» Групповые политики (Group Policy, GPO): документация, ссылки

Yulia
Вы уверены, что выполнили условие

Цитата:

Замечание: эта политика появляется как в папке "Конфигурация компьютера", так и папке "Конфигурация пользователя". Чтобы эта политика вступила в силу, следует включить ее в обеих папках.

Если так, то смотрите почему и где системной учетной записи запрещено.

Иногда вылазит такое:

"Самые последние версии перечисленных ниже ADM-файлов недоступны. Возможная причина - недостаточно прав или нет доступа к сетевым ресурсам. Будет использована локальная копия этих ADM-файлов."

conf.adm
Размещение - "\\KNZ.local\SysVol\KNZ.local\Policies\{E5D18560-ADE7-4297-B0D1-C105B650FB8D}\Adm\conf.adm"
Ошибка - Системе не удается найти указанный путь.
inetres.adm
Размещение - "\\KNZ.local\SysVol\KNZ.local\Policies\{E5D18560-ADE7-4297-B0D1-C105B650FB8D}\Adm\inetres.adm"
Ошибка - Системе не удается найти указанный путь.
system.adm
Размещение - "\\KNZ.local\SysVol\KNZ.local\Policies\{E5D18560-ADE7-4297-B0D1-C105B650FB8D}\Adm\system.adm"
Ошибка - Системе не удается найти указанный путь.
wmplayer.adm
Размещение - "\\KNZ.local\SysVol\KNZ.local\Policies\{E5D18560-ADE7-4297-B0D1-C105B650FB8D}\Adm\wmplayer.adm"
Ошибка - Системе не удается найти указанный путь.
wuau.adm
Размещение - "\\KNZ.local\SysVol\KNZ.local\Policies\{E5D18560-ADE7-4297-B0D1-C105B650FB8D}\Adm\wuau.adm"
Ошибка - Системе не удается найти указанный путь.
прошлый админ недавно сносил все политики.
походу где-то хвост остался.
знаю что потерянные объекты как-то ищутся в adsiedit
подскажите решение проблемы

доброго времени суток

есть домен
пользователи на компах в домене (профили перемещаемые )имеют права локального администраторам
вопрос
можно ли через gpo изменить права на опытных пользователей или все таки ручками?

lehazmei
по идеи можно
для каждого компа создать группу
потом для каждой группы создать свою политику

spike

немножко не то
мне нужно чтобы определенные пользователи домена при работе на своих компах работали под правами опытного пользователя...у многих сейчас права локального администратора..

lehazmei
Опиши как конкретно пользователям в домене выданы админ права.

lehazmei
http://technet.microsoft.com/ru-ru/library/cc785631(WS.10).aspx

Добрый день!
Подскажите, как установить на компы в сети шрифт через групповую политику?

Установи шрифты на какой-нибудь машинке, после этого экспортни ключи реестра с твоими шрифтами из HKLM\Software\Microsoft\Windows NT\CurrentVersion\Fonts. В груп полиси в логон скрипте скопируй шрифты из общедоступного сетевого ресурса и потом импортни ключи реестра сохраненные ранее.

Появилась в сети книга Group Policy: Fundamentals, Security, and the Managed Desktop by Jeremy Moskowitz

attaattaatta

Цитата:

Вы уверены, что выполнили условие
Цитата: Замечание: эта политика появляется как в папке "Конфигурация компьютера", так и папке "Конфигурация пользователя". Чтобы эта политика вступила в силу, следует включить ее в обеих папках.

Если так, то смотрите почему и где системной учетной записи запрещено.

уверена
куда конкретно смотреть? )



в принципе нашла выход - обновляю flash player с помощью psexec

Yulia

Цитата:

в принципе нашла выход - обновляю flash player с помощью psexec

Это не выход, а обходное решение. Обновлять Adobe Reader и Flash Player очень важно, ибо дыры. Если есть понимание VBS, посмотрите мой [more=скрипт, для применения на компьютер через GPO.]'Скрипт для установки Adobe Acrobat 9, с mst-пакетом, вносящим спец. настройки (отключение автообновления, убраны ярлыки и т.п.)
'Bonus установка/обновление Adobe Flash Player 10
'Разработчик: ______________ aka FL0od
'Версия 1.14 (reinstall AR to 9.3.0 + upd 9.3.2 + upd 9.3.3, reinstall FP to 10.1.82.76)
'Только x86

