» Групповые политики (Group Policy, GPO): документация, ссылки

Цитата:

Любым доступным способом добавлять ключ в ресстр на клиентские машины

[?\Software\Microsoft\Windows\Curr entVersion\Explorer\VisualEffects]
"VisualFXSetting"=dword:00000002

добавил через .adm
CLASS USER
CATEGORY "Наилучшее быстродействие"
POLICY VisualEffects
KEYNAME Software\Microsoft\Windows\CurrentVersion\Explorer\VisualEffects
PART VisualFXSetting NUMERIC
DEFAULT 2
VALUENAME "VisualFXSetting"
END PART
END POLICY
END CATEGORY

в реестре значение у пользователей встало
в свойствах компьютера смотрел значение установлено но отображение рабочего стола как было "красивое" так и осталось. при ручной установке данного параметра всяческая раскраска окон исчезает и становиться как у w2k серенькая. а сдесь осталась выпуклая синяя. где косячек?

Контроллер домена на Win 2008 - пытаюсь через Restricted Groups дать некоторым доменным юзерам права локального админа... создаю группу, выбираю OU в "Эта группа является членом в..." , делаю обзор, выбираю размещение не домен, а локальный комп (контроллер домена) - нажимаю поиск - и НЕ нахожу группу "Администраторы"... такая группа есть только если искать в самом домене, но при добавлении этой группы у меня пользователи домена могут заходить свободно в \\контроллердомена\c$ ... как быть?

iknow

Цитата:

"Эта группа является членом в..." , делаю обзор...

Не надо обзоров. Просто ручками напиши "Администраторы"

niichavo

Нихрена... оно умное - говорит нет такой группы...

ПыСы ... хотя нет - погодь ... написалось ... щас буду попробовать спасибо.

ПыСы ПыСЫ ...поробовал - всё равно пользователями из этой группы имею доступ к системным дискм к любой машине ... вроде делал gpupdate /force ...или может нужно перегрузиться полностью и котроллер тоже?

iknow
Не совсем понятно что ты делаешь. Если тебе нужно, чтобы пользователи некоторой группы были локальными админами на своих рабочих компах (эта группа добавится в локальную группу Администраторы), нужно:

- Создать GPO для OU в которой находятся юзеры из группы компы, в которых юзеры из группы должны быть админами
- В этой GPO в Restricted Group жмакаешь добавить группу. Выбираешь группу, в которой у тебя привилегированные юзвери - локальные одмины. Например, YOURDOMAIN\LocalAdmins
- В "This Group Is Member Of" (Эта группа является членом в...) добавляешь "Администраторы" ручками без обзоров.

Всё. У меня так работает
ЗЫ. Эта политика не должна применяться к контроллеру домена, раз ты не хочешь чтобы пользователи домена могли заходить свободно в \\контроллердомена\c$

niichavo


У меня вроде так всё и сделано за исключением первого пункта - конечно я не в default gpo делаю всё а в отдельной но применяется она ко всему домену ...а тут ты говоришь что эту политику нужно связать только с определённым OU в котором будут мои локал админы ... попробую - но что-то сомневаюсь что это лишит их доступа к системным шарам

ПС

- еще раз спрошу - перегружать контроллер нужно и другие машины или достаточно gpupdate /force ?

iknow

Цитата:

У меня вроде так всё и сделано за исключением первого пункта

Ошибся в первом пункте. Исправил. В OU должны быть компы, в которых ты хочешь сделать локальными админами юзеров из группы YOURDOMAIN\LocalAdmins (название наобум, естессьна).

Цитата:

конечно я не в default gpo делаю всё а в отдельной но применяется она ко всему домену ...а тут ты говоришь что эту политику нужно связать только с определённым OU...

Цитата:

но что-то сомневаюсь что это лишит их доступа к системным шарам

Не то, чтобы это нужно. Мне кажется удобным разделить - серверы в одной OU, а рабочие - в другой OU. Тогда и групповая политика, в которой ты будешь раздавать права локального админа будет действовать на определённую OU. Или, если очень не хочется этого делать, используй тонкую настройку применения GPO через Security Filtering и Delegation. Например, в Delegation, запрети применение политики для сервера.



