» Групповые политики (Group Policy, GPO): документация, ссылки

Печалька у меня, ребята выручайте. Машина Windows 2008 R2 Datacenter Edition. Настраивал сервер терминалов - пытался через групповые политики разрешить юзерам какой-нибудь группы дать доступ к TS. В итоге запретил себе доступ по RDP - совсем. Слава Богу, локальный вход не трогал. Вообщем ребята выручайте - может кто сталкивался. И если расстолкуете как дать право какой нибудь группе коннектиться к TS - вообще счастье. http://forum.oszone.net/archive/index.php/t-186822.html - Настраивал по этой статье. Потом пошёл к серверу - сделал политики как и были - всё равно не заходит пишет - https://www.dropbox.com/s/auwi0gb2umgyyc8/%D0%91%D0%B5%D0%B7%D1%8B%D0%BC%D1%8F%D0%BD%D0%BD%D1%8B%D0%B9.png вот такое. Такие дела =(

Домен Windows2008r2, рабочка windows 7, GPO доменные неизменные

Была задача отключить USB,DVD - через gpedit.msc конкретному user поставлен запрет
(Конфигурация пользователя-Административные шаблоны-Система-Доступ к запоминающим устройствам) включены сл.параметры:
Компакт диски и DVD диски: Запретить чтение/Запретить запись
Сьемные диски:Запретить чтение/Запретить запись
Сьемные запоминающие устройства всех классов; Запретить любой доступ.

Через некоторое время пользователю потребовалось дать доступ к записи,
оставив запрет на USB. Отключил (положение не задано)
Компакт диски и DVD диски: Запретить чтение/Запретить запись

Результат Нет записи и все, под админом пишет, под user нет.
Вывод из домена и повторный ввод компьютера не помогли
(дает на раз потом блокирует).

NERO и др. проги не помогли. gpupdate.exe /force, перезагрузка тоже..

Куда рыть?

MARSIANIN
С доступом на запись дисков непривилегированными пользователями особая петрушка. В Windows 7 вроде ситуация такая же как и в Windows XP. (у меня проблемы были только с XP, так что проверяйте)

Alukardd

Способ работает в ХР, но к 7 в моем случае не подошел не подошёл.

MARSIANIN
По сколько других "особенностей" я не припомню, стоит проверить настройки которые доходят до клиента. Соответственно в Win7 логинитесь за пользователя и в rsop.msc проверяете корректность настроек.

Есть проблема: прилепил политику User на OU в домене, все работает. Но эти же пользователи логинятся на терминальный сервер и соответственно политики применяются и там, как исключить применение этой политики на сервер?
Пробовал:
- создал группу и в нее закинут терм.сервер, в свойствах политики - delegation - добавил эту группу и запретил чтение и применение политики - не помогло;
- там же пробовал добавлять запрет не на группу а на сам сервер - не помогло.
Сейчас думаю прикрутить WMI фильтр, как правильно написать?
SELECT * FROM Win32_ComputerSystem WHERE Name <> 'terminal'

комп в домене.
на локальном компе пользователь - локальный админ.

как можно настроить определнную политику на локальном компе, чтобы к ней не применялась групповая политика?

Отключаем действие групповых политик в Windows 7

http://winitpro.ru/index.php/2012/07/30/otklyuchaem-dejstvie-gruppovyx-politik-v-windows-7/


нашел такую статью, но сам еще не пробовал.

Подскажите, есть комп с Windows 7 Максимальная на борту с патченой termsrv.dll, иногда подключаются к нему несколько пользователей по RDP, но иногда забывают завершить сеанс, в групповых политиках установил (Задать ограничение по времени для отключенных сеансов), теперь закрываются все сессии, требуется чтобы на учётку админа подключенного в терминале политика не распространялась, т.е. надо чтобы учетка админа подключенного в терминале всегда работала, а сессии других пользователей завершались.
Вообще, возможно сотворить такое в WIN7?

Всем доброго времени суток!
Не совсем конечно групповая политика, но думаю в тему. Мне необходимо изменить два параметра в локальных политиках на большом количестве компьютеров, ОС: WinXp Pro, подскажите пожалуйста, каким образом это можно "автоматизировать" (скрипт или как-то импортировать настройки, чтоб 100 раз вручную не делать)?

qsdhdkdd,
1. Локально на каждой:
1.1-a. regedit /s /i MyCustomSettings.reg
1.1-b. reg.exe /?
1.2. Здесь на форуме ветка "Задачи на bat-файлах"
2. Удалённо по сети:
2.1. google sysinternals psexec
2.2. psexec /?
2.3. см. п.1

Добавлено:
"There’s more than one way to skin a cat."

Вы не хотели отвечать что ли ? )
Можно немного подробней ? Например реестр, где там хранятся и как называются значения ? .bat файлы и прочее я разберусь, а вот где в реестре менять-это другое дело.

