адреса -
Код: \\192.168.xxx.xxx\public

Люди. такая проблема.
IE 7-8 не проигрывает флеш анимацию, хотя флеш плеер стоит.
Грешу на групповые политики.
Нашел там кое-что про анимацию - разрешил, без толку.
Может кто сталкивался/поможет?..

erve

первым делом сбросьте поностью все настройки по-умолчанию

Как ни странно - помогло Пасиба
В других случаях так и делал, тут что-то заклинило