» Групповые политики (Group Policy, GPO): документация, ссылки

Доброго времени суток!

Подскажите как сделать что бы к одному и тому же пользователю в домене применять разные политики для пользователя на разных ПК и разных Терминал серверах.

например терминал 1 - запускать среду в виде 1С, запретить диспетчер задач и cmd ; терминал 2 - разрешить диспетчер задач, запускать обычный эксплорер; терминал 3 - запускать 1с в виде среды, но с другими параметрами запуска.

mda532


Цитата:

Подскажите как сделать что бы к одному и тому же пользователю в домене применять разные политики для пользователя на разных ПК и разных Терминал серверах.

Исключительно с использованием WMI фильтров в GPO, а настройка фильтров это высший пилотаж

anton04

Цитата:

Исключительно с использованием WMI фильтров в GPO

Использовать фильтры WMI для GPO очень не рекомендуется, т.к. они замедляют время применения политик.

mda532
Копайте в сторону gpo loopback.
Вот хорошая статья по настройке терминального сервера с использованием gpo loopback: http://amaksimov.wordpress.com/2011/12/23/remote-desktop-services-rds-roaming-user-profiles-and-folder-redirection-gpo-settings/

Всем привет
Сразу оговорюсь что книжки читал, про приоритет политик тоже, форум читал, но все таки не понимаю как решить свою задачу.
Если говорить упрощенно, то ситуация выглядит так
Политика Ordinary - запрещает пользоавтелям запись файлов на рабочий стол
Политика Chat - создает на рабочем столе ярлычок

В данный момент связка не работает, ярычек создается только у людей, на которых не применяется политика Ordinary.

Для стандартного пользователя приоритет выглядит следующим образом:
1. Ordinary
2. Chat
То есть из того что я вычитал, могу предположить что обрабатываться должно так - сначала поитикой Chat создается ярлычек, потом обрабатывается политика Ordinary и запись на рабочий стол запрещается.
Но ярлычек по какой то причине не создается. В чем может быть дело?

пропала статья про групповые политики active directory.. верните пожалуйста

anton04
FL0od13
Спасибо! буду читать.

Как запретить в групповых политиках смену иконок??

телепаты в отпуске. смену иконок чего?

Цитата:

Как запретить в групповых политиках смену иконок??

может Вам нужно mandatory user profiles?

Чтобы запретить пользователю менять иконки на папки, ярлыки и т.д

Добрый вечер,
помогите пожалуйста разобраться с исключениями групповых политик.
Ситуация
Есть домен win 2003, в домене к пользователям применяется политика (внутри скрипт выполняемый при входе пользователя).
Также существует ряд машин при входе пользователей на которые данная политика применяться не должна (например терминальные сервера).
Вижу два варианта решения проблемы:
- WMI фильтрация (например по имени серверов или по версии ОС)
- посредством правки разрешений на политики.

Соответственно интересуют два вопроса:
- какой метод предпочтительнее ?
- как правильно раскидать права (если решать вторым вариантом) ?

Подскажите какой политикой задаётся, вынос сетевого ярлыка (\\comp1\shara) или (\\PC1) на рабочий стол всем доменным юзерам???

goldsmith
Да пожалуйста... В 2008r2-
Конфиг.пользователя-Настройка-Конфиг. Windows-Ярлыки. Там по правой кнопке- "создать"

cardinals
я думаю, "политически правильно" через замыкание групповой политики - http://support.microsoft.com/kb/231287/ru
или "погуглитте" сами по "loopback processing" .

Но работают и WMI фильтры, типа такого

Код:
select * from Win32_ComputerSystem where DomainRole > 2

wwladimir

Благодарю.

Всем привет! Имею домен на базе samba4, в принципе все работает отлично, но! При попытке зайти на общий сетевой ресурс компьютера с английской виндой все работает отлично. Если попытаться зайти на комп с руссифицированной виндой вываливает сл.: "выбранный режим входа для данного пользователя на этом компьютере не предусмотрен"

Модель совместного доступа - обычная, доступ к компьютеру из сети - по дефолту (хотя пробовал добавить гостя и пользователей), Отказ в доступе из сети и отклонитьлокальный вход стоит только для пользователей-шаблонов, ограничение пустых паролей для терминального входа отключено, Переименование учеток админа и гостя выставлены в administrator и guest соответственно (пробовал и Администратор + Гость - эффекта 0).