Dim strR_Adobe_Reader_Key, strF_Adobe_Reader_Distr, AR_Ver, strR_Adobe_FlashPlayer_Key, strF_Adobe_FlashPlayer_Distr, AFP_Ver

strR_Adobe_Reader_Key = "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{AC76BA86-7AD7-1049-7B44-A93000000001}\DisplayVersion"
strF_Adobe_Reader_Distr = "\\xxxxx.loc\DFS\CorpSoft\AcrobatReader"

strR_Adobe_FlashPlayer_Key = "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Adobe Flash Player ActiveX\DisplayVersion"
strF_Adobe_FlashPlayer_Distr = "\\xxxxx.loc\DFS\CorpSoft\FlashPlayer"

set WSHShell = WScript.CreateObject("WScript.Shell")

Dim Check64bit
Check64bit="HKLM\SOFTWARE\Wow6432Node\Classes\"
If keyExist(Check64bit)="TRUE" then wscript.quit

If keyExist(strR_Adobe_Reader_Key) = "FALSE" Then ' Устанавливаем Adobe Reader.
    Install_Adobe_Reader
End if

If keyExist(strR_Adobe_FlashPlayer_Key) = "FALSE" Then ' Устанавливаем Adobe Flash Player.
    Install_FlashPlayer
    '''''''wscript.echo "NEW!"
Else
    AFP_Ver=WSHShell.RegRead(strR_Adobe_FlashPlayer_Key)
    If AFP_Ver<>"10.1.82.76" then
        Install_FlashPlayer
        'wscript.echo "UPDATE!"
    End if
End if

AR_Ver = WSHShell.RegRead(strR_Adobe_Reader_Key)

If AR_Ver="9.3.0" or AR_Ver="9.3.1" Then
    'wscript.echo "Update!"
    Update_Adobe_Reader_9_3_2
End If

If AR_Ver="9.3.2" Then
    'wscript.echo "Update!"
    Update_Adobe_Reader_9_3_3
End If

'AR_Ver = WSHShell.RegRead(strR_Adobe_Reader_Key)
'If AR_Ver="9.1.0" Then
'    Update_Adobe_Reader_9_1_2
'ElseIf AR_Ver="9.1.2" Then
'    Update_Adobe_Reader_9_1_3
'End If

'-------------------------------------------------------

set WSHShell = Nothing

'''''''''''''''''''''''''''''''''''''''''''''' Функции и процедуры
Sub Install_FlashPlayer
    On Error Resume Next
    Dim InstallSTR
    InstallSTR=strF_Adobe_FlashPlayer_Distr & "\install_flash_player_ax.exe -install"
    WshShell.Run InstallSTR, 1, true
    ''wscript.echo InstallSTR
End sub

Sub Install_Adobe_Reader
    On Error Resume Next
    Dim InstallSTR
    InstallSTR=strF_Adobe_Reader_Distr & "\930\Setup.exe"
    WshShell.Run InstallSTR, 1, true
    ''wscript.echo InstallSTR
End sub

Sub Update_Adobe_Reader_9_3_2
    On Error Resume Next
    Dim InstallSTR
    InstallSTR="msiexec /passive /norestart /update " & strF_Adobe_Reader_Distr & "\Upd932\AdbeRdrUpd932_all_incr.msp"
    WshShell.Run InstallSTR, 1, true
End Sub

Sub Update_Adobe_Reader_9_3_3
    On Error Resume Next
    Dim InstallSTR
    InstallSTR="msiexec /passive /norestart /update " & strF_Adobe_Reader_Distr & "\Upd933\AdbeRdrUpd933_all_incr.msp"
    WshShell.Run InstallSTR, 1, true
End Sub

Function keyExist(strRegKey)
    dim oShell, strOldName
    set oShell = CreateObject("Wscript.Shell")
    On Error Resume Next
    strOldName = OShell.RegRead(strRegKey)
    If Err.number = 0 Then
        keyExist = "TRUE"
    Else
        keyExist = "FALSE"
    End If
    On Error Goto 0
    Set oShell = Nothing
End function[/more]
P.S. Автоустановка (mst-файл) Adobe Reader настраивается через "Adobe Customization Wizard 9".

Через GP ставлю софт на локальные машины, не нашел где в Просмотре Событий, на сервере, отслеживать косяки (события)?

Ребят, как найти и удалить неипользуемые объекты групповых политик?
а то в \\domain.local\SYSVOL\domain.local\Policies больно много старья.
w2k3r2

AciN

Цитата:

не нашел где в Просмотре Событий, на сервере, отслеживать косяки (события)?

