» Групповые политики (Group Policy, GPO): документация, ссылки

yrsyl
Лучше установить еще контролер домена под 2008/2008r2, и там все будет.
В 2003 Вы их (политики из шаблонов admx) все равно редактировать не сможете.
В 7 они тоже уже есть,и если админская станция под 7 можно работать и так.
ссылка на загрузку -
http://www.microsoft.com/en-us/download/details.aspx?id=14355


и коротко но полезно -
http://www.netdocs.ru/articles/Managing-Group-Policy-ADMX-Files-Longhorn-Server.html
или поподробнее -
http://www.oszone.net/5335/

wwladimir

Цитата:

yrsyl
Лучше установить еще контролер домена под 2008/2008r2, и там все будет.

Если я правильно понял, развернуть 2008 R2, скопировать с него все admx шаблоны, к примеру на флешку и подкинуть на 2003?

Цитата:

В 2003 Вы их (политики из шаблонов  admx) все равно редактировать не сможете.  

Насколько я понял - есть утилита конвертации adm шаблонов в admx с подальшим использовнием под 2003 сервер. Или я ошибаюсь?

Цитата:

В 7 они тоже уже есть,
http://technet.microsoft.com/ru-ru/library/cc733126(v=ws.10).aspx
и коротко но полезно -
http://www.netdocs.ru/articles/Managing-Group-Policy-ADMX-Files-Longhorn-Server.html
или поподробнее -
http://www.oszone.net/5335/

Сенкс за инфу

yrsyl
Видимо я долго редактировал -
ссылка на загрузку -
http://www.microsoft.com/en-us/download/details.aspx?id=14355
Не надо их конвертировать ( в 2008-7 консоль GPO с другими разделами, да и возможностями.)
Забыл, еще возможно понадобится - http://www.microsoft.com/ru-ru/download/details.aspx?id=21090

wwladimir

Цитата:

yrsyl
Видимо я  долго редактировал -
ссылка на загрузку -  
http://www.microsoft.com/en-us/download/details.aspx?id=14355

Сенкс

Цитата:

Не надо их конвертировать ( в 2008-7 консоль GPO с другими разделами, да и возможностями.)

Но управляться ж оно будет как пишет статься с Виста Машинки к примеру, а не на самом 2003. Мысль в ту сторону идет?
P.s. RSAT установить только на Vista нужно? Win 7 для этого не подойдет?


Подкорректирую вопрос - RSAT на Win 7 sp1 Windows6.1-KB958830-x32-RefreshPkg.msu - с него можно управлять admx шаблонами групповых политик для рабочих станций win 7, предварительно создав центральное хранилище на основном контролере домена win 2003 r2?

Искал ответ на интересующий меня вопрос и так его и не нашел. Может мало искал, за это заранее прошу прощения)

Как с помощью групповых политик можно дать нескольким конкретным пользователям доступ ко вкладке безопасность на диске С.
Спросите для чего это нужно? Порой бывает так, что устанавливаемый софт требует у ЮЗЕРА доступ с изменениями к его родной папке, которая чаще всего находится в Program Files на диске С. Так вот, если вдруг установленный софт не сможет работать под правами юзера, чтобы пришли ребята и дали доступ к этой папке. Давать админские права только ради этого, не хочется. Так что вот и спрашиваю, есть ли возможность конкретным пользователям через групповые политики дать доступ к изменениям прав доступа к папкам на компах в определенном ОУ не давая им административных прав?

MrPhil


Цитата:

есть ли возможность конкретным пользователям через групповые политики дать доступ к изменениям прав доступа к папкам на компах в определенном ОУ не давая им административных прав?

Нет в GPO нету.


Цитата:

Спросите для чего это нужно? Порой бывает так, что устанавливаемый софт требует у ЮЗЕРА доступ с изменениями к его родной папке, которая чаще всего находится в Program Files на диске С. Так вот, если вдруг установленный софт не сможет работать под правами юзера, чтобы пришли ребята и дали доступ к этой папке. Давать админские права только ради этого, не хочется.

