» Групповые политики (Group Policy, GPO): документация, ссылки

Не найду никак, как в 2008 R2 настроить разрешения для пользователей по обновлению Windows через политики? Подскажите способ или линк.

Цитата:

Не найду никак, как в 2008 R2 настроить разрешения для пользователей по обновлению Windows через политики? Подскажите способ или линк.

конф.компьютера -> адм.шаблоны -> компоненты windows -> центр обновления windows

kazavo4ka
Спасибо

Добрый день.

В групповые политики на сервер 2003 была внесена установка ПО (ничего особенного, архиватор для пробы). После чего эта политика была удалена. Однако теперь на станциях при выполнении команды gpupdate /force я получаю сообщение:

Refreshing Policy...
User Policy Refresh has completed
Computer Police Refresh has completed
Certain Computer Policies are enabled that can only run during startup
OK to Reboot

В отчете по групповой политике получаю следующее

Computer Configuration Summary
Component Status
    Component Name Status Last Process Time
    Group Policy Infrastructure Success 19/06/2011 09:51:36
    EFS recovery Success (no data) 19/06/2011 09:51:36
    Registry Success 19/06/2011 09:51:35
    Security Success 19/06/2011 09:51:36

Software Installation Pending 19/06/2011 09:51:36
Software Installation did not complete policy processing because a system restart is required for the settings to be applied. Group Policy will attempt to apply the settings the next time the computer is restarted.

Additional information may have been logged. Review the Policy Events tab in the console or the application event log for events between 19/06/2011 09:51:36 and 19/06/2011 09:51:36.

Скриншот

В логах ничего нет.

Т.е. как бы что-то недоустановлено. Однако политики, касающиеся установки ПО - пусты!

Проблема в том, что все эти вещи выдаются на Default Domain Policy...

Обнулять политки очень не хочется... Где еще можно порыть?

Добрый день, помогите пожалуйста.
Пытаюсь настроить несколько групповых политик на пароли.
default - пароль должен быть не менее 7 символов
pass - пароль должен быть не менее 7 символов и быть сложным
default линкую на домен, pass на OU=office
делаю gpupdate /force и применяется только политика default (если конечно винда не считает пароль 1234567 сложным)
Пробовал отключать наследование - тоже не помогает.
Подскажите, как правильно сделать работающий вариант.

Khotckevich
устанавливать и удалять политики ПО нужно очень аккуратно!
при удалении пробной политики по установке ПО следует указывать, что это ПО не нужно удалять с компьютеров. В противном случае после удаления политики контроллер будет постоянно посылать команду на удаление.
Если ПО было установлено и после удалено, то команда всё равно будет отрабатываться при каждой загрузке или gpupdate. Контроллер "до скончание времен" будет посылать команду на удаление. просто в процессе загрузки происходит следующий диалог:
- удалит XXX.
- ясно, проверяем.. XXX в системе нет.
- зашибись! поехали дальше..
..и никаких ошибок не возникает.

При gpupdate с ключом force он принудительно пытается применить всю политику для компа/юзера, а т.к. политика установки ПО применяется только в процессе загрузки, то и возникает сообщение типа "хочу ребут"

Перед удалением политики нужно удалить все её связи с OU; иногда помогает

ясно выразился?!


Hkey_Current_User

Цитата:

Подскажите, как правильно сделать работающий вариант.

rsop.msc на клиенте (или моделирование политики для машины в оснастке gpmc.msc с сервера) покажет какие политики применяются, какие фильтруются и по каким признакам.

первый вариант проще и предпочтительнее.

зы
политику паролей нужно применять для компутеров. в том OU, куда запихнута ссылка на политику, должны быть не юзеры а машины (или оба два вместе).


F_L LiaNet

Цитата:

Вся тема в том, что после применения GPO в Windows 7 везде пропал этот значёк, под ХР всё нормально ничего не поменялось.

читаем внимательно technet.microsoft.com для серверов. GP для 2003 и 2008 (Win7) несколько отличаются.

зы
а вы случайно не используете перемещаемый профиль для юзеров?!

MAGNet
Спасибо, то что надо оказалось. Правда не могу я понять, почему M$ политику паролей засунули в конфигурацию компьютера, ну да ладно.

Доброго времени суток.
Интересует меня мгновенный запуск батника из GPO т.к многие машины в домене не выключаются неделями и ждать нет возможности ( да и релог не выполнить), где то находил упоминание но потерял ссылку, не подскажите?

Hkey_Current_User
с булочкой =)
пьяный писал. был бы трезв - ленился бы..