Слова "мне необходимо изменить два параметра" обычно понимаются так, что уже известно, что это за два параметра и где они лежат. Если же, как оказывается, с этим проблемы, то тут в ветке очень хорошая богатая шапка, мастрид. Ещё полезно перестать играть в "секретики" и описать, что же это за "два параметра", а то все штатные телепаты в отпуске.

Параметр находится в "локальные политики"-"назначение прав пользователей", параметр называется: "доступ к компьютеру из сети" в этом параметре должен быть только пользователь SuperAdmin (например). Я до этого не называл параметр, потому что думал, что есть способ, как импорт или что-то подобное и не важно название параметра. Где это лежит в реестре я как раз не знаю и найти не могу.

Цитата:

Параметр находится в "локальные политики"-"назначение прав пользователей", параметр называется: "доступ к компьютеру из сети"

а через GPO почему бы не сделать?

если ищите неизвестный параметр реестра, используйте regdiff. делов на 30 сек

qsdhdkdd, погугли "PolicySettings.xls", первые же ссылки ведут на Майкрософт (просто надо выбирать под нужную Винду)
А специально для параметров вроде AllowNetworkLogon даже тулза какая-то где-то пробегала... Ага, есть такая:
The NTRights utility (Ntrights.exe) is included in the Windows Server 2003 Resource Kit.

Забыл сказать, AD сейчас нет, я форсирую внедрение изо всех сил, но пока надо до неё дотянуть, а там уже по человечески все настрою.
Насчет regdiff-спасибо большое, буду разбираться.

Вопрос следующий. Нужно изменить раскладку клавиатуры и переключение языка на всех компах в домене.
Нашел следующее:
CLASS USER
Category !!KBRD_setup
POLICY !!keyboardpolicy
EXPLAIN !!Help
KEYNAME "Keyboard Layout\Preload"
ACTIONLISTON
VALUENAME 1 VALUE 00000409
VALUENAME 2 VALUE 00000419
END ACTIONLISTON
END POLICY
END CATEGORY

CLASS USER
Category !!KBRD_setup
POLICY !!keyboardpolicy2
EXPLAIN !!Help2
KEYNAME "Keyboard Layout\Toggle"
PART !!Layout DROPDOWNLIST
VALUENAME "Hotkey"
ITEMLIST
NAME !!Alt VALUE 1
NAME !!Ctrl VALUE 2
END ITEMLIST
END PART
END POLICY
END CATEGORY
[strings]
KBRD_Setup="Настройка языков ввода и раскладок клавиатуры"
keyboardpolicy="Установка Rus и Eng раскладок"
keyboardpolicy2="Установка сочетания клавиш для переключения раскладок"
Help="Устанавливает две раскладки по умолчанию - Rus + Eng"
Help2="Устанавливает сочетания клавиш для переключения раскладок клавиатуры. Включено - можно выбирать между Shift + Alt и Shift + Ctrl. Выключено - используется сочетание клавиш принятое в системе по умоланию. "
Alt="Shift + Alt"
Ctrl="Shift + Ctrl"
Layout="Переключение раскладки по:"
При попытке добавить это в политики вылезает следующее сообщение :
The following error occuped in \\domain\sysvol\~~~\~~~\ __.adm on line 2
Error 62
The corresponding string was not found in the [strings] section
Found : !!kbrd_setup
The file can not be loaded

Ahkepok
Сделай проще: создай файл реестра с нужными раскладками "HKEY_CURRENT_USER\Keyboard Layout\" и запускай его при логоне через "regedit /s". даже не скриптом а исполняемым *.cmd файлом.
-и всем юзерам придет счастье

ребят задача такая.. подскажите.. клиентский комп в домене..
есть ли возможность отключить автоматическое обновление на этом конкретном клиентском компьютере.. есть права локального администратора

Классическая задача - настроить групповые политики для всех пользователей так, чтобы они не влияли на админа.
Это всё на терминальном сервере, домена нет!
Раньше на 2003 я то делал просто - после всех настроек для группы Администраторы запрещал доступ к папке с GP:
C:\WINDOWS\System32\GroupPolicy

Но на 2008 это почему-то не работает.
Кто знает, как это побороть?

Как сделать так, чтобы при применении групповой политике на машине, которая находится в домене, подписи к файлам\папкам\ярлыкам были прозрачные, а не с фоновым цветом?
1.Применяю политику без подсветки фона, а оно все-равно стает с фоном.
2.Как в групповых политиках во вкладке Рабочий стол, убрать активность кнопки "Настройки рабочего стола".
3.Как в групповых политиках сделать так, чтобы при загрузке системы на всех машинах в домене загружались стандартные ярлыки по умолчанию, например, три ярлыка (мои документы, мой компьютер, сетевое окружение), ну и плюс остальные ярлыки которые хранятся у пользователя на рабочем столе.

Skorohod12345


Цитата:

Как сделать так, чтобы при применении групповой политике на машине, которая находится в домене, подписи к файлам\папкам\ярлыкам были прозрачные, а не с фоновым цветом?