У Вас не верное понятие ситу вопроса. Пользователи сами не должны давать какому либо софту какие либо привилегии и т.п.
Это вы должны дать привилегии на запись в конкретную папку на конкретном ПК конкретному пользователю. А делается это всё посредством скрипта vbs или cmd.
Если cmd то юзайте Microsoft`овскую утилиту subinacl.exe.

anton04
Цитата:

Нет в GPO нету.

Почему же нету, есть: /Конфигурация Windows/Параметры безопастности/Файловая система

anton04

Цитата:

У Вас не верное понятие ситу вопроса. Пользователи сами не должны давать какому либо софту какие либо привилегии и т.п.
Это вы должны дать привилегии на запись в конкретную папку на конкретном ПК конкретному пользователю. А делается это всё посредством скрипта vbs или cmd.
Если cmd то юзайте Microsoft`овскую утилиту subinacl.exe.

Вы меня правильно поняли) Я это и имел в виду, что программа требует, чтобы у пользователя были права на изменение в определенной папке. По кривому описал ситуацию
Спасибо за вариант со скриптом, но порой задачи и софт бывает таким разнообразным, что под каждую программу писать скрипт займет слишком много времени. На данный момент мне гораздо проще дать техподдерже права изменять доступ к папкам на компьютерах пользователей.

drsmoll

Цитата:

Почему же нету, есть: /Конфигурация Windows/Параметры безопастности/Файловая система

А созданную политику положить в контейнер с компьютерами или с нужными мне учетками?

с компьютерами

drsmoll
Спасибо! Все отработало на УРА!!!

есть куча тонких клиентов
сервер 2003 R2
хочу назначать принтер по умолчанию через групповую политику
принтера все локальные для сервера их штук 6
для каждого отдела(группы свой)
есть проблема, что они сбиваются при заходе в систему, поэтому хочу таким образом их привязать.
развертывание принтера и установка по умолчанию это вроде только для сетевых,
не помогает для локальных.

разобрался, причина была в скрипте при запуске пользователя

который запускал принудительный импорт реестра такого вида:
Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"Device"=""

Не применяются групповые политики XP SP3

Точнее не все. Иногда применяются, иногда нет и ничего не помогает. Машины чистые, со свежепоставленной виндой. Иногда помогают всякие шаманства типа сброса кэша ДНС, или ARP-таблицы.

НО! Компы с 7-й на том же сетевом оборудовании, ловят политики сразу. В чём может быть проблема, выкладываю характерный лог:
gpupdate /force — не помогает

Контроллер домена на Win2008r2

****
Не удалось установить приложение Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022 из политики Preinstall - Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022. Ошибка: Ресурс с установочными файлами для этого продукта недоступен. Проверьте существование ресурса и доступ к нему.
****

И так далее, при этом срабатывает всё раза с третьего, после шаманств типа обнуления ARP-кэша. Очистки DNS-кэша, прописывания DNS-суффикса и т.п. На 7-ке, повторюсь, всё нормально.

Sharfurer
У Вас одна машина с XP и одна с Seven? Или картина систематична на машинах с одинаковой ОСью?
Настройки по DHCP получаете на клиентах и там и там?

Систематически на всех машинах со свеженак4аченной ХР. На 7-х всё ОК. DHCP с привязкой по МАС.

м.б. ip4-ip6 порядок привязки

ВсмыслЕ?

в смысле "windows network protocol binding order" или "windows порядок привязки протоколов"

Цитата:

Не применяются групповые политики XP SP3

Ох как вы все уже..
Пора это сделать притчей воязыцех и прописать в шапке несколько простых правил.

Для того, чтобы успешно применялись политики для компьютера под управлением XP необходимо выполнить два условия:
* в групповых политиках для компьютеров включить политику "ждать сеть при запуске";
* установить fix от мелкомягких, который не дает гигабитной карте рапортовать о старте раньше, чем она это сделала.

http://support.microsoft.com/kb/326152 - читаем до полного просветления!
далее идем по ссылке с этой страницы - вот сюда http://support.microsoft.com/kb/239924 - продолжаем впитывать "разумное/доброе/светлое" в разумных пределах (один экран) и скачиваем fix по приведенной ссылке.

