» Групповые политики (Group Policy, GPO): документация, ссылки

вариантов решения проблемы - масса!
всё зависит от поставленной цели и, как ни странно, количества клиентских машин. если их 20 - это одно, если 200 - совсем другое.

просто если задача единоразовая и клиентов мало, то проще решить "в лоб" - быстрее получится.

Есть 25 пользователей (а вообще до 50 планируется). Каждому из них в ближайшем будущем нужно будет сделать перемещаемый профиль, а также переместить папки "Мои документы" и "Рабочий стол" на сервер. С редиректами все понятно, неясно с путями. Каждому прописывать лень. Можно конечно выделить нужных и забить им требуемые пути.
Вопрос: как это сделать при помощи групповых политик? То есть - закинули пользователя в группу RoamingProfileUsers, и у него автоматом назначилась домашняя папка на диск Z: - \\server\RoamingDocs, а путь к профилю стал \\server\RoamingProfiles.
Есть варианты?

Желательно еще букву домашнего диска скрыть, но это по возможности.

P. S. Букву диска скрыл предпочтениями политик.

Уже всю голову сломал, но не могу победить:
создаю подразделение (OU) ХХХ, в нем - OU юзеры и OU компьютеры;
в юзерах пытаюсь создать пользователя с простым паролем в 6 символов - default domain policy не дает этого сделать, т.к. там прописаны сложные пароли от 7 символов;
создаю новую политику с простыми паролями в 6 символов, и присоединяю ее к OU ХХХ;
делаю gpupdate,
и все равно не создать пользователя с простым паролем в 6 символов.

В чем ошибка?

zander82
Да отключите временно политику, которая требует сложные пароли. Затем создайте учётку с паролем в 6 символов и включите политику заново.

Цитата:

zander82
Да отключите временно политику, которая требует сложные пароли. Затем создайте учётку с паролем в 6 символов и включите политику заново.

Требуется для разных подразделений сделать разные требования к паролям.

zander82

Цитата:

В чем ошибка?

Не ошибка, а банальное нежелание читать. Поддержка разных политик паролей начинается только с Win Sеrver 2008

Цитата:

Не ошибка, а банальное нежелание читать. Поддержка разных политик паролей начинается только с Win Sеrver 2008

Манипуляции провожу на сервере 2008r2

Цитата:

Манипуляции провожу на сервере 2008r2

А сам то домен/лес какого уровня ?
http://www.techdays.ru/videos/1080.html

Цитата:

А сам то домен/лес какого уровня ?

Тоже 2008r2.

zander82
Пуск - администрирование - управление групповой политикой - default domain controllers policy - правой кнопкой изменить - конфиг-я компьютера - Конфигурация Windows - Параметры безопасности - Политики учетных записей - Политика паролей
по моему там меняете длину, сложность пароля

А на счет группового создания ярлыков и папок завтра с работы отвечу.

Jollier

Цитата:

Пуск - администрирование - управление групповой политикой - default domain controllers policy - правой кнопкой изменить - конфиг-я компьютера - Конфигурация Windows - Параметры безопасности - Политики учетных записей - Политика паролей
по моему там меняете длину, сложность пароля

все верно, но если не трогать default policy?
Создаю новую политику специально для изменения требований к паролям, применяю ее к нужному OU, и пытаюсь создать в этом OU пользователя с паролем, удовлетворяющим новою политику. Но почему то default policy перекрывает новую политику...

zander82
если я понял правильно, Вам необходимо использовать Fine Grained Password Policy - технология, которая предоставляет возможность использовать разные политики паролей для разных групп.
Вот ссылка для ознакомления
http://blogs.technet.com/b/seanearp/archive/2007/10/06/windows-server-2008-fine-grained-password-policy-walkthrough.aspx
кроме того, есть несколько бесплатных утилит для конфигурации данной возможности
http://blogs.technet.com/b/kabans/archive/2009/09/12/fine-grained-password-policy.aspx

надеюсь это Вам поможет

attaattaatta
KarRoman
Благодарю за помощь в вопросе!

Цитата:

Есть 25 пользователей (а вообще до 50 планируется). Каждому из них в ближайшем будущем нужно будет сделать перемещаемый профиль, а также переместить папки "Мои документы" и "Рабочий стол" на сервер. С редиректами все понятно, неясно с путями. Каждому прописывать лень. Можно конечно выделить нужных и забить им требуемые пути.
Вопрос: как это сделать при помощи групповых политик? То есть - закинули пользователя в группу RoamingProfileUsers, и у него автоматом назначилась домашняя папка на диск Z: - \\server\RoamingDocs, а путь к профилю стал \\server\RoamingProfiles.
Есть варианты?

Желательно еще букву домашнего диска скрыть, но это по возможности.

P. S. Букву диска скрыл предпочтениями политик.

Сам себе и отвечаю:
Делается при помощи PowerShell + командлеты от QuestSoftware, редактор скриптов PowerGUI ScriptEditor.


