» Групповые политики (Group Policy, GPO): документация, ссылки

Спасибо за ответ но все библиотеки есть рас другие программы ставятся.
Удалил а затем поставил netframework, даже 4,0 поставил для уверености, ошибки в журнале теже

jey_str
Тогда правьте конкретно службы MSXML (его номер сборки в ошибке).
http://blog.macuyiko.com/2008/03/assembly-component-303994ba-6487-47ae.html

В каком разделе задана установка ( с какими правами)- машины или пользователя ?

wwladimir
Спасибо ОГРОМНОЕ все стало устанавливается
(Установка на машину конечно (пользователи приходят и уходят а комп остается всегда))

Здравствуйте!
В компании где я работаю, групповой политикой запрещены перезагрузка и выключение компьютера.
Подскажите пожалуйста, есть ли возможность перезагрузки и выключения компьютера в обход ГП, не используя большую кнопку на системном блоке .

SERGenij

Цитата:

Подскажите пожалуйста, есть ли возможность перезагрузки и выключения компьютера в обход ГП, не используя большую кнопку на системном блоке

Конечно, есть. Где-то на стене имеется ещё большой рубильник.
Если серьёзно: команда "Shutdown" (для перезагрузки - ключ /R). См. "Shutdown /?" в отношении деталей.

BVV63
В том то и проблема, что на команды "Shutdown", говорит "Клиент не обладает требуемыми правами".

попробуй через at запустить shutdown

SERGenij
А так(?):

Код: RUNDLL32 USER32, ExitWindowsExec

BVV63
На все способы отвечает ошибкой, и отсутствием "ExitWindows" и пр.

---------------------------
RUNDLL
---------------------------
Ошибка в USER32
Отсутствует:ExitWindows
---------------------------
ОК
---------------------------

drsmoll

Цитата:

попробуй через at запустить shutdown

Прошу прощения за (наверное) глупый вопрос, что значит "at"?

SERGenij

Цитата:

что значит "at"?

Консольный планировщик, унаследованный из NT4. Всегда выполняет задания в контексте безопасности локальной системы. Для его использования требуются административные привилегии. См. "at /?".

BVV63

Цитата:

Для его использования требуются административные привилегии.

Привилегиями к сожалению не обладаю...

BVV63
Если нет доступа к настройке групповых политик, то без права "Force shutdown from a remote system" shutdown.exe не будет работать. Обходы такие:

Цитата:

A)
psshutdown
B)
wscript.exe "<path-to-vbs-file>" PowerOff_Force


Код: '--------------------8<----------------------
Set oArgs = WScript.Arguments

If oArgs.Count = 0 Then
' PowerOff as default value
ShutDown ".", "PowerOff"
Else
ShutDown ".", oArgs(i)
End If


Sub ShutDown(sNode, sAction)

' First parameter:
' use "." for local computer

' Second parameter:
' Use "PowerOff" for a poweroff
' Use "PowerOff_Force" for a forced poweroff
' Use "Shutdown" for a shutdown
' Use "Shutdown_Force" for a forced shutdown
' Use "Reboot" for a reboot
' Use "Reboot_Force" for a forced reboot
' Use "LogOff" for a logoff
' Use "LogOff_Force" for a forced logoff

Const EWX_LOGOFF = 0
Const EWX_SHUTDOWN = 1
Const EWX_REBOOT = 2
Const EWX_FORCE = 4
Const EWX_POWEROFF = 8

On Error Resume Next
Set oWMI = GetObject("winmgmts:" _
& "{impersonationLevel=impersonate,(Shutdown)}!\\" _
& sNode & "\root\cimv2")

Set colOperatingSystems = oWMI.ExecQuery _
("Select * from Win32_OperatingSystem")
For Each obj in colOperatingSystems
Set oOS = obj : Exit For
Next
If Err.Number <> 0 Then
WScript.Echo "Could not connect to " & sNode
Exit Sub
End If

sAction = LCase(sAction)

