» Групповые политики (Group Policy, GPO): документация, ссылки

Zethexx,

Цитата:

дело в том, что я настраиваю компьютер не с помощью всяко-разных модных твикеров, а с помощью редактора локальной политики. на полную настройку компьютера у меня уходит два-три часа, и мне не хотелось бы снова тратить время на настройки в случае, если придется переустанавливать систему или устанавливать ее на новую машину. можно ли сохранить эти настройки, чтобы вручную больше не настраивать?

После получения групповых политик на клиентской машине они сохраняются в реестре винды в следующих местах (приведены основные ветки):

Политики для компа:

HKEY_LOCAL_MACHINE\Software\Microsoft \Windows\CurrentVersion\Policies\
HKEY_LOCAL_MACHINE\Software\Policies\

Политики для пользователей:

HKEY_CURENT_USER\Software\Microsoft\ Windows\CurrentVersion\Policies\
HKEY_CURENT_USER\Software\Policies\

Дальше догадаетесь, что делать?

anton04, borin, ну ошибся с разделом, ну с кем не бывает, спасибо за пояснения.

Не могу через политики отключить "Автоматический поиск сетевых папок и принтеров".


Цитата:

NoNetCrawling.adm

Код:

CLASS USER; этот код изменяет раздел реестра HKEY_CURRENT_USER
; следующая команда создает узел, называемый «CUSTOM»
; в конфигурациях пользователя
CATEGORY !!categoryname

; следующая команда определяет имя политики
; с помощью переменной «policyname»
POLICY !!policyname

; следующая команда определяет раздел реестра, который нужно изменить
KEYNAME "Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced"

; следующая команда определяет текст на вкладке «Объяснение»
EXPLAIN !!explaintext

; следующая инструкция определяет раздел реестра, который нужно изменить
VALUENAME "NoNetCrawling"
VALUEON NUMERIC 1
VALUEOFF NUMERIC 0
END POLICY
END CATEGORY

; следующий раздел строки назначает строки символов
; для различных имен, указанных в предыдущем разделе
[strings]
categoryname="CUSTOM"
policyname="Отключить автоматический поиск папок и принтеров"
explaintext="Эта политика отключает автоматический поиск папок и принтеров"

По инструкции MICROSOFT:
Запустите редактор объектов групповой политики.
Щелкните правой кнопкой мыши элемент Административные шаблоны и выберите команду Добавление и удаление шаблонов.

Примечание. Административные шаблоны доступны в узлах Конфигурация компьютера или Конфигурация пользователя. Выберите правильную конфигурацию для своего специального шаблона.
Нажмите кнопку Добавить.
Выберите файл ADM и нажмите кнопку Открыть.
Нажмите кнопку Закрыть.

В административных шаблонах пользователя появился пустой раздел CUSTOM, закрыл редактирование политики, gpupdate.
Перегрузил клиентский комп и зашел под пользователем на которого применена политика, но ничего не изменилось.
Что не так сделал?

batmanblood

Цитата:

В административных шаблонах пользователя появился пустой раздел CUSTOM

В том то и дело, что он пустой. Вы не включили политику.
Вызовити контекстное меню на административных шаблонах, пункт "View" -> "Filtering", отключите нижнюю опцию "Only show policy settings that can be fully management". Внутри раздела "Custom" должна появиться политика "Отключить автоматический поиск папок и принтеров", которую и нужно включить.

BVV63
Спасибо Вам!!!

Ситуация такая на Win7 SP1 в домене не работают Групповые политики, - причина не запускается служба gpsvc (типа нет прав)
Как это дело исправить ?



d:\>gpresult /V
ОШИБКА: Отказано в доступе.


Root Key: System
Computer Name: COMP1.mydomain.ru
User Name: N/A
Event Type: Error
Source: Service Control Manager

Event ID: 7000
Event Category:0
Record Number: 54327
Date: 16.11.2012
Time: 16:50:44


Description:
Сбой при запуске службы "Клиент групповой политики" из-за ошибки
%%1053

Ребят, добрый день. Ткните носом пожалуйста в детальное описания следующего мероприятия.

Есть сеть где много компьютеров. Домен 2008 r2

Рабочие станции Win7pro. Все в домене, все хорошо работает.
Но на станция в перемешку есть разные локальные админы, которые называются как попало и пароль к которым давно утерян/забыт.

Как правильно построить GPO чтобы:

1. удалить всех локальных админов. (и удалять впредь)

2. Кроме 1 конкретно заданного (переименованного локального встроенного администратора) с конкретным паролем?

3. Вдобавок когда я пытаюсь сделать следующую политику, компьютер меня пугает следующим:



Что я делаю не так?

Спасибо.

lypky
Насчёт пароля - не знаю, не сталкивался с подобным предупреждением. Не знаю, с чем это связано.
Насчёт локальных админов.