В чем еще может быть затык?

Возможно ли в домене 2K3R2 сделать n доменных пользователей локальными админами ТОЛЬКО! на своих рабочих станциях. Про Restricted Groups в курсе, так и сделано, НО эти пользователи являются и админами на других компах OU где применен Restricted Groups. Заводить на каждого пользователя-админа (рабочую станцию) отдельный OU не выход.

Эм... Ну во первых это ерунда конечно. Админы локальные ))
Но если нужно, то что мешает приконнектиться через консоль ммс в нужную машину и в группу локальных админов добавляете доменную учетку пользователя. Если сотрудников не больше нескольких десятков, то вроде бы это будет и не сильно сложно.

lypky -Это не бред: в группу скажем Локальные админы входят n- пользователей, к n рабочим станциям в OU применяется GPO Restricted Groups - Administrators:Локальные админы-. Получется что все n пользователей будут админами на каждом из компьютеров, что дает им право по сети обращаться с админ-шарам, а необходимо чтобы: n - админ на n, n+1 - админ на n+1 ....
ЗЫ: через ммс - оффтопик

drsmoll
Через консоль ли, через политики ли, но Вам все-равно придется сначала поработать руками- сопоставить пользователя и машину, где он должен быть админом...
Откуда ГПО возьмет данные, кто у Вас где админ? По какому признаку?
А раз автоматики нет, то и смысла нет...
Пишите скрипт типа

Код: '------------- Script Start -------------
'specify account to create
strAccount = "SUPERADMIN"
strPswd = "123456"
' get local computer name
Set objNetwork = CreateObject("Wscript.Network")
strComputer = objNetwork.ComputerName
' check if local account already exists
intExists = 0
Set colAccounts = GetObject("WinNT://" & strComputer & "")
colAccounts.Filter = Array("user")
For Each objUser In colAccounts
If objUser.Name = strAccount Then
intExists = 1
End If
Next
If intExists = 0 Then
' create local user
Set colAccounts = GetObject("WinNT://" & strComputer & "")
Set objUser = colAccounts.Create("user", strAccount)
' set pswd
objUser.SetPassword strPswd
objUser.SetInfo
' set pswd never expires
Set objUser = GetObject("WinNT://" & strComputer & "/" & strAccount & ",User")
objUserFlags = objUser.Get("UserFlags")
objPasswordExpirationFlag = objUserFlags Or ADS_UF_DONT_EXPIRE_PASSWD
objUser.Put "userFlags", objPasswordExpirationFlag
objUser.SetInfo
' add to local admins group
rem Set objGroup = GetObject("WinNT://" & strComputer & "/Administrators,group")
Set objGroup = GetObject("WinNT://" & strComputer & "/Администраторы,group")
Set objUser = GetObject("WinNT://" & strComputer & "/" & strAccount & ",user")
objGroup.Add(objUser.ADsPath)
End If

можно создать для каждого компа отдельный OU и применить к каждому свой GPO.
Или как вариант в один OU применить n GPO где в Restricted Groups будет Administrators:domain\user_local_admin и фильтровать их через WMI для компьютеров.
ЗЫ: хотелось чтобы "нажал и заработало"

drsmoll
Могу предложить еще один вариант
Каждый ПК в домене имеет аттрибут "Managed by"
туда внести юзверей - админов (так закрепишь админов за ПК)
а дальше одна политика на OU
в политике скрипт который отрабатывает при старте ПК, лезет в AD, выясняет реквизиты админа на указанном ПК и вносит его в соотв.группу
Как то так ....

Что думаете ?

Здравствуйте.
Пытаюсь создать "главное меню" в групповой политике, одна ничего не создается.
Нажимаю кнопку "Создать меню Пуск" однако никаких изменений не происходит.
Причем при создании меню Пуск для Vista и выше, также никаких телодвижений.

Second question.

Добавляю также элемент реестра в "конфигурация Windows" -- "Реестр".
Затем в свойствах элемента делаю назначение на пользователя.
Пробовал не делать назначения, выбирал тип "создать", "обновить", "Заменить", ничего не помогает.
Необходимо создать, т.е. данного элемента в реестре нет...надеюсь пока нет

Сервер MS Windows Server 2012 RU
Клиент XP Professional SP 3 RU
Групповые политики из Административных шаблонов применяются (запретить доступ к диску ц и т.д.)


