» Групповые политики (Group Policy, GPO): документация, ссылки

Добрый день/утро/вечер/ночь )
Возникла проблема с сервисными учетными записями (одним записям можно запускаться в качестве службы, другим только доступ к определенным папкам) и всем им крайне желательно запретить локальный вход на ВСЕ компьютеры в домене.

Кажется, что решение крайне просто добавить этих пользователей в одну группу, а ее запретить через GPO в "Запретить локальный вход", но дело в том, что помещение туда приводит к замещению политики, а на разных компьютерах домена, в зависимости от установленного софта, там находятся разные пользователи.

p.s. кажется, что такие пользователи есть у каждого, но как правильно их админить я не могу найти (
также было бы интересно узнать, есть ли способ не замещать параметры политики, а добавлять нужные к имеющейся?

этот же вопрос есть в отдельной теме: http://forum.ru-board.com/topic.cgi?forum=8&bm=1&topic=49388#1

Добавлено:
Boris2777, также можешь попробовать просто отключить ее: правой на политике -> состояние объекта групповой политики -> все параметры отключены, ну это так, если другие методы не помогут, хотя бы политика не будет наносить вред.

moonrise


Цитата:

в какой момент отрабатывается политика компьютера "автозагрузка"? на логон пользователя или до?

Вы сами ответили на свой вопрос "... политика компьютера..." (подсказка не пользователя)


Цитата:

т.е. сработает ли политика, если пользователь включил комп, но не залогинился в него?

да


Цитата:

если описывать задачу, а не проблемы, то хочется, что бы по расписанию гасились рабочие станции. При этом, если пользователь сидит за рабочей станцией, то у него была бы возможность не выключать комп. Если комп заблокированн или не залогинен - выключать .

интерактивный скрипт+планировщик в GPO - вот всё что Вам нужно (похоже всё это у Вас есть).

anton04

Цитата:

интерактивный скрипт+планировщик в GPO - вот всё что Вам нужно (похоже всё это у Вас есть).

всё, да не всё
данный скрипт прерывается (не может быть выполнен) на шаге отображения диалогового окна в случае заблокированной станции. вот ищу, как бы это обойти. может кто-то знает, как в скрипте написать проверку блокировки станции или конструкцию вроде "try ... except"

подсказали, что при блокировке станции запускается процесс logonui.exe
как в js скрипте проверить наличие этого процесса?

если кого-то заинтересует - итоговый рабочий скрипт
[more]
Код: ////////////////////////////////////////////////////////////
// shutdown.js v.1.
// Cкрипт выключения компьютера с подтверждением присутсвия пользователя и с возможностью отмены им выключения.
// При включенном окне входа в систему скрипт выключает компьютер.
// Работоспособность проверена на Windows 7 Pro RUS x32
// Скрипт распространяется по принципу "Как есть". Автор не несет ответственности за любые последствия =).
// Авторство: Imshenetskiy Alexandr ака moonrise, 2013
//
// Отдельная благодарность:
// Roman Traxtenberg - http://forum.georgievsk.info/index.php?act=Profile&CODE=showcard&MID=2
// Glagolev Alexandr ака Nameless
// anton04 - http://forum.ru-board.com/profile.cgi?action=show&member=anton04
// и активным пользователям портала http://forum.ru-board.com
////////////////////////////////////////////////////////////


// Определяем, в какую из групп входит пользователь
// и если он входит в группу администраторов - завершаем работу скрипта
//В случае необходимости - раскоментируйте и укажите имена групп и пользователей в зависимости от локализации системцы.

// var WshNetwork = WScript.CreateObject("WScript.Network");
// var UserObj,EE,GroupObj;
// UserObj = GetObject("WinNT://"+WshNetwork.UserDomain+"/"+WshNetwork.UserName);
// EE = new Enumerator(UserObj.Groups());
// while (!EE.atEnd())
// {
// GroupObj = EE.item();
// if (GroupObj.Name == "Domain Admins" || GroupObj.Name == "Administrators") WScript.Quit();
// EE.moveNext();
// }    

// Создание диалогового окна и команды на выключение ПК
var obj = GetObject("winmgmts:{impersonationLevