» Групповые политики (Group Policy, GPO): документация, ссылки

JekaRus
подключи шаблон, установи в Disabled и будет флешки подключаться.
другой способ, это скриптом изменить на компах параметр реестра HKLM\SYSTEM\CurrentControlSet\Services\USBSTOR, установить Start в 3

Добавлено:
virusx1

Цитата:

в чем может быть проблема?

В шаблоне "Application Error Reporting". Это он у тебя на разных языках повторяется

Господа,помогите решить проблему,возможно она уже подымалась, но надо срочно решить, перестали открыватся груповые политики.
Сделал кое какие изминения, выполнил( в принцыпе и без выполнения тоже самое) gpupdate и после перезагрузки имею ошибку

Тип события:    Ошибка
Источник события:    Userenv
Категория события:    Отсутствует
Код события:    1058
Дата:        17.02.2010
Время:        16:08:31
Пользователь:        NT AUTHORITY\SYSTEM
Компьютер:    SERVER
Описание:
Windows не удалось получить доступ к файлу GPT.INI для объекта групповой политики CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=???,DC=org. Этот файл должен находиться в <\\???.org\sysvol\???.org\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini>. (Не удалось получить данные о конфигурации от контроллера домена. Либо он отключен, либо к нему нет доступа. ). Обработка групповой политики прекращена.

Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".

как решить ету проблему???
Заранее благодарен всем ответившим

MagistrAnatol,только что такое было тоже, прошло само после завершения репликации.

Во первых проверь, есть ли файл по указанному пути. Может контроллеры еще не успели репликацию провести(сомневаюсь что он 1 у тебя )

Подскажите пожалуйста.
Нужно пользователю дать доступ к альтернативным устройствам ввода(панель управления -> специальные возможности -> закладка общие )
галка напротив альтернативных устройств ввода не активна даже у опытного пользователя.. где в GP на локальном компьютере добавить прав(win 2003)?

Помогите разобраться.
Есть группа пользователей - Per, в ней же расположены ПК этой группы пользователей.
К этой группе применяются GPO: AllowPC_Per ( Локальный вход в ПК для группы пользователей) и Share_Per( Линк на общую папку).
Также есть корневые GPO для всех пользователей домена: Inet, Device_Lock, Disable_Firewall.

Необходимо разрешить локальный вход в ПК1 ( OU Per) только одному пользователю из группы Per, - чтобы остальные пользователи из группы Per не смогли зайти на этот компьютер.)

Создал подразделение NoLocalPC в группе Per, перенес ПК1 туда.
В закладке Безопасность NoLocalPC оставил оставил только системные и того пользователя кому нужно заходить локально на этот ПК

Но по прежнему все пользователи из группы AllowPC заходят на этот компьютер.

Подскажите. кто знает?

Есть домен поднят на 2х Win2003 R2, а так же есть парк машина Win7 профессиональная!
Раньше когда в парке основными были Win2000 и WinXP - политика заменяющая Настройки соединения в IE заменяла проксю и блокировала доступ в Интернет, а сейчас нет..win7 такая умная...чтов се равно видит прокси - кто-нибудь сталкивался с таким и как победить? как с помощью групповой заблокировать?

Групповая политика(GP) которая отвечала за подмену настройек IE лежит в корне дерева домена...но почему-то если смотреть по gpresult сначала применяется Default Domein policy, затем созданная и снова Default....по приоритету стоит наша GP первой...и вроде как должна перебивать все другие для конкретных пользователей! Так же в применении этой GP указаны только 3 пользователя - на чтение и запись....а для прошедших проверку ничего не стоит....для WinXp этовсе работает на ура....а вот для Win7 нет....

re3erw
переходи на серв 2008

re3erw

Для того что бы полноценно управлять GPO на машинах с Win7 нужен домен на Windows Server 2008R2.

контроллер домена - win 2003
комп - win vista
хочу добавить пользователю домена доступ локального админа
добавляю через и через менеджер учетных записей и через гпо - доступа админского не появляется
в чем может быть проблема?

azzg

Цитата:

доступа админского не появляется

как ты это определяешь?

Цитата:

в чем может быть проблема?

Проблема может быть в том, что ты что-то неправильно делаешь

azzg

глупый вопрос... После добавление перезагружаешь комп?

Подскажите как заставить windows 7 при загрузке отображать статус выполнения групповых политик. В WinXP и Win2008 при загрузке компьютера пишется статус ala "Применение групповой политики: lalala" или "Установка управляемого программного обеспечения:", а в семерке просто "примененеие параметров".

Надеюсь, в тему попал.

Суть вопроса: стоит XP Home, необходимо запретить всем группам пользователей изменять время:



Как известно, в HOME нет данной оснастки, в реестре правки тоже нельзя произвести - там данный параметр не прописан.

Вопрос: кроме интеграции gpedit.msc в систему, есть варианты управления параметром запрета изменения времени для всех групп пользователей?