Добавлено:

Цитата:

Интересует меня мгновенный запуск батника из GPO т.к многие машины в домене не выключаются неделями и ждать нет возможности

мгновенное обновление политики: gpupdate /force с клиента.
если надо супер!срочно - ищем DameWare NTUtilites Portable
позволяет всякое делать..
или psexeс (ищем в сети) поможет перезагрузить тех, кто не хочет.

зы
политика для юзера обновляется при релогине.
про "срочный запуск" написано выше

Немного запутался, нужна помощь. Ситуация следующая:
- хранение объектов ПК в AD организовано по различным контейнерам(деление по филиалам), пользователи аналогично только отдельные OU
- надо для членов определенной группы пользователей организовать запуск скрипта, пользователи могут быть разбросаны по всему домену
- дополнительное условие: происходить это должно исключительно при логоне на ПК, находящихся в определенном OU

Что делал:
- создал групповую политику, привязанную к контейнеру содержащему ПК
- в ГП в конфигурации ПК указал режим замыкания
- в ГП в конфигурации пользователя указал нужный скрипт на логон
- в правах на ГП удалил группу"прошедшие проверку" и выдал разрешение на чтение и применение нужной мне группы

а далее происходит следующее:
при генерации RSOP в режиме планирования видно что политика должна примениться и отработать скрипт на логоне, но по факту этого не происходит(не отрабатывает скрипт и gpresult не выводит информации о том что нужная мне политика применилась).
Скрипт пользователю доступен(проверялось ручным запуском и расположением в разных шарах) в логах на контроллерах и клиентской машине все число, никакой ругани насчет проблем с применения групповых политик

кусок вывода gpresult(причем в группу которой даны права на применения политики включил уже и нужного мне пользователя и ПК на котором происходит тестовый логон)

Следующие политики GPO не были приняты, поскольку они отфильтрованы
--------------------------------------------------------------------

TRM_1C
Фильтрация: Отказано (безопасность)

bga83
http://support.microsoft.com/kb/231287:
You cannot filter the user settings that are applied by denying or removing the AGP and Read rights from the computer object specified for the loopback policy.

Используйте WMI Filtering, а не замыкания.

Есть домен с контроллером на Win2008server.
Рабочие станции на WinXP/7
Хочу добавить сайт в "Надежные узлы"
В GP в раздел
User configuration/Policies/Windows Settings/IE Maintenance/Security/Security Zones
Я прописываю нужный сайт (ругается, что не применится на машинах с усиленной безопасностью)
На выходе имею - политика на машинах не применяется, вручную пользователь параметр изменить не может. При все этом rsop.msc показывает применение такого параметра

В локальных политиках тоже везде default стоит. Куда копать?

Головную статью тоже можно на форум перенести. А пока она доступна здесь http://web.archive.org/web/20080122120604/http://ru-board.com/new/article.php?sid=174 .

Подскажите есть такой косяк, необходимо настроить всем параметры прокси в IE, через АД, всё ставлю, срабатывает стартовая страница, а вот параметры соединения всёравно берутся из реестра локальной машины, что не так? как можно пофиксить?

ch1poza
Попробуйте убрать обе галочки в "Connection" -> "Automatic Browser Configuration", если они стоят.
А вообще-то лучше б показали настройки в "Connection", дабы телепатией не заниматься.

BVV63
Разобрался, почемуто не работало вот с такой строкой исключения:
127.0.0.1;mail;192.168.0.0/16
именно от строчки 192.168.0.0/16 сносило башню ослу, заменил на 192.168.* и всё

Цитата:

F_L LiaNet
у меня больше идей нету, странная ситуация

kazavo4ka
Я нашёл кстати в чём была проблема, причём это кстати коснулось только "Семёрки", почему .... непонятно. У меня в политиках было отключение службы "Назначенные задания". После того как включил её обратно, понадобилось пользоваться "Архивацией и восстановлением", как ни странно значёк вернулся в строй.
Ну это я для опыта рассказываю, ты же хотел помочь , вот тебе и от меня спасибо!

Цитата:

вот тебе и от меня спасибо!

да не за что, тебе спасибо что отписался

Когда только начинал с семеркой работать тоже сталкивался с похожей проблемой. В дальнейшем узнал что лучше ничего с этой службой на вистах и семерках не делать, слишком много на нее завязано.

kazavo4ka
Где экзамены сдаёшь?