Добавлено:

Цитата:

- еще раз спрошу - перегружать контроллер нужно и другие машины или достаточно gpupdate /force ?

Скорее всего нужно будет всё перезагрузить. Выполни gpupdate /force и тебе скажут нужно перезагружать или нет.

ЗЫ. "Лишние группы" из Administrators на контроллере домена можно удалить вручную

Как обойти gpedit? в gpedit выполнил следующее - Конфигурация пользователя > Административные шаблоны > Система > Выполнять только разрешенные приложения Windows затем ввел winword.exe и вышел, после чего запускается только ОН. Вопрос как исправить положение без переустановки XP ?

Добрый день уважаемые!
Помогите пожалуйста разобраться со следующим вопросом.
Как можно запретить, добавление/удаление в региональных языковых настройках какой либо язык?
Сервер 2003 R2.
Заранее благодарен!

И всё же, перерыв с утра половину интернетов и натыкаясь на сообщения от 2003 и 2005 годов, не могу понять я -- как из exe-файла сделать инсталлятор msi для помещения его в gpo?

sivka krd

Цитата:

как из exe-файла сделать инсталлятор msi для помещения его в gpo?

А оно точно того стоит? Имхо, проще установить имея exe-шник, чем заниматься конвертацией.

1. Удостоверьтесь, что exe-файл нельзя распаковать (через 7-Zip, к примеру), получив msi.
2. Если не удалось-таки распаковать. Нужно смотреть какой используется установщик. Узнаёте ключи "тихой" установки для установочного файла. И, узнав, используете скрипт, в котором задаёте "тихую" установку программы. Пример скрипта, файл "7zip_setup.vbs" (в GPO startup script для компьютера):

Код:
On Error Resume Next
Set WshShell = CreateObject("WScript.Shell")
WshShell.Run "\\server\Utils\Archivators\7z\7z457.exe /S /install=SFQR", 0, 1

Цитата:

Добрый день!
Есть домен на базе Windows 2003 Server R2 SP2.
На контроллере домена поднята служба печати, опубликованы принтера через групповые политики (на компьютер и на пользователя).
При входе пользователя в сеть выполняется команда pushprinterconnections.exe, после чего у пользователя в оснастке панели управления "Принтеры" появляются все принтера опубликованные в домене через групповую политику.

Проблема заключается в том, что после удаления принтера в домене и соответственно снятия его публикации в групповой политике, на пользовательском ПК этот принтер остается (но при этом возможность печати на данный принтер конечно же отсутствует). Таким образом на ПК пользователей в списке принтеров имеется очень много "мертвых/недоступных" принтеров, что не есть хорошо.

Может кто знает как решить данную проблемку, буду очень признателен.

а именно нужно удалить в ветке HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Connections принтера.....и ВАМ НАСТУПИТ СЧАСТЬЕ!!!

Проблема в следующем, в переговорках необходимо запретить пользователям выключать\перезагружать компьютер. Решил сделать через локальные политики (домен с групповыми тоже есть), пытаюсь в "локальных политиках>назначение прав пользователя>завершение работы системы" удалить пользователей и оставляю только адмнистраторов. После перезапуска консоли этот параметр остается неизменным, чтобы я ни делал, вседа добавляются пользователи и опытные пользователи. Этот параметр не перекрывается групповыми политиками и остальные параметры в локальных политиках меняются. А с этим запара. При чем на одном компе поменял нормально, а на другом и на тестовом не хочет изменяться. Если указывать через групповые, то помимо тех групп, которые указываются в групповых, добавляются и эти две. Может добавление этих групп где-то можно отключить?
Система WindowsXP SP3.

Позже поиграл с локальными политиками и обнаружил, что в разделе "назначении прав пользователей" какому-либо параметру группу добавить могу (и соответственно все сохраняется), а вот потом уже удалить группу не получается. Она как бы удаляется (ошибок нет), но при перезапуске консоли\перезагрузке\gpupdate\ настройки остаются на прежнем уровне.

Цитата:

SSV_RA
Как с помощью политик прописать чтобы у всех пользователей отображались часы в трее?