запускаем, релаксируем, наслаждаемся.

зы
побочные эффекты: время загрузки компьютера может значительно увеличиться, так же как и время входа пользователя в систему

Добавлено:
Alukardd
VitRom
не засирайте засоряйте эфир.
ваши, без сомнения, гениальные мысли нужны в другом месте.

Добавлено:
DennisMC
не очень понятно про сетевые/локальные..
"для сервера их штук 6" - это как? все 6 стоят в серверной и локально к нему подключены?!
если это сетевые принтеры, то другой разговор..

более подробно опиши ситуацию на примере одного сервера, одного принтера и одного/двух клиентов (два, если принтер подключен к клиенту)

иначе разговор невозможен. это система с N уравнений и N-1 переменных

Цитата:

Ох как вы все уже.. Пора это сделать притчей воязыцех и прописать в шапке несколько простых правил.   Для того, чтобы успешно применялись политики для компьютера под управлением XP необходимо выполнить два условия: * в групповых политиках для компьютеров включить политику "ждать сеть при запуске"; * установить fix от мелкомягких, который не дает гигабитной карте рапортовать о старте раньше, чем она это сделала.   http://support.microsoft.com/kb/326152 - читаем до полного просветления! далее идем по ссылке с этой страницы - вот сюда http://support.microsoft.com/kb/239924 - продолжаем впитывать "разумное/доброе/светлое" в разумных пределах (один экран) и скачиваем fix по приведенной ссылке.   запускаем, релаксируем, наслаждаемся.   зы побочные эффекты: время загрузки компьютера может значительно увеличиться, так же как и время входа пользователя в систему

Спасибо за материал. FixIT непомогает, помогает выставить в настройках адаптера 100 м/б полудуплекс (сетка у нас 100 мегабитная) после второго gpupdate /force — всё накатывается/

Цитата:

помогает выставить в настройках адаптера 100 м/б полудуплекс (сетка у нас 100 мегабитная) говённая слишком быстрые компы

ЗЫ. перекладывать и пережимать пока ping -t -l 1460 <my_server> не заработает

Добавлено:
All,
поделитесь плз шаблоном политик для ХР/2003, в котором задаётся перенаправление пользовательских каталогов (МоиДоки и т.п.).
помог самодельный шаблон из 2-го поста в ветке "Group Policy: Folder Redirection на WinXP Pro" из шапки

Цитата:

ЗЫ. перекладывать и пережимать пока ping -t -l 1460 <my_server> не заработает

<hr>
D:\dima\ProcessExplorer>ping -t -l 1460 192.168.0.30

Обмен пакетами с 192.168.0.30 по с 1460 байтами данных:
Ответ от 192.168.0.30: число байт=1460 время<1мс TTL=128
Ответ от 192.168.0.30: число байт=1460 время<1мс TTL=128
Ответ от 192.168.0.30: число байт=1460 время<1мс TTL=128
Ответ от 192.168.0.30: число байт=1460 время<1мс TTL=128
Ответ от 192.168.0.30: число байт=1460 время<1мс TTL=128
Ответ от 192.168.0.30: число байт=1460 время<1мс TTL=128
Ответ от 192.168.0.30: число байт=1460 время<1мс TTL=128
Ответ от 192.168.0.30: число байт=1460 время<1мс TTL=128
Ответ от 192.168.0.30: число байт=1460 время<1мс TTL=128
<hr>

Работает. Проблема в

Состояние подключения меняется в процессе инициализации драйвера сетевого адаптера (сетевая интерфейсная плата, NIC) и согласования подключения с инфраструктурой сети. Поскольку стек групповой политики выполняется до завершения согласования, происходит сбой из-за отсутствия действительного подключения.
http://support.microsoft.com/kb/326152