А их там и не будет. События по проблемам с установкой msi (если Вы про это) есть только на клиенте.
FL
+1
Сам бы почистил... Есть подозрение, что в SYSVOL много мусора DFS-сяцо.
Есть вопрос, ткните, кто шарит. Если удалять объект групповой политики (не ссылку), папки удаляются? Хотя завтра сам проверю...

FL0od13
вот думаю, что надо будет искать руками старые и грохать их из sysvol. потом лезть в adsiedit и грохать их оттуда.

это если искать проблем на пятую точку.
кхе
gpmc это умеет. и видит удаленные политики (был в шоке от из кол-ва в текущей конторе)
брать тут
язык только английский. под x64 версии нет.

FL
Оснасткой gpmc пользуюсь с первых знакомств с AD и GP. Как управлять без неё политиками - не представляю. Жаль, что приняли меня за ньюба

Цитата:

и видит удаленные политики

А вот здесь поподробнее. Где в gpmc можно посмотреть удалённые политики?

Цитата:

Если удалять объект групповой политики (не ссылку), папки удаляются? Хотя завтра сам проверю...

Проверил. Удаляет (если удалять непосредственно объект из "Group Policy Object"). Т.ч. если следить за политиками через gpmc.msc - в SYSVOL\domain.local\Policies не будет "мёртвых" папок.

Опытные люди, подскажите, в GP AD 2008 r2 можно прописать перемещаемый профиль(не перенаправление папок) или выход- только молотить какой-нибудь vbs скрипт?

dion123
а теперь по русски сформулируйте конец вашего вопроса - а то каша какая-то получилась?
да можно работать с перемещаемыми профилями. да можно настроить запуск vbs на logoff пользователя...

Alukardd
по-русски:
В AD в свойствах пользователя можно указать путь по которому будет сохраняться перемещаемый профиль. Забивать туда нужно руками для каждого пользователя. Вопрос: есть ли параметр в GP где могу указать сей путь дабы сделать сразу всем пользователям. Спасибо.

dion123
dsquery, dsmod, etc. не?

PhoenixUA

Код: dsmod user cn=user000,cn=users,dc=domain,dc=local -profile \\server\share\%username%

dion123
Что-то не очень-то понял, что Вам нужно... Где хранить перемещаемые профили? Скорее всего так: <Win>+<R> -> gpmc.msc, выбираете объект, создаёте для него политику, ну а в ней: "Computer Configuration" -> "Policies" -> "Administrative Templates..." -> "System" -> "UserProfiles", там параметр "Set roaming profile path...".

Помогите плийз, перестали работать ГП, подозреваю что после переезда сервака на другое железо, хотя первые 2 недели работал нормально, вот какие ошибки стали появлятся в журнале при попытке сделать результирующую политику:

Источник: Userenv
Код (ID): 1030

Не удалось запросить данный список объектов групповой политики. Проверьте в журнале событий наличие сообщений, описывающих причины сбоя.

и такая:

Источник: Userenv
Код (ID): 1080

Не удалось выполнить поиск иерархии подразделений. (10). Обработка групповой политики прекращена.


Заранее благодарен за помощь

dion123
просто выделяете всех пользователей и открываете свойства(сразу для всех). Там вкладка Profile, там поле Profile Path и в него вбиваете то чо вам советовали ранее, а именно \\server\profiles\%username% - ну или где вы там хотите их хранить...

BVV63

Вот спасибо! Именно это и нужно было! Поисковика нет в GP, если не по глазам то вообще засада какая-то... хотя сейчас только мысль посетила "все параметры" экспортировать список

Alukardd

Нужно было в политиках, но все равно благодарю!

Все привет!! Может обращаюсь не вту тему сразу прощу прощения

Ногде в настройках политике можно разрешить доступ по сети на другой комп?

Вот скриншот ошибки возникающий когда тыкаю на комп который в сети...

valentin1985
пипец, значит вы не админ домена
или кто-то ушлый на этом компе удалил админов домена из локальной группы администраторы

freeman440
выбы сказали как это иправить?

структура сити групавая... у меня есть все права администратора просто не могу сообрать иза чего такая фигня

Сеть делал не я а другой человек!!! просто добавили один ком с операционнкой XP (администратор , пользователь и еще пользователь...)и когда на него заходишь с дркгого компа пишет такуб фигню..

подскажите где это оключить...

valentin1985
так надо указывать конкретно, что у вас рабочая группа
добавьте на компьютере, на который не можете зайти, пользователя с таким же именем (можно и паролем) как на компьютере, с которого пытаетесь подключиться