Цитата:

удалить всех локальных админов. (и удалять впредь)

Можно придумать несколько вариантов. Но, полагаю, наиболее правильным будет использование политики "Restricted Groups": "Computer Configuration" -> "Windows Settings" -> "Security Settings" -> "Restricted Groups". Создайте группы "Administrators" (если есть англоязычные системы) плюс "Администраторы" (если есть русскоязычные). Если ещё какие локализации имеются, соответственно, добавить и их. Группы, при Вашем требовании, должны быть пустыми. В общем-то всё.

А почему в группу локальных админов не хотите пускать доменных админов?

Несколько сложнее, если группы переименованы. Тогда предварительно скриптом придётся их переименовывать, чтобы было одно имя. Кстати, то что данная политика не понимает SID-ов, по-моему, явный минус. Так бы привязки к именам не было б.

BVV63
Спасибо за внимание. Немного пока не понял что значит рестриктед групс.

и еще - почему это я не хочу пускать доменных админов в группу локальных админов? Хочу. Это же по умолчанию так, да?

А вообще я хочу разобраться с бардаком. В сети где скажем 100 компьютеров на десятке из них есть админ, admin, вася, user1 и т.д. на некоторых стоят пароли, на некоторых нет. И некоторые из этих учетных записей (не все) входят в группу локальных админов. И получается что сотрудник если у него есть хоть чуть чуть ума и фантазии может воспользоваться этой учетной записью для установки левого софта и т.д. Да и вообще не порядок.

Я хочу что бы на любом компьютере, который я подключаю в домен, АВТОМАТИЧЕСКИ удалялись ВСЕ локальный учетные записи (не важно, админ это или юзер, ну кроме встроенных), а встроенная запись локального админа переименовывалась в нужное мне имя и на нее задавался известный мне пароль.

Потому что чую я что мне вручную придется удалять все левые локальные учетные записи.

lypky

Цитата:

Немного пока не понял что значит рестриктед групс.

Да тут ничего хитрого. В оговорённых группах останутся только те, кто указан в политике. Все остальные учётки удалятся. Т. е. именно то, что Вам нужно.

Цитата:

и еще - почему это я не хочу пускать доменных админов в группу локальных админов? Хочу. Это же по умолчанию так, да?

Ну, я так понял из начальной постановки вопроса. Что ж, тогда нужно это прописать в политике; например, добавить в группы локальных администраторов запись <Domain>\Domain Admins.

Цитата:

а встроенная запись локального админа переименовывалась в нужное мне имя и на нее задавался известный мне пароль.

А это уже придётся скриптом как-то делать. Сейчас прикину, как можно его слепить.

Добавлено:
Нет, тут помочь не смогу: переименовать не проблема, но не знаю как батником сменить пароль. А других языков не знаю.
Либо вручную, либо может кто другой подскажет.

Доброго времени суток. Искал тему про политики так и не нашел. Извините если пишу не туда.
Поставил себе на Vmware сервер с 2003 виндой R2 создал домен добавил ДНС, ДХЦП, АД.
Поставил на еще одну виртуалку ХР ввел в домен все нормально.
Поставил gpmc.msc чтобы изучить политики. Пока столкунлся с двумя проблемами, не могу разрешить обычному пользователю на раб. станции менять системное время (знаю что нежелательно, но нужно). Просмотрел Default domain policy в gpmc в конфигурации компьютера есть политика изменения системного времени, добавлял туда и компьютер и польователя, результата нет, при попытке сменить время пишет что недостаточно прав. Также ставил значения политики из вкладки администрирование в политике безопасности домена, тоже ничего. в политике безопасности КОНТРОЛЕРА домена прописаны значения по умолчанию для этой политики, т.е. LOCAL SERVICE, Администраторы, Операторы сервера. Также добавлял пользователя и компьютер, ничего. Добавлял пользователя в группу администраторов, тоже ничего. Создал отдельное подразделение в users&computers, в gpmc создал новый GPO в нем прописал и добавил пользователя и компьютер, ничего.
Подскажите что я делаю не так?
И вторая неясность с которой я столкнулся настройка IE в ветке конфигурация пользователя, админ. шаблоны, компоненты windows, IE. Есть такая политика Отключить изменение параметров домашней страницы, по идее должно быть, если ставить политику в положение включен, то предлагается прописать адрес страницы, но у меня просто три параметра без возможности прописать страницу. Как исправить?
Заранее благодарен!

Arsenno
Дело в том что в домене запрещено менять системное время. На времени основана авторизация пользователя (тикеты подлинности и т.д.). Поэтому если время расходится более чем на 5 минут - начинаются всякие необъяснимые глюки и т.д.

lypky
Администратор же может менять его на машинах.
Разве нельзя дать это право пользователям?
Заранее благодарен!

BVV63


Цитата:

но не знаю как батником сменить пароль.

net user "имя пользователя" "пароль"

Arsenno

Цитата:

Администратор же может менять его на машинах.
Разве нельзя дать это право пользователям?