гуру подскажите
есть standalone терминальный сервер w2k8 r2, не входит в домен, доступ юзеров через инет, не vpn. удаленные юзеры входят в локальные группы Users и Remote Desktop
можно ли мне с помощью gpedit.msc применить групповые политики ТОЛЬКО к локальным группам Users и Remote Desktop, а остальных не трогать?
проблема в том, что на эти группы хочу наложить большие ограничения (убрать иконки, доступ, оставить только минимум для работы), но после применения, изменения касаются и админов, что жутко неудобно)
спасибо

smiker2007
к группам - нет.
можно к пользователям, примерно так:
логонитеcь админом, применяете политику к себе, экспортируете в файл HKCU/soft/policies и /soft/ms/win/cv/pol
убираете политику
в файле меняете [HKEY_CURRENT_USER\ на [HKEY\USERS\_test_\
и для каждого юзера (удобно делать батником)
reg load HKU\_test_ ntuser.dat #соотв. пользователя; он должен быть не залогонен
reg import saved_policy.reg
reg unload HKU\_test_

нашел более красивый и интересный способ, прямо то что доктор прописал
может кому пригодится:
http://technet.microsoft.com/ru-ru/library/gg241182%28WS.10%29.aspx


Цитата:

Non-Administrators Local Group Policy. This LGPO applies user policy settings to users who are not included in the Administrators group.

Народ, нужна помощь.
До меня кто то наворотил всякого в групповых политиках, не могу найти параметр, который отвечает за контроль поиска обновлений, конкретно, в виндах начиная с висты пишет, что некоторые параметры контролирует системный администратор, не могу найти, где это отключить...
кто знает помогите плиз

Полностью отлючил все параметры, которые нашел, что отвечают за автом. обновление.... не помогло((

ребят подскажите еще: сервер w2k8 r2, юзерам все поотключал, но в Пуске у них висит вкладка "Администрирование", которая раскрывается и там видно все адм. оснастки. Есессно, войти в них не могут, но просто чисто для эстетики хотел бы весь пункт "Администрирование" из меню убрать, но в gpedit этого не нашел.
юзеры не доменные.

Добрый вечер.

Возникла необходимость запретить пользователям домена править ФОРМАТ даты.
Нашёл в HKEY_CURRENT_USER\Control Panel\International ключ sShortDate. Хотелось бы ограничить его через GPO. Отсюда несколько вопросов:

1. Возможно ли ограничить для всех только ключ sShortDate а не всю ветку реестра HKEY_CURRENT_USER\Control Panel\International ??

2. И если это не возможно, то как запретить через GPO правку ветки HKEY_CURRENT_USER\Control Panel\International ??? Через GPO средства, можно установить права только на HKEY_USERS\.DEFAULT\Control Panel\International, Но ведь у пользователя есть своя ветка реестра вида HKEY_USERS\S-1-5-21-50... Где есть такой же ключ sShortDate, который он может править.


Помогите пожалуйста ограничить пользователей в смене формата даты....
Спасибо

smiker2007

Цитата:

но просто чисто для эстетики хотел бы весь пункт "Администрирование" из меню убрать

Внимательно посмотреть на содержимое \All Users\StartMenu и перенести необходимую папку(и) с ярлыками в \Administrator\Start Menu\ скажем...

Господа! Не стандартная проблема!

Кратко:
Есть пара компьютеров с устанволенной Windows 7.
Обнаружил что для них не применяются некоторые политики, предназначенные для компьютера.

Делаю gpresult -r

Программа формирования отчета групповой политики операционной системы
Microsoft (R) Windows (R) версии 2.0
(С) Корпорация Майкрософт, 1981-2001

Создано на 02.08.2011 в 14:09:24


Данные RSOP для CLASSIC\lev на LEV : Режим ведения журнала
-----------------------------------------------------------

Конфигурация ОС: Рядовая рабочая станция
Версия ОС: 6.1.7601
Имя сайта: Default-First-Site-Name
Перемещаемый профиль: Н/Д
Локальный профиль: C:\Users\lev.CLASSIC
Подключение по медленному каналу: Нет


Конфигурация компьютера
------------------------
CN=LEV,CN=Computers,DC=classic,DC=ru
Последнее применение групповой политики: 02.08.2011 в 13:18:20
Групповая политика была применена с: srv1.classic.ru
Порог медленного канала для групповой политики: 500 kbps
Имя домена: USER
Тип домена: Windows 2000



Как видите Имя домена = USER. Это имя компьютера ДО того как его ввели в домен.
Причем сейчас имя компьютера совершенно другое!
У нормально работающих компьютеров в качестве домена прописано имя домена.

У остальных компьютеров и под управлением Windows XP и под управлением Windows 7 все в порядке.

Переввод в домен, удаление учетки в домене, смена имени и прочие махинации результатов не приносят.