Можно ещё попробовать службе клиент групповых политик поставить «отложенный атозапуск»

Доброго времени суток, уважаемые.
имеется маленький доменчик на 2008 R2
долго ли коротко ли, но возникла задача, за которую я не брался лет 7
а именно - настроить заставить компьютеры по списку выполнять некие действия по скрипту.и вот что-то не сильно у меня это получается

это все преамбула, а вот собственно сама амбула:
1. Захожу в AD и добавляю новый объект групповой политики. называю его: ТЕСТ Выключение компьютеров по расписанию (Win_7)
2. Правой кнопкой мыши на нем, Изменить.
3. Конфигурация Компьютера -> Политики - > Конфигурация Windows -> Сценарии -> Автозагрузка -> Сценарии -> Добавить -> Обзор: GPO_shutdown.bat
4. По нажатию на обзор создаю там этот самый GPO_shutdown.bat следующего содержания:
Код: schtasks /delete /tn "GPO_shutdown_18_55" /f
schtasks /create /tn "GPO_shutdown_18_55" /tr "\\domainname.local\NETLOGON\Scripts\shutdown\shutdown.js" /sc DAILY /st 18:55:00
schtasks /delete /tn "GPO_shutdown_23_55" /f
schtasks /create /tn "GPO_shutdown_23_55" /tr "\\domainname.local\NETLOGON\Scripts\shutdown\shutdown.js" /sc DAILY /st 23:55:00

продолжаем пляски с бубном
политика применяется, но не срабатывает
Правильно ли написан синтаксис для батника, который указан в Конфигурация Компьютера -> Политики - > Конфигурация Windows -> Сценарии -> Автозагрузка -> Сценарии -> Добавить -> GPO_shutdown.bat ?

Код: @echo off
schtasks /delete /tn "GPO_shutdown_18_55" /f
schtasks /create /tn "GPO_shutdown_18_55" /tr "\\kim.local\NETLOGON\Scripts\shutdown\shutdown.js" /sc DAILY /st 10:05:00 /ru "System"
schtasks /delete /tn "GPO_shutdown_23_55" /f
schtasks /create /tn "GPO_shutdown_23_55" /tr "\\kim.local\NETLOGON\Scripts\shutdown\shutdown.js" /sc DAILY /st 23:55:00 /ru "System"

moonrise

По правильному скрипт нужно помещать в планировщик, а не в автозагрузку!

anton04
можно пояснить? вышеописанный скрипт (в итоге не стал мучаться и перенес его в пользовательские политики на логон) как раз добавляет 2 задания в планировщик.

All
Столкнулся еще с одной проблемкой: WSHShell.Popup (который используется в данном случае, как окно уведомления с возможностью отказа) не отрабатывает при заблокированной станции. Как победить или проверить на блокировку?

Добавлено:
anton04
понял о чем Вы.. согласен, так наверное правильнее
Вопросов парочку.. в какой момент отрабатывается политика компьютера "автозагрузка"? на логон пользователя или до? т.е. сработает ли политика, если пользователь включил комп, но не залогинился в него?
и вопрос на который так и не нашел пока ответ.. как проверить в скрипте заблокированна станция или нет:

если описывать задачу, а не проблемы, то хочется, что бы по расписанию гасились рабочие станции. При этом, если пользователь сидит за рабочей станцией, то у него была бы возможность не выключать комп. Если комп заблокированн или не залогинен - выключать .

Подскажите, такая проблема.
Создал новую групповую политику, и с дуру удалил всех, кто имеет на неё права, остался только какой-то аккаунт system, как под ним зайти не знаю. Есть у 1 пользователя право на просмотр. Как удалить эту политику?

попробуй на узле GPO нажать и там на закладке "делегирование" поправить.
возможно получится сделать, что бы наследовалось

Не получается Все кнопки неактивны, только просмотр.

не на ОБЪЕКТЕ (не на политике), а на узле (надпись "Объекты групповой политики").