Можно, но Вам же написали, чем это чревато.
У меня во всех доменах время могут менять только админы и никому это никогда не машало. Главное время правильное настроить

Подскажите, можно ли политиками запретить пользователю менять свойства RDP соединения?
Несколько сотрудников получают интернет с использованием rdp сессии на удаленный компьютер, надо отключить им возможность копирования файлов оттуда с использованием drag n drop.
домен на w2003, очень скоро будет 2008, рабочие станции win7 prof.
http://s1.ipicture.ru/uploads/20121130/s13g2atN.jpg
UPD. нашел в свойствах изменения перенаправления буфера обмена.

Fiskal

Цитата:

Подскажите, можно ли политиками запретить пользователю менять свойства RDP соединения?

Думаю, файловые права Вам в помощь. Правда ничто не помешает пользователю пересоздать соединение по образцу, но это уже Вам решать, насколько продвинутые они у Вас

borin
а можете подсказать где и как включить?
понимаю чем чревато, но нужно.
заранее благодарен!

Arsenno
раздайте права на файлы ручками, без групповых политик (файлы *.rdp)

borin
не могу понять! оО причем тут файлы и изменение системного времени
оО

все разобрался. политика изменение системного времени работает только после полной перезагрузки машины, команда gpupdate /force не работает. будьте внимательны.

Arsenno


Цитата:

политика изменение системного времени работает только после полной перезагрузки машины,

Само собой, т.к. затрагивает ветвь реестра HKLM, а уже она загружается только при загрузки оси.


Цитата:

gpupdate /force не работает

работает и ещё как работает только немедленного применения политики сделает только для пользовательского куста реестра.

Доброе время суток,
Есть папка "Мои документы"
Есть политика сопоставления диска. \\server\docs\user сопоставляется как диск P:\
Сначала все задал в одной gpo и настроил в ней сопоставления диска + перенаправил папку мои документы на диск P:\
Выдало ошибку что не удается найти указанный путь. Высмотрел, что политика Редиректа обрабатывается раньше чем политика сопоставления диска.
Иду дальше,
Создаю для данной группы пользователей, дополнительную политику, чтобы она применялась после сопоставления диска. Т.Е. первая политика сопоставляет Диск, вторая политика редиректит папку на сопоставленный диск, и вуаля, сижу в недоумении, политика редиректа папки все равно обрабатывается раньше чем сопоставляемый диск.
Что могут сказать по этому поводу гуру.
Нужно именно перенаправить папку на сопоставляемый диск, дабы пользователь не видел где физически лежат документы.

на платформе server 2003 sp2 r2 x86 была папка system32\GroupPolicy и я ей разграничивал права, а на server 2003 Sp2 R2 x64 ее нет (вообще нигде нет), как быть и почему ее нет? При настройке gpedit.msc оно настройки применяет, только куда оно их пишет если нету GroupPolicy ???

p.s. раб.группа сеть

Как отключить автоматическое обновление политикой???
DC windows 2008, client 7PRO

Нашел вот: Конфигурация компьютера\Политики\Административные шаблоны\Компоненты Windows\Центр обновления Windows

выстовил настройка автоматического обновления: Отключена.

но у всех клиентов как стояла Атоматом так и стоит.

Доброго времени суток.
Есть политика применяемая ко всем пользователям, в ней выполняется логон скрипт установки программы применяемая к пользователю (через psexec идет выполнение скрипта от имени админа)
так же для некоторых пользователей есть логон скрипт устанавливающий другую программу (применяется к компьютеру)
Так вот проблема в следующем. У пользователей из второй группы, не устанавливается программа из первого логон скрипта, если удалить второй логон скрипт то все нормально.
Т.е. грубо говоря можно ли как то сделать чтобы для пользователей второй группы выполнялась установка программ и из Конфигурации компьютера и из Конфигурации пользователя?

Scaramanga
обе программы установки используют msiexec? скорее всего происходит блокировка одного из них. eventlog содержит к.л. данные?
если у вас всем пользователям ставится некое ПО через psexec, может разумнее повесить его установку на "Computer configuration"? и psexec не потребуется с явным указанием пароля администратора

borin
Нет только одна программа использует msiexec, вторая же это просто копирование указанной папки из шары на комп пользователя. (с правами на шару все нормально ибо если отключить установку первой программы, то вторая отлично копируется) моделирование и RSOP показывает что скрипт отлично выполняется

Цитата:

Scaramanga

раз там что-то типа батника копирования, вставляйте в него вывод логов, возможно обнаружите проблему

Доброе время суток.
Есть контроллер домена win 2003 r2 + рабочие станции под win 7 pro. Хотелось бы расширить групповые политики для управления 7-кой. Подскажите ресурс, где можно закачать готовые административные шаблоны. Заранее благодарен за ответ.