Select Case sAction
Case "logoff"
iCmd = EWX_LOGOFF
Case "logoff_force"
iCmd = EWX_LOGOFF + EWX_FORCE
Case "shutdown"
iCmd = EWX_SHUTDOWN
Case "shutdown_force"
iCmd = EWX_SHUTDOWN + EWX_FORCE
Case "reboot"
iCmd = EWX_REBOOT
Case "reboot_force"
iCmd = EWX_REBOOT + EWX_FORCE
Case "poweroff"
iCmd = EWX_POWEROFF
Case "poweroff_force"
iCmd = EWX_POWEROFF + EWX_FORCE
Case Else
MsgBox "Error: invalid input parameter!", _
vbExclamation + vbSystemModal, "ShutDown"
End Select

oOS.Win32shutdown iCmd

End Sub

attaattaatta


Цитата:

A)
psshutdown

ответ на его использование с командой -L
----------------------------------------
Error shutting down system: &#9575;юы№чютрЄхы№ юсырфрхЄ эх тёхьш шёяюы№чютрээ&#8730;ьш яЁртр
ьш фюёЄєяр.
----------------------------------------

Цитата:

B)
wscript.exe "<path-to-vbs-file>" PowerOff_Force

попробую разобраться что-то с энтим сделать
....если я правильно понял то из этого нужно сделать батник, запустить и после этого "shutdown" будет работать?

SERGenij

Цитата:

....если я правильно понял то из этого нужно сделать батник

Нет, неправильно. Скопипастите в текстовый файл (проверьте, чтобы после этого не осталось конечных пробелов), дайте ему расширение VBS и попробуйте запусить так, как написал attaattaatta:

Код: wscript.exe "<path-to-vbs-file>" PowerOff_Force

Ребят, подскажите пожалуйста.

В Win 7 есть параметр сколько % от дискового пространства занимать на восстановление системы и файлов (я так полагаю что для теневых копий). Как можно групповой политикой принудительно задать скажем 10% для системного (что б и с восстановлением системы). А для других дисков просто 10% и галочка что б стояла на восстановление предыдущих версий файлов?

Заранее спасибо.

Пример групповых политик Windows Server 2008
[more]
Конфигурация компьютера
    Политики
        Конфигурация Windows
            Параметры безопастности
                Политики учётных записей
                    Политики паролей
                        [
                            Минимальная длина пароля - 2зн
                            Пароль должен отвечать требованиям безопастности - Отключён
                        ]
                    Политики блокирования учётных записей
                        [
                            Пороговое значение блокировки - 3 ошибок входа в систему
                            Время до сброса счётчика блокировки - 10 мин
                            Продолжительность блокировки учётной запси - 10 мин
                        ]
                Локальные политики
                    параметры безопастности
                        [
                            Доступ к сети: Разрешить трансляцию анонимного SID в имя - Отключён
                            Интерактивный вход в систему: Не требовать нажатия CTRL+ALT+DEL - Включён

                        ]
        Административные шаблоны
            Компоненты Windows
                Политики автозапуска
                        [
                            Отключить автозапуск - Включена
                            Отключить автозапуск устройств, не являющихся томами - Включена    
                        ]
                Центр обновления Windows
                        [
                            Настройка автоматического обновления - Отключена
                        ]
            Система
                Груповые политики
                    [
                        Интервал обновления групповой политики для компьютеров - 90мин (+ рандом 500мин)
                        Отключить протоколирование RSoP - Включена
                    ]
Конфигурация пользователя
    Политики
        Конфигурация Windows
            Настройки Internet Explorer
                [
                    Пользовательский интерфейс обозревателя - Заголовок обозревателя - (Название компании)
                    Подключение - Параметры прокси-сервера - Разрешить настройку прокси -сервера - (Параметры ip:port)
                    URL-адреса - URL-адрес домашней страницы - (about:blank)