Код:
#
# Выбираем пользователей, которые состоят в группе RoamingProfileUsers
# (для нее и будем назначать пути)
Get-QADGroupMember "RoamingProfileUsers" | ForEach-Object{
#
# Назначение пути профиля
Set-QADUser -Identity $_ -ProfilePath ('\\server\RoamingProfiles\' + $_.samAccountName)
#
# Назначение буквы домашнего каталога на букву Н:
Set-QADUser -Identity $_ -HomeDrive 'H:'
#
# Назначение пути домашнего каталога
Set-QADUser -Identity $_ -HomeDirectory ('\\server\RoamingDocs\' + $_.samAccountName)
}

Хочу раздавать перемещаемый профиль пользователя служб терминалов через GPO. ОС - Windows 2003 Server.
Это можно сделать через "Конфигурация компьютера - Адм. шаблоны - Комп. Windows - Службы терминалов", параметр "Задать путь для перемещаемых профилей TS". Как я понимаю, для того, чтобы политики ветки "Конфигурация компьютера" применились на терминальном сервере, надо его переместить в OU, на которое и должна распространяться политика. Но вот беда - терминальный сервер - это одновременно и контроллер домена (от бедности). Сомневаюсь, что получится это сделать, а если и получится, то вряд ли это хорошая идея.
Подскажите, как можно решить эту задачу?

Добавлено:
Забыл добавить. Все немного усложняется тем, что есть 2 разных OU, для которых перемещаемые профили лежат в разных местах.
В общем, задача, получается примерно такая - применить 2 разные политики "Конфигурация компьютера" для 2 OU на контроллере домена. Можно тут ли что-то придумать?

Повторюсь:
для облегдения администрирования нужно установить GPMC - это оснастка консоли для православного управления политиками домена.
http://www.microsoft.com/downloads/en/details.aspx?displaylang=en&FamilyID=0a6d4c24-8cbd-4b35-9272-dd3cbfc81887

Далее:
политики можно назначать не только отдельным OU, но и отдельным группам/пользователям/машинам.
Всё это легко настраивается оснасткой.

Обратите внимание на этот пример:


..а далее разбирайтесь: куда политику помещать, к кому/чему и как её применять. можете прямо в корне разместить

MAGNet
а как узнать установлена эта оснастка или нет?

freeman440
Выполните "GPEdit.MSC". Если не запустится - значит, не установлена.

MAGNet

Спасибо, форсировал ответ на не заданный вопрос )

freeman440
в W2k3 она не существует по умолчанию. Её позже сделали и в дистрибутив она не вошла.
в W2k8 она есть.
Так что качайте дистриб (5 с небольшим) и ставьте.
зы
если бы она была - вы бы о ней знали

ззы
NskRonin
..с булочкой

зззы
После длительных танцев встала Убунта (не подумайте превратно )
..имею массу положительных эмоций и целый ряд приятных ощущений!!



Простите за оффтоп

Темой мог конечно ошибиться, но всё же...

Имеется домен. Сервер win2k8. Клиенты winXP Prof, win7 Ult.
При входе пользователям цепляются сетевые диски следующим [more=скриптом]Option Explicit

Dim WSHShell, WSHNetwork, oShell, user, CommonWay

Set WSHNetwork = WScript.CreateObject( "WScript.Network")
Set wshShell = WScript.CreateObject("WScript.Shell")
Set oShell = CreateObject("Shell.Application")

Do While WSHNetwork.username = ""
WScript.Sleep 250
Loop

user = wshNetwork.username
CommonWay = "\\192.168.0.6\OldDocuments"

WSHNetwork.MapNetWorkDrive "I:", CommonWay
oShell.NameSpace("I:").Self.Name = "ШАРА"

WScript.Quit[/more]. Который прекрасно работает. за исключением одной интересной ситуации...
Повелись мы в последнее время доменных юзеров включать в группу локальных админов (дабы есть куча проблемного софта и костыли к нему писать надоело). Но вот засада на XP всё прекрасно, а вот на 7ке как только пользователя включаешь в группу локальных админов как у него перестают мапиться диски!!!
Еле понял в чем засада, но почему так происходит и как решить проблему я не знаю. Что посоветуете???

Всем привет, прошу помощи.

Есть Win Server2003 клиент Win XP SP3 и ограниченными правами на локальной машине.
Подскажите как через GPO запретить клиенту прослушивание аудио файлов.

270781912
Активируйте "Software Restriction Policy" (на примере английской версии: "Computer Configuration" -> "Windows Settings" -> "Security Settings" -> "Software Restriction Policy"). Удалите типы файлов, предлагаемые по умолчанию и добавьте форматы аудио.

BVV63
Спасибо, подскажите как это реализовать если по умолчанию стоит все разрешено.
т.е. как сделать чтоб эти разрешения файлов были запрещены ?

Здравствуйте!
Как в "Запуск только разрешенные приложения Windows" указать сетевой выполняемый файл?
\\fsc\Рабочие Программы\ARM.exe
не дает запускать
если просто добавить ARM.exe то программа будет запускаться.
Надо что бы политика разрешала выполнять программы только с определенного сервера.
Спасибо!

Цитата:

\\fsc\Рабочие Программы\ARM.exe

Убрать пробел!!

Добавлено:
..либо взять в кавычки.
Пробовали?

Пути с пробелами обрабатываются некорректно.

я бы еще и русские названия исключил
\\fsc\workProgram\APM.exe

к слову, да, но если не пользовать командную строку, то особенно не мешает. просто "правила хорошего тона" соблюдаются.
при работе из командного файла, например, возникает головняк с параметрами. они там всё время кодировки путают +)

Спасибо товарищи! Изменил на следующий путь,
\\ns3\TestGP\ARM\ARM1111.exe
к сожалению, с тем же эффектом ( Операция отменена...)
Пробелов нет, сиволы латинские (
Что еще посоветуете?
Спасибо!

А политика где прописана у пользователя или у компьютера?
Если у пользователя - то проверять есть ли у него права на выполнение этого файла (тупо запустить )
Если у компьютера то тогда она выполняться должна от локал система (этого компьютера) - есть ли у него доступ к этой шаре. лучше всего попробовать разрешить гостя и дать ему доступ на эту шару