Люди помогите, запарился уже...
Имеем: новый домен на Windows Server 2008 R2. Делаем политику, в которой добавляем пакет (msi). Пакет лежит в SYSVOL\setup (сделали сами папочку). На папку setup имеются права у system -full, everyone - read and execute, autentificated users - read and execute.
Делаем группочку, котоорй применяем политику, добавляем туда комп. Перегружаем комп. Видим что появляется надпись "Применение групповой политики", потом на секунду-две появляется "Установка ИМЯ_ПАКЕТА". И все.
Идем в логи и видим такую ересь:
Источник: Application Management
Код: 102
Пользователь: NT AUTHORITY\SYSTEM
Описание: Не удалось установить приложение ПРИЛОЖЕНИЕ-1 из политики Установка_ПРИЛОЖЕНИЕ-1. Ошибка: Ресурс с установочными файлами для этого продукта недоступен. Проверьте существование ресурса и доступ к нему.

ну и ещё 108 и 1085 о том что не смогло поставиться и смотри ранее.
В ДНС нормально.
Все бы ниче. Пробую под залогиненым юзером запустить из папки setup запустить пакет, грит
Не удается открыть пакет установки. Убедитесь что пакет существует и к нему есть доступ...

Далее берем пакет, копируем локально, запускаем - запускается...
Помогите разобраться где собака порылась....

Выяснил ещё одну интересную особенность. Не запускается только из sysvol. На этом же сервере сделали ещё одну шару, от туда все запускается. На сисволе права на чтение и выполнение есть у everyone (запретов нет). Куда копать?

VovaMozg
А имя у файла какое? Если переименовать во что-то типа setup.msi, пашет?

gerasidor имена у файлов разные. Переименование ничего не дает...

VovaMozg
расшарена ли папка setup?
в свойствах папки - доступ - разрешения - все - чтение и изменение стоит?

Папка находится в папке sysvol. Отдельно не расшарена. Разрешения стоят на чтение и выполнение всем.

Цитата:

Не запускается только из sysvol. На этом же сервере сделали ещё одну шару, от туда все запускается. На сисволе права на чтение и выполнение есть у everyone (запретов нет).

Пробовал запускать из под доменного админа (залогиненого). Не дает из sysvol.
Права стоят такие же как в домене 2003, msi те же самые, права на папку setup те же. В домене 2003 папка setup находится там же и все нормально запускается.

VovaMozg
Подними DFS и указывай пути через его пространство имен.
Незачем КД засорять программами... )

DFS поднят конечно. Это может быть альтернативное решение. Но мне нужно понять почему не запускается из sysvol. Да и репликация sysvol делается стандартными средствами, и распространять из sysvol это нормальная практика.

интересно что при этом от туда же запускаются exe

Добавлено:
Нашел статейку
http://support.microsoft.com/kb/889710

Люди поможите ))
не хватает прав пользователя на запуск клиент-банка сбербанк, если выставляю на реестр и папку полные права - то прога выдает ошибку про диск Ц, хотя там ей делать нечего, а если стоят обычные права - то выдает запрос на запуск от админа.
Можно как-то обойти это через ГП? выставив, что прога будет запускаться от админа или с увеличенными привилегиями?
Как службу ее не хочется запускать.
Винда 2008Р2 сервер.

Mafia80
я делаю ярлык для клиент-сбербанка с помощью этой штуки , хотя да к групповым политикам она отношения не имеет ) прошу прощения за оффтоп

временно решил проблему без гп, дал права админа и отрубил контроль учеток, но это не дело..
Даже если пользователь входит в группу админов, все равно задается вопрос на запуск программы и если она запускается от пользователя - то не запускается, если запустить один раз от админа - затем она запускается, но другая копия программы начинает вылетать с ошибкой.
Есть у КБ встроенное средство для запуска от пользователя, но оно полностью не решает проблему, только если одна копия кб.

Вечер добрый.Вот взялся за 2008 сервер,все установил,настроил,повоодил пользователей в домен,да вот не нашел где менять, скажем минимальное количество требования на пароль пользователя при входе и т.д....а то это требование надоело уже,с большой буквы и минимум 8 символов...Подскажите

VovaMozg
Как-то не вяжется

Цитата:

распространять из sysvol это нормальная практика

Цитата:

We recommend that you do not use the Sysvol folder as an installation point for programs.

A sysvol как и DFS реплицируются с помощью ntfrs, хотя думаю это Вы и без меня знаете...

Mafia80
Цитата:

временно решил проблему без гп, дал права админа и отрубил контроль учеток, но это не дело..
Даже если пользователь входит в группу админов, все равно задается вопрос на запуск программы и если она запускается от пользователя - то не запускается, если запустить один раз от админа - затем она запускается, но другая копия программы начинает вылетать с ошибкой.
Есть у КБ встроенное средство для запуска от пользователя, но оно полностью не решает проблему, только если одна копия кб.

А техподдержка клиент-банка сбербанка ничего сказать не хочет? Их продукт - пусть отдуваются.

Mushroomer
тп говорит. что проблема винды - решайте сами ))
мне кажется они тупо не учли контроль учеток пользователя или прога ломится туда, куда ей не надо.

PhoenixUA просто когда инсталляторы лежали в sysvol - реплицировалось само средствами гп... хотя в 2008 это тоже FDS.