Если речь идёт о XP, то это параметр зовётся "Отбрасывание теней значками на рабочем столе" находится в "Параметры быстродействия" (утилита Regmon Вам в помощь).


Цитата:

2.Как в групповых политиках во вкладке Рабочий стол, убрать активность кнопки "Настройки рабочего стола".

Не видел такого твика.


Цитата:

3.Как в групповых политиках сделать так, чтобы при загрузке системы на всех машинах в домене загружались стандартные ярлыки по умолчанию, например, три ярлыка (мои документы, мой компьютер, сетевое окружение), ну и плюс остальные ярлыки которые хранятся у пользователя на рабочем столе.

Странно что до сих пор вы об этом не знаете, например вот или можете найти сами через Regmon.

anton04, да, идет речь об ХР!
1.Знаю как это сделать на одной машине, но как это сделать в домене, чтобы у всех пользователей когда применяются групповые политики отбрасывался тень у значков на рабочем столе.
2.-
3.Там применяются я так понял твики только для одной машины, это мне придется на всех машины которые в домене применять данный твик? (п\с. твик пока не нашел, их там такое кол-во).

Добавлено:
Сразу спрошу второй вопрос...
1.Применил политику "заставка с паролем", по умолчанию украинский язык, где в политиках настроить, чтобы английский был?
2.Создал объект групповой политики, применил его к подразделению_1, он приминился, но в этом подразделении есть еще одно подразделение_1.1, можно ли как-то сделать, чтоб на подразделение_1.1 не применялась ГП?

Skorohod12345

1. Каков вопрос, таков ответ Есть несколько способов это сделать сделать твик и прописать его в автозагрузку через GPO в конфигурации пользователя.
Сделать MSI где будут прописаны эти параметры и запихнуть его в GPO (опять же в конфигурацию пользователя).
Или же в конфигурацию пользователя-настройка-конфигурация Windows-реестр
2. см. ответ на вопрос 1.


Цитата:

1.Применил политику "заставка с паролем", по умолчанию украинский язык, где в политиках настроить, чтобы английский был?

аналогично первому вопросу или Вам нужен раздел реестра который за это отвечает!?


Цитата:

2.Создал объект групповой политики, применил его к подразделению_1, он приминился, но в этом подразделении есть еще одно подразделение_1.1, можно ли как-то сделать, чтоб на подразделение_1.1 не применялась ГП?

Можно для этого в подразделение_1.1 нужно отменить "наследование", делается по правой кнопки мыши, но будте внимательны т.к. в этом случае отменятся все политики для подразделение_1.1 и для корректной работы вам придётся прилинковать политики домена по умолчанию к этому подразделению.

Все сделал, спасибо.
Осталось только вопрос с тенью ярлыков у пользователей. Не знаю как лучше сделать.(

Skorohod12345

С тенью ярлыков я уже объяснял как, разве осталось что-то непонятное!?

anton04 не нашел твик для того чтобы тень в ярлыках была прозрачной на рабочем столе..
Есть только такое, но незнаю оно это или нет

32-битный цвет для иконок :

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Control Panel\Desktop\WindowMetrics]
"Shell Icon BPP"="32"


Добавлено:
Применил групповую политику, с отображением фонового рисунка, на некоторых компьютерах стоят хорошие мониторы, которые хорошо отображают данное изображение, а у кого плохие - у того размывается, не корректно отображается.
Как можно исправить данную проблему, чтобы не бегать на каждый комп, регулировать настройки.

Skorohod12345


Цитата:

не нашел твик для того чтобы тень в ярлыках была прозрачной на рабочем столе..

А Regmon`ом пользовались!? нет? ну тогда воспользуйтесь, делов то на 2 минуты...


Цитата:

Применил групповую политику, с отображением фонового рисунка, на некоторых компьютерах стоят хорошие мониторы, которые хорошо отображают данное изображение, а у кого плохие - у того размывается, не корректно отображается.
Как можно исправить данную проблему, чтобы не бегать на каждый комп, регулировать настройки.

Если вы имеете в виду что у мониторов разное разрешение, то значит нужно брать максимальное из доступного и картинку ваять именно такую, для других разрешений она будет масштабироваться в меньшую сторону. а если вы имеете в виду что у мониторов разное соотношение сторон 16:9/16:10/4:3/5:4 и т.д. то тогда или делайте картинку под каждое соотношение сторон или такую картинку шоб по бокам было что-то молоинформативное и не существенное...

Цитата:

А Regmon`ом пользовались!? нет? ну тогда воспользуйтесь, делов то на 2 минуты...

Эта программа следит за обращением запускаемых программ к диску или системному реестру.

Мне ее надо поставить на сервер, и туда вбить твик для отображения тени ярлыков? Если поставлю ее на сервер, как она будет распространяться на клиентские машины?
Не пойму. Объясните пожалуйста.


Добавлено:
Самое интерсное что на виндовс 7 ярлыки без теней применились, а на ХР с тенями.