Подскажите - куда копать?

привет! помогите разобраться, пож-ста. не получается назначить политику группе пользователей.

имеется: контроллер домена на w2k3, клиенты на winxp.

задача: нужно создать групповую политику и применить ее к группе рядовых пользователей домена, которая бы запрещала запуск любых программ, кроме указанных.

вот что делаю:
1. start --- run --- dsa.msc
2. создаю группу, в которую добавляю пользователей.
3. правый клик по контейнеру домена --- свойства --- групповые политики --- создать (назвал RunAppsPolicy)
4. теперь имеется две политики: 1 - Default Domain Policy, 2 - только что созданная RunAppsPolicy.
5. далее захожу в свойства --- безопасность и там добавляю созданную группу, ставлю галки на чтение и применение групповой политики, у прошедших проверку снимаю галку применения политики
6. далее клик по политике и изменить политику --- конфигурация пользователя --- конфиг-я windows --- пар-ры безопасности --- политика п.о.
7. в "уровни безопасности" меняю значение по умолчанию с "неограниченный" на "не разрешено".
8. клик по "дополнительные правила", создаю правило и создаю правила для пути.
в итоге имею такие правила:
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot% - неограниченный
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%*.exe - неограниченный
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%System32\*.exe - неограниченный
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir% - неограниченный
%programfiles%\progpath\*.exe - неограниченный
9. далее закрываю консоль dsa.msc, подключаюсь к пользователю, выполняю rum --- cmd --- gpupdate
но другие, установленные на компьютере, по прежнему запускаются.

вот вывод gpresult:

Microsoft Windows XP [Версия 5.1.2600]
(С) Корпорация Майкрософт, 1985-2001.

C:\Documents and Settings\test.RD>gpresult

Программа формирования отчета групповой политики операционной системы
Microsoft (R) Windows (R) XP версии 2.0
(С) Корпорация Майкрософт, 1981-2001

Создано на 02.08.2011 в 20:34:51


RSOP-результаты для RD\test на TEST-PC : Режим журналирования
--------------------------------------------------------------

Тип ОС: Microsoft Windows XP Professional
Конфигурация ОС: Рядовая рабочая станция
Версия ОС: 5.1.2600
Имя домена: RD
Тип домена: Windows 2000
Имя сайта: Default-First-Site-Name
Перемещаемый профиль:
Локальный профиль: C:\Documents and Settings\test.RD
Подключение по медленному каналу?: Нет


Конфигурация компьютера
------------------------
CN=TEST-PC,CN=Computers,DC=rd,DC=local
Последнее применение групповой политики: 02.08.2011 at 19:42:29
Групповая политика была применена с: srv-ad.rd.local
Порог медленной связи групповой политики: 500 kbps

Примененные объекты групповой политики
---------------------------------------
Default Domain Policy

Следующие политики GPO не были приняты, поскольку они отфильтрованы
--------------------------------------------------------------------
Политика локальной группы
Фильтрация: Не применяется (пусто)

RunAppsPolicy
Фильтрация: Отключено (GPO)

Компьютер является членом следующих групп безопасности:
-------------------------------------------------------
Администраторы
Все
Пользователи
СЕТЬ
Прошедшие проверку
TEST-PC$
Компьютеры домена


Конфигурация пользователя
--------------------------
CN=Test,CN=Users,DC=rd,DC=local
Последнее применение групповой политики: 02.08.2011 at 19:44:15
Групповая политика была применена с: srv-ad.rd.local
Порог медленной связи групповой политики: 500 kbps

Примененные объекты групповой политики
---------------------------------------
Default Domain Policy
RunAppsPolicy

Следующие политики GPO не были приняты, поскольку они отфильтрованы
--------------------------------------------------------------------
Политика локальной группы
Фильтрация: Не применяется (пусто)

Пользователь является членом следующих групп безопасности:
----------------------------------------------------------
Пользователи домена
Все
Пользователи
ИНТЕРАКТИВНЫЕ
Прошедшие проверку
ЛОКАЛЬНЫЕ
RunAppsPolicyGroup


т.е. политика якобы применялась, но нужного эффекта - нет.
получается, я не прально настроил политику?
в чем может быть ошибка?
заранее спасибо за помощь!

Цитата:

%programfiles%\progpath\*.exe - неограниченный

Цитата:

но программа из %programfiles%\progpath\ (как собственно и все другие установленные на компьютере) запускаются.

Так они неограничены же %)

да, сори, опечатался, исправил.
запускаются другие программы, которые не должны запускаться, так как не попадают под правило.