я вот тоже задался этим вопросом. для группы тестовых юзеров которые ходят на серв терминально в гпо в св.панели задач и "тебю")) пуск прописанно так чтобы часы были. но не срабатывает.
пробовал другие возможные комбинации этого параметра: Удалить часы из системной области уведомлений - тщетно

выход пока только один разрешить тест.юзеру свойства панели задач, чтоб он сам смог добавить часы. но этого разрешать низя!

как быть?

Народ!

Проблема с GP.

На целевой машине в журнале ошибок пишет "Windows не удалось получить доступ к файлу GPT.INI для объекта групповой политики CN={C6C7213E-473E-4AE3-8428-85A712DDF91D}..." и соответственно политика не применяется. Посмотрел на контр. домена в папке ...SYSVOL\domain\Policies - там нет такой политики. Там только 2 политики: контроллера домена и самого домена. Полный поиск по диску С файла с таким именем также не дал результата Смотрю OU и ее GP - есть такой номер. И редактировать ее дает... Тогда где же она хранится??

На тестовой OU через mmc создаю политику. Создается. В папке SYSVOL\domain\Policies ничего не добавляется. Опять же вопрос: где она создается??

Помогите, плиз! Пятые сутки голова кругом.......

Lovec

Цитата:

На целевой машине в журнале ошибок пишет "Windows не удалось получить доступ к файлу GPT.INI для объекта групповой политики CN={C6C7213E-473E-4AE3-8428-85A712DDF91D}..." и соответственно политика не применяется

Цитата:

На тестовой OU через mmc создаю политику. Создается. В папке SYSVOL\domain\Policies ничего не добавляется.

Сколько контроллеров домена? Ошибки на контроллере? Возможно, не идёт репликация. Какие права установлены на папку SYSVOL? С источниками и номерами событий - в eventid.net. Ещё ссылки: вот, вот

niichavo
Спасибо.

Используя FRSUtil выявил проблему в DNS, судя по описанию которой, могли и политики не работать. Еще сутки читал доки - устранил все траблы. Щас ошибок нет ни на контроллерах (их два), ни на тестовой рабочей станции.

Единственное что мешает радости, не применяется политика из раздела "Конфигурация компьютера". Безо всяких ошибок и намеков, просто не применяется. Запускал на целевой тачке gpupdate: один раз из трех это помогло применению политик. С "конфигурацией пользователя" проблем нет.
Пользователь и компьютер находятся в одной OU, политика к ней привязана, безопасность настроена.
Из-за чего так может быть?

Lovec

Цитата:

не применяется политика из раздела "Конфигурация компьютера". Безо всяких ошибок и намеков, просто не применяется

Странно, если ошибок при этом нигде никаких нет. Проверь через Group Policy Result. Что отчёт скажет, она применяется или тоже нет? А может всё наладиться само-собой через некоторое время после репликации.

niichavo
Делаю так. В GP отключаю службу Автоматическое обновение (раздел "Конфигурация компьютера"). Перегружаю компьютер. Служба включена. Смотрю gpresult: политики применялись достаточно давно, т.е. после перезагрузки они автоматически почему то не применились.
Далее. Запускаю gpupdate /force - политика применяется и служба останавливается. Но разве политики (из обоих разделов) не должны применяться при каждой перезагрузке?

Lovec

Цитата:

не применяется политика из раздела "Конфигурация компьютера". Безо всяких ошибок и намеков, просто не применяется

знакомое... так и не понял как заставить этот раздел работать, но кажется для этого политика или ссылка на неё должна лежать в нужной OU... такие замуты по крайней мере присущи разделу "Конфигурация пользователя"...

Цитата:

В папке SYSVOL\domain\Policies ничего не добавляется. Опять же вопрос: где она создается??

щас глянул у меня они создаются в 2 места...
1 - SYSVOL\domain\Policies
2 - SYSVOL\sysvol\mydomain\Policies
а зачем тебе нужен раздел "Конфигурация компьютера"??? просто когда-то тоже нашол в нем удачные разделы, но все решилось другими средствами, в 1-ю очередь скриптами...

Добавлено:
не знал куда приткнуть темку так что написал тут.
Вопрос таков: если для системных нужд некоторые скрипты лежат на серве в расшариных папках, надо ли давать право на чтение( и при необходимости на запись ) всем для кого скрипты предназначены или они исполняются от имени administrator/SYSTEM и требуется дать права токо этим учоткам???