UPD.
Прочитал, что для ХР надо устанавливать дополнительный Etension Pack для групповой политики. Однако, такой пак нашел только для сервера 2008, а для 2012 - нет. Если надо его ставить - ткните, пожалуйста, на ссылку для скачивания пака для 2012 сервера.

Цитата:

Прочитал, что для ХР надо устанавливать дополнительный Etension Pack для групповой политики.

А можно ссылку на Пак для сервера 2008 (что то впервые слышу). Заранее благодарен.

cardinals

Не сочтите за рекламу

Group Policy Preference Client Side Extensions for Windows XP


P.S.
Правда так и не удалось скачать файл. Если у кого-то получится русскоязычный пак скачать - перезалейте куда-то. Спасибо.

ForposT_ForeveR


Цитата:

Правда так и не удалось скачать файл. Если у кого-то получится русскоязычный пак скачать - перезалейте куда-то.

KB943729-RUS

Люди добрые, помогите ламеру.
Решил побороть проблему, которая давно меня тезрала. Досталась мне AD от прошлого админа, с настроенными GPO, и теперь я в них плутаю как слепой, ибо опыта не много.
Ситуация:
В домене множество пользователей и ОУ, по которым разбиты эти пользователи.
Помимо этого, есть еще ОУ для компьютеров, соответственно и там и там развешены политики, в ОУ для пользователей соответсвенно политики на пользователей, в ОУ компьютеров, политика для компьютеров.
Так вот политика для компьютеров, запрещает пользователям сохранять и редактировать данные на рабочем столе, а мне очень бы хотелось политиками раскладывать им ярлычки на рабочие столы, класть паопочки и файлики на диск С, ну и так далее. Сейчас это сделать невозможно, так как мешается политика с запретом записи на компах. И непонятно как быть. В настоящий момент выхожу из ситуации скриптом на автоите, выполняющимся от имени учетки с необходимыми правами, но это костыли. Как обойти запрет на запись, распространяющийся на машины, но при этом чтобы политика работала под пользователем и была привязана только к нему? И самое главное, чтобы после того как все скопируется, пользователь так и не мог ничего записать и отредактирвоать на рабочем столе. Вот такая вот проблема, уже давно с ней мучаюсь.

Парни, подскажите, как сохранить и импортировать все настройки групповой политики, чтобы не возиться больше с настройками, когда устанавливаешь систему на другой компьютер или переустанавливаешь собственную?

Zethexx


Цитата:

как сохранить и импортировать все настройки групповой политики,

Через правую кнопку мыши в консоли GPO


Цитата:

чтобы не возиться больше с настройками, когда устанавливаешь систему на другой компьютер или переустанавливаешь собственную?

Интересно, а при чём здесь тогда GPO!? Ведь вы имеете в виду отдельный ПК, а он хранит только локальную GP, а не политику домена.

anton04, дело в том, что я настраиваю компьютер не с помощью всяко-разных модных твикеров, а с помощью редактора локальной политики. на полную настройку компьютера у меня уходит два-три часа, и мне не хотелось бы снова тратить время на настройки в случае, если придется переустанавливать систему или устанавливать ее на новую машину. можно ли сохранить эти настройки, чтобы вручную больше не настраивать?

Zethexx


Цитата:

а с помощью редактора локальной политики.

нда... тяжёлый случай... поднимите глаза вверх и прочтите название темы? Прочитали? А теперь объясните как Ваш вопрос относится к групповым политикам?
Ну это так чтоб задумались немного.


Цитата:

можно ли сохранить эти настройки, чтобы вручную больше не настраивать?

Можно, всё что вы настраиваете в редакторе локальных политик хранится в реестре всего лишь в двух ветках HKLM и HKCU.


Цитата:

на полную настройку компьютера у меня уходит два-три часа, и мне не хотелось бы снова тратить время на настройки в случае, если придется переустанавливать систему или устанавливать ее на новую машину.

По моему вы или ошиблись разделом или неверно решаете задачу. Т.к. всё вышеописанное решается (в случае наличия сети ПК и хоть одного сервера) посредством GPO и AD. И тратится на это те же самые два три часа, но один раз на все текущие и будущие ПК. Как говорится почувствуйте разницу.