» Групповые политики (Group Policy, GPO): документация, ссылки

Цитата:

voitsykh

тогда в командной строке gpresult /r
потом просмотри логи применения политики

точно ли соблюдены условия, что в OU к которой применяется политика находяться пользователи а не ком-ры?

и еще очень сложно сказать, когда не знаешь архитектуру или иерархию AD вашей сети

Так все остальные политики применяются нормально...а вот с прокси что то не... в OU пользователи.

Кстати кто знает. Как можно через GPO или другим относительно легким способом добавить в адресные книги Outlook 2010 контакты сотрудников организации которые внесены в домен? Если MS exchange нет в организации.

Т.е. может ли аутлук как то забирать информацию о пользователях домена? Немножечко оффтопик конечно.

Добавлено:
wwladimir
VovaMozg
Вроде заработало. Я по моему политику накатывал на OU в которой компьютеры, а не группы пользователей. Соответственно пользовательская политика не применялась на компьютерах. В общем надо перепроверить все аккуратно. Спасибо за советы.

lypky
Думаю, что нет. Но такая тема существует (и варианты реализации есть , например шарепоинт) здесь http://sysadmins.ru/topic206643.html или такое решение http://forum.antichat.ru/thread46777.html
Как его реализовать через политики, думаю тема отдельная (наверно через ключи реестра).
У Вас вообще своего почтового сервера нет ? Многие из них имеют свои инструменты (типа керио оутлук конектор ).

Может кто сталкивался, подскажите
Windows 2008 R2 SP1 в редакторе GP
Конфигурация пользователя\Настройка\Прараметры панели управления
при попытке Создать меню "Пуск" (Windows XP) ничего не появляется

зы. Если выбрать Создать Главное меню (Windows Vista или..) то появляется окно с настройками.

Народ может кто подскажет как средствами GPO ограничить размер корзины для папки "мои документы" для всех пользователей домена, беда в том что рейд 850 gb и соответственно мини. размер коризины 4 gb для каждого пользователя. Хотелось бы его поужать хотя бы до 500 mb.
Вот только в GPO не получаеться выствавить размер менее 1%
p/s c другой стороны полностью откл. корзину нельзя т.е иногда пользоватли удаляють "нужные" по их мнению файлы и потом так же быстро "их восстаноавливають", достают из корзины

s800
На одном сервере ? Тогда, наверно проще так - Администрирование - Диспетчер ресурсов файлового сервера (у Вас же файловый сервер? значит компонент установлен. 2003R2 и выше.)-Квоты.
И устанавливайте квоты на корзину (она же обычная папка Recycled) кому хотите, хоть всем, хоть индивидуально.
Ну если хотите через GPO - http://www.netdocs.ru/articles/configuring-disk-quotas-windows-2003.html
Я невнимательно прочитал суть вопроса. Sorry
Возможный вариант-корзину выключить, настроить теневые копии как на сетевые папки, раздать ShadowCopyClient и научить возвращать свои файлы из сетевых папок.

Всем привет!
Ламерский вопрос, подскажите:

1. Может ли объект (учетная запись пользователя, либо компьютера) унаследовать Групповую политику безопасности контейнера, в который этот объект перемещают? (Или это называется "Группа распространения")

2. Можно ли объединить компьютеры в группу безопасности (Comp no GPO GL) в отдельном OU, на которые не должны распространяться ГПО домена, но которые не надо перемещать в эту OU (т.е. оставить комп в OU "Computers")?

3. Если OU с исключениями на GPO находится выше OU, в которой применяются GPO, то к объекту будут применяться GPO, т.к. они применяются последовательно или можно настроить приоритет применения GPO?

Johny_x3mal
Мне кажется ответы на эти вопросы уже есть в "шапке" темы.
Я конечно понимаю, она большая, но первые две строки после Другие вопросы по групповым политикам

Как запретить Ctrl+Alt+Стрелочки политиками на контроллере Win2k3? Чтоб не работало!