                ]
        Административные шаблоны
            Компоненты Windows
                Политики автозапуска
                        [
                            Отключить автозапуск - Включена
                            Отключить автозапуск устройств, не являющихся томами - Включена    
                        ]
            Проводник Windows
                [
                    Максимально допустимый размеры "Корзины" - (50%)
                ]
            Установщик Windows
                [
                    Запрет установки со сьёмных носителей - Включена        
                ]
            Рабочий стол
                [
                    Удалить значёк "Компьютер" с рабочего стола - Отключена
                    Удалить значёк "Мои документы" с рабочего стола - Отключена
                    Удалить значёк "Корзина" с рабочего стола - Отключена
                ]
            Система
                [
                    Ограничить размер профиля - Вклюена (3Гб + 15мин)
                ]

[/more]

Подскажите, чего не доделываю в настройках GPO при подключении принтеров?

Немного глючат и отваливаются иногда все принтеры.

В данный момент подключаю через Конфигурация пользователя - Настройка - Параметры панели управления - Принтеры

Создать общий принтер, действие - обновить. И задаю принтер. И так несколько принтеров. Один из них ставлю по умолчанию

Сами политики применяю к группам, в зависимости от того, кто где сидит и какой принтер ближе.

После включения установки принтеров таким способом компы стали дольше в домен входить.

Цитата:

Подскажите, чего не доделываю в настройках GPO при подключении принтеров?
Немного глючат и отваливаются иногда все принтеры.
В данный момент подключаю через Конфигурация пользователя - Настройка - Параметры панели управления - Принтеры
Создать общий принтер, действие - обновить. И задаю принтер. И так несколько принтеров. Один из них ставлю по умолчанию
Сами политики применяю к группам, в зависимости от того, кто где сидит и какой принтер ближе.
После включения установки принтеров таким способом компы стали дольше в домен входить.

А хосты принтеров активны при этом или принт сервер? Логи аутентификации надо смотреть, аудит.

Всем драсьте.
Скажу сразу. Я в GPO плаваю...но разбираться надо
Возникла проблема.
Есть Win2003 AD. И ем созданны отдельные контейнеры (для каждых отделов), иногда контейнер в контейнере. Компы в папке компьютеры.
Поставили прокси сервер. Нужно чтобы юзер прописывался прокси сервер.
Нашел эту опцию для юзеров. Создал политику для контейнера. gpupdate /force на AD и на тестовом сервере в домене - ничего (не прописывается прокси сервер). Создал для других - иногда работает иногда нет...магия какая то...как правильно? что не дат делаю? куда смотреть? Спасибо.

Цитата:

Есть Win2003 AD. И ем созданны отдельные контейнеры (для каждых отделов), иногда контейнер в контейнере. Компы в папке компьютеры.
Поставили прокси сервер. Нужно чтобы юзер прописывался прокси сервер.
Нашел эту опцию для юзеров. Создал политику для контейнера. gpupdate /force на AD и на тестовом сервере в домене - ничего (не прописывается прокси сервер). Создал для других - иногда работает иногда нет...магия какая то...как правильно? что не дат делаю? куда смотреть? Спасибо.

Примерно понятно но не понятно )

1. посомтри порядок применения политики, особенно той которую создал
3. Включена ли связь, прилинкована ли сама политика
2. проверь, сотояние "Блокировать наследие"
4. ну и делигирование прав тоже
5. так же на связь с WMI фильтром

Добрый день, гуру GPO.
Помогите пожалуйста найти что я упустил из виду.

Есть Win 2k8 R2 Server.

Есть пользователи Win 7 x64.

Все в домене. Все лицензия. Все обновления стоят. Никаких особенных твиков нет.

Пытаюсь через GPO всем пользователям назначить drive mapping на расшаренную папку. К примеру как это описано здесь:
http://technet.microsoft.com/en-us/library/cc770902.aspx

Вроде все очень просто. Но! диски не монтируются у пользователей.
Если ручками назначать диски, то все ок. Через GPO не отрабатывает.

Другие политики отлично отрабатывают. Проблем с доменом, днсом и прочими вещами нет.

Где то натыкался что нужно чтобы шары были через DFS. А у меня служба DFS не установлена и вообще я еще не изучал что такое DFS. Может в этом дело?

Куда копать? Спасибо.

lypky
попробуйте через preferences подключать. Какие ошибки имеются на клиенте? есть ли к примеру ошибка 1504 или подобное?

VovaMozg, спасибо. Но что значит через preferences подключать?

Ошибки 1504 я не вижу.

А вот ошибка 5719 проскакивает в "системе". Пишет:

Цитата:

Компьютер не может установить безопасный сеанс связи с контроллером домена DOMAIN по следующей причине:

Отсутствуют серверы, которые могли бы обработать запрос на вход в сеть.

Это может затруднить проверку подлинности. Убедитесь, что компьютер подключен к сети. Если ошибка повторится, обратитесь к администратору домена.

Дополнительные сведения

Если данный компьютер является контроллером указанного домена, он устанавливает безопасный сеанс связи с эмулятором основного контроллера этого домена. В противном случае компьютер устанавливает безопасный сеанс связи с произвольным контроллером данного домена.

Но, повторюсь. Все остальные политики корректно отрабатывает. Перемещаемых профилей нет. Может мне попробовать утилиту rsop? Только я пока не умею. Что сделать нужно?

Проверьте сетевые настройки. В комьютере одна или более сетевых карт?

Цитата:

Может мне попробовать утилиту rsop

rsop.msc

Сетевые настройки корректные. Выдаются по DCHP.
В качестве днс - выдаются два ип первого и второго контроллеров домена.

Рсоп.мсц я знаю, но когда я ее от имени пользователя запускаю, то он ругается что access denied и выдает оснастку с очень пустым списком.

А от имени админа вроде как нет смысла запускать?

lypky
Ну вообще должно пройти от пользователя. Возможно комп с контроллером связаться не может. nslookup ИмяДомена проходят нормально? Попробуйте синхронизировать время клиента с контролером и перегрзуится.

VovaMozg
nslookup и на внутренние и на внешние хосты нормально отрабатывает.
время корректно. недавно совсем проверял w32tm /stripchart и т.д.

Цитата:

Junior Member    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Цитата:
Есть Win2003 AD. И ем созданны отдельные контейнеры (для каждых отделов), иногда контейнер в контейнере. Компы в папке компьютеры.
Поставили прокси сервер. Нужно чтобы юзер прописывался прокси сервер.
Нашел эту опцию для юзеров. Создал политику для контейнера. gpupdate /force на AD и на тестовом сервере в домене - ничего (не прописывается прокси сервер). Создал для других - иногда работает иногда нет...магия какая то...как правильно? что не дат делаю? куда смотреть? Спасибо.


Примерно понятно но не понятно )

1. посомтри порядок применения политики, особенно той которую создал
3. Включена ли связь, прилинкована ли сама политика
2. проверь, сотояние "Блокировать наследие"
4. ну и делигирование прав тоже
5. так же на связь с WMI фильтром

1. Тоесть? Для OU же самый большое приоритет.
2. Я создавал политику для OU правой кнопкой на OU создать груповую политику
3. Это галочка в ствойствах GPO не перекрываемая политика?
4. это что такое?
5. не совсем понятно.

При этом только что прописал запрет на измение прокси сервера (в той же груповой политике и все сработало)...

lypky

Цитата:

Рсоп.мсц я знаю, но когда я ее от имени пользователя запускаю, то он ругается что access denied и выдает оснастку с очень пустым списком.

А от имени админа вроде как нет смысла запускать?

Еще как имеет. Попробуйте. А затем в консоли сделайте "изменить запрос" и сможете смоделировать применении политики и от выбранного компа и от выбранного пользователя (или пропустить его)!

voitsykh

тогда в командной строке gpresult /r
потом просмотри логи применения политики

точно ли соблюдены условия, что в OU к которой применяется политика находяться пользователи а не ком-ры?

и еще очень сложно сказать, когда не знаешь архитектуру или иерархию AD вашей сети