Alukardd

Цитата:

надо ли давать право на чтение( и при необходимости на запись ) всем для кого скрипты предназначены или они исполняются от имени administrator/SYSTEM и требуется дать права токо этим учоткам?

Надо. Нет прав на чтение - скрипт не запустится.
Если скрипт применяется для конфигурации компьютера в групповой политике, то он запускается от имени SYSTEM. Если применяется для конфигурации пользователя, то от имени пользователя входящего в систему.

Добавлено:
Lovec

Цитата:

Но разве политики (из обоих разделов) не должны применяться при каждой перезагрузке?

Должны. Но некоторые параметры могут потребовать 2 перезагрузок, если используется асинхронное выполнение групповой политики (по-умолчанию в XP). На всех компах не применяется политика?

Есть домен, в нем политика Default Domain Policy, в контейнере Domain controllers соответственно есть Default Domain Controllers Policy, обе форсированы.
В DDP определены размеры журналов винды, в DDCP определены другие размеры журналов.
В gpmc на OU Domain Controllers Group Policy Inheritance стоит первой DDP, потом другие политики в том числе и DDCP. Почему то выигрывает DDP, как сделать чтобы выигрывала DDCP ? Если такая возможность без отключения наследования DDP ?

Цитата:

добавил через .adm
CLASS USER
CATEGORY "Наилучшее быстродействие"
POLICY VisualEffects
KEYNAME Software\Microsoft\Windows\CurrentVersion\Explorer\VisualEffects
PART VisualFXSetting NUMERIC
DEFAULT 2
VALUENAME "VisualFXSetting"
END PART
END POLICY
END CATEGORY

в реестре значение у пользователей встало
в свойствах компьютера смотрел значение установлено но отображение рабочего стола как было "красивое" так и осталось. при ручной установке данного параметра всяческая раскраска

АП! Те-же грабли. Кто сталкивался, не молчите. Помогите =)

Цитата:

АП! Те-же грабли. Кто сталкивался, не молчите. Помогите =)

Не проще тормознуть на всем домене службу "Темы" (Themes)?

самый правильны на мой взгляд способ это включить в ГП следующие параметры:

Конфигурация пользователя –Панель управления – Экран – Темы оформления рабочего стола
Загрузить конкретный файл оформления или зафиксировать классический : <пусто>

И будет всем счастье (как я и сделал у себя в домене)

Цитата:

Цитата:АП! Те-же грабли. Кто сталкивался, не молчите. Помогите =)


Не проще тормознуть на всем домене службу "Темы" (Themes)?

Она тормознута. И установлена тема Классическая. Но красивости все, типа затухания окон, теней и прочих свистелок и перделок, все равно остаются.

В общем по сабжу: там кроме вышеописанного ключа в реестре, еще меняется штук 20-30. Кому не лень - напишите шаблончик. Отследить всё, что меняется, проблемы не составляет - софта для этого в нете навалом.

Кроме тем есть ещё эффекты меню, тени и т.п.

Профессионалы прошу помочь!
Дано: Windows Server 2008 R2 с ролью "Удаленные рабочие столы"
Требуется: Для определенной группы пользователей с помощью групповой политики отключить значок "Сеть" в области переходов в Проводнике, который ведет к списку всех компьютеров в домене и сетевым принтерам...
Мы не смогли найти параметр в редакторе управления групповыми политиками отключающий данный значок. Подскажите как решить проблему. Заранее благодарны!

Добавлено:
P.S. Если нельзя убрать кнопку "Сеть", то хотя бы подскажите как сделать, чтобы компьютеры сети не отображались для данной группы пользователей.

помогите пожалуйста, настроил политики, выставил "выполнять только разрешенные приложения" указал там все нужные исполняемые файлы.
Все приложения запускаются, но, не запускаются сами документы этих приложений, допустим DBFNavigator.exe запускается, а файлы DBF нет, выдаёт сообщение об ограничении, если открыть с помощью DBFNavigator, то работает, подскажите где это настраивается?

разобрался
Изменение режима установки.

CHANGE USER {/EXECUTE | /INSTALL | /QUERY}

/EXECUTE Разрешение режима выполнения (по ум
/INSTALL Разрешение режима установки.
/QUERY Отображение текущих параметров.