F_L LiaNet
Хм... А что делают

Цитата:

Ctrl+Alt+Стрелочки

?
У меня такие комбинации клавиш ничего не делают.

Цитата:

У меня такие комбинации клавиш ничего не делают.

Вот тут прочитай вместе с комментариями. Со стороны сотрудников - это иногда заподло!

F_L LiaNet
Так прибейте службу от NVidia (или от ATI- atihot... как-то так), нечего ей на сервере делать, и вращаться экран перестанет...

Да причём тут сервер? У меня пользователи домена друг другу экраны крутят, на клиентских машинах, надоели уже. А у пользователей нету этих служб. Везде интегрированный Интел стоит.

F_L LiaNet
Тогда у гугля надо просто правильно спрашивать (я вот в поиске набирал "пожалуйста, глубокоуважаемый Гугль" ) - и он говорит это есть -
Вот так, что бы в политиках было совсем красиво, шаблончиком -
Код:
; ADM Template Creation/Modifying Date: 13:56 08/10/2007
; ADM Template Author: Will Sheldon
; ADM Template Filename: Intel_gfx.adm
;    
CLASS MACHINE

CATEGORY "Intel Graphics Features"

    POLICY "Graphics card icon appears in systray"
        KEYNAME "SOFTWARE\INTEL\Display\igfxcui\igfxtray\TrayIcon"
     EXPLAIN "If this policy is enabled, the intel tray icon will be visible"
        VALUENAME "ShowTrayIcon"
VALUEON NUMERIC 1
VALUEOFF NUMERIC 0
    END POLICY

    POLICY "Graphics card hotkeys"
        KEYNAME "SOFTWARE\INTEL\Display\igfxcui\HotKeys"
     EXPLAIN "If this policy is enabled, the intel hotkeys will be enabled"
        VALUENAME "Enable"
VALUEON NUMERIC 1
VALUEOFF NUMERIC 0
    END POLICY

END CATEGORY

Шаблончиком конечно красиво, но не выходит.

И как я только не пытался

Цитата:

"А все-таки она вертится...."

Знать бы ещё в какую сторону.

F_L LiaNet
Согласен, проверил, что не так в шаблоне не понял ( но вопросы - к Уилу Шелдону)...
И так тоже ошибку выдает ??? -
reg add HKLM\SYSTEM\CurrentControlSet\Services\ialm\Device0 /v Display1_EnableRotation /t REG_BINARY /d 0 /f
или так -
reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v IgfxTray /f

P.S. не проверял, у меня не вертят...

Ребят, подскажите пожалуйста. Цель простая - на все компьютеры заданной группы применить единую политику энергосбережения. Что бы требовал запрос пароля при пробуждении. Чтобы блокировал рабочий стол минут через 10 и т.д.

Мне нужно создать план энергосбережения для пользователя или для компьютера?

И применить его нужно для OU в котором пользователи или компьютеры?

Потому как я уже запутался совсем. То не применяет, то офильтровывает. Как правильно нужно сделать то?

PS: win 2k8R2 + Win7 Pro.

Спасибо.

Я щас конечно читаю учебный курс по АД, но это сделать просили еще вчера. А у меня много еще другой работы - кто укажет правильный порядок действий - тому спасибо.

lypky

Цитата:

нужно создать план энергосбережения для пользователя или для компьютера?

Пофиг. Хоть для пользователей и для компов сразу.

Цитата:

И применить его нужно для OU в котором пользователи или компьютеры?

В прямой зависимости от того, для пользователей или для компов создана политика.

Добавлено:
F_L LiaNet
Шаблон правильный. Проверьте последнюю строку (что-то с ней не слава богу) - нет ли русских букв, оконечного пробела и пр. Может, стоит перевод строки сделать...

Добавлено:
wwladimir
F_L LiaNet
Хм... Вообще-то есть одна вроде как неточность. Разве можно обходиться без секции [strings]?
По-моему нужно в конце шаблона добавить следующее:

Код: [strings]
Intel Graphics Features="Intel Graphics Features"
Graphics card icon appears in systray="Graphics card icon appears in systray"
ShowTrayIcon="ShowTrayIcon"
Graphics card hotkeys="Graphics card hotkeys"
Enable="Enable"

BVV63
Да, конечно, Вы правы! Шаблон был не полный...
F_L LiaNet
И после добавления шаблона в редактор политик не забудьте снять фильтрацию с "показывать только управляемые..."

Господа добрый день. Тестирую политику для терминального сервера. Максимально всё убрал, что бы пользователь только работал, но есть проблема с кнопкой "ПУСК". Не могу сделать так что бы пункт "Программы" не показывали установленные программы. То есть я включаю политику "Скрыть общие группы программ в меню "Пуск"" у меня из программ пропадают все установленные программы но остаются "стандартные" "автозагрузка" (пустая) Internet Explorer; Outlook Express и удалённый помощник. Подскажите что я сделал не так, или куда копнуть?

з.ы Пересмотрел все пункты в политике по Пуску. Может не там смотрю?

з.ы Политика была скопирована с другой политики, которая работает на другом сервере. И там всё гуд.

з.ы.ы На сервера ОС одинаковое. На серверах 2003 Ent R2. DC - Win 2008 Stn. различие только в языках. DC+рабочий Terminal на English. Второй терминал где политикане доработана Русский.

З.Ы.Ы.Ы Господа сейчас проверил, что если включена политика "Скрыть общие группы программ в меню "Пуск" то исчезает и рабочий стол. Это не очень хорошо. Подскажите кто и какими политиками урезал кнопку Пуск? Интересно только что бы там было: завершение сеанса да и всё пожалуй.

Подскажите, как централизованно отключить службу "Автоматическое обновление" в домене (2008 standard)?
Клиенты в основном XP.
Пробовал через GPO, там есть только служба "Центр обновления" - не сработало.

diman1982

А откуда обновления будете брать? Она случайно не отключается в настройках где сервер обновлений настраивается?) WSUS который.
Вроде в Конфигурация компьютера--административные шаблоны--компоненты\Windows/Центр обновления Windows и там политика Настройка автоматического обновления. Попробуйте это. но могу ошибаться.

Kacblm
wsus нет и не планируется, обновления жрут много траффика, устанавливаться будут в виде паков.

попробовал это
конфигурация пользователя - политики - адм шаблоны - конмоненты windows - центр обновления windows - запретить использование любых средств центра обновления.

Применил к пользователю, после чего у него при заходе в "автоматическое обновление" из панели инструментов все пункты там серенькие.
НО на службы(автоматическое обновление и центр обеспечения безопасности) это не повлияло, как были запущены так и осталось.
Теперь обновления качаться не будут или надо сделать еще что-то?

diman1982
Вообще-то достаточно остановить службу "автоматического обновления", можно через политики (конфиг. компьютера-к.windows-параметры безопасности-системные службы).
Но WSUS для этого и придуман,что-бы сэкономить Вам трафик и время. Один раз (в одном экземпляре) закаченное на сервер обновление будет установлено на все сетевые машины, и что важно, вовремя будет установлено. До того, как Вашу сеть "поимеет" какой ни будь новый экземпляр Кидо !

Пользователю должны подключаться несколько сетевых принтеров. В зависимости от того, за каким компьютером он сидит, один их этих принтеров должен использоваться по умолчанию.
имеется сервер Windows2008 R2.
Создаю политику и применяю ее к группе компьютеров. В политике в разделе User Configuration, Preferences, Панель управления, Принтеры добавляю несколько принтеров, для одного из них добавляю галку "использовать по умолчанию".
Эта политика не применяется. В мастере запроса применения политик, данная политика попадает в отклоненные, в поле Причина: "Пусто".
Вопрос: как сделать принтер по умолчанию для компьютера, используя GPP? Думаю, надо копать в сторону функции Нацеливания в GPP. Тогда как создать фильтр?

Кстати да, внесу свои 5 копеек. Я думаю вы зря насилуете GPO.
2 diman1982
Настойчиво рекомендую настроить wsus в корпоративной среде. Основную базу можно легко закачать на "домашнем" безлимите, если уж цена за траффик у вас на работе такая большая. Потом просто подсунуть ее на сервер. Зато сэкономите огромную кучу времени и сил в дальнейшем. И это без вариантов. Если у вас пиратская винда, то точно так же - wsus вам будет только в плюс. А настраивается он элементарно. Я несколько лет назад тоже долго собирался его настроить.

2Kacblm

если я вас правильно понял, то наверное тоже лучше подумать в том ключе что просто в терминальной сессии вместо оболочки explorer сразу запускать программу. Например 1С. Ну это если у вас пользователи только в 1С работают. Это можно прописать сразу всем пользователям. Если рабочих программ много, то тогда может быть почистить папку:
c:\ProgramData\Microsoft\Windows\Start Menu\Programs\ на сервере?

Ну или где там у вас профиль "all users" расположен.

Ну и если вопрос лицензионной чистоты софта не стоит, или есть деньги, то можно терминал поднять на 2008 и там есть классная фича remoteapp - правда не уверен что она будет работать на windows xp.

diman1982

Цитата:

НО на службы(автоматическое обновление и центр обеспечения безопасности) это не повлияло, как были запущены так и осталось.
Теперь обновления качаться не будут или надо сделать еще что-то?

1. Обновления качаться не будут.
2. Службы запрещаются по иному (на будущее): "Computer Configuration" -> "Policies" -> "Windows Settings" -> "Security Settings" -> "System Services" (на примере англоязычного W2K8 R2), и там уже всё задаётся.

Kacblm

Цитата:

Подскажите кто и какими политиками урезал кнопку Пуск?

Ну, на вскидку пара способов, но все они также удаляют рабочий стол.
1. Как указал lypky, можно на сервере под ключём реестра [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] в параметре "Shell" заменить "explorer.exe" на ту прогу, с которой пользователям нужно работать.
2. В свойствах клиента RDP на пользовательских машинах напрямую указать программу, которую нужно запускать (закладка "Programs", опция "Start the following program on connection").

BVV63
lypky

Спасибо Господа за помощь. Но оказалось всё гораздо проще. В терминальной сессии отключено всё кроме 1С:Предприятия,сетевых дисков и завершением сеанса пользователя. Но из "ПУСК" не хотели пропадать стандартные, служебные и т.д. Я в All Users закрыл доступ по NTFS группе пользователей на папку "Главное меню" и удалил от туда пару ярлыков (Старт офисных программ и winrar) и всё стало хорошо. Теперь если пользователи заходят в ПУСК-Программы там просто написано ПУСТО. т.к Mouse2 тоже выключен они сделать нечего не могут. Вот так.

Доброго времени суток! Подскажите, пожалуйста с такой проблемкой- Выполнение скриптов или программ при запуске/завершении или пользовательском входе в систему/выходе из системы Используя Редактор Политики Группы. Описывается всё вроде просто- делаю как здесь http://compedu.org.ru/computers2/Articles/group_policy_editor.html
проверяю на скрипте inputbox (" ") создал файл *.vbs сам скрипт запускается из проводника, а при попытки автозапуска из gpedit.msc ничего не выполняется. Всё усилия направлены к вопросу "Как автоматически запустить программу при выключении компьютера". Нужно перекидывать пару файлов из RAM диска при выключении. С автозагрузкой всё понятно, а выполнение при отключении все говорят только о Group Policies, но с ним загвоздка какая-то.
Система Win7 x64

Проблема решилась если прописать вышенаписанное не для конфигурации компьютера, а сценарии запуск/завершение непонятно.

Добавлено:
Проблема решилась если прописать вышенаписанное не для конфигурации компьютера, а для а для конфигурации пользователя. Почему для конфигурации компьютера сценарии запуск/завершение не работают непонятно. P.S. как исправить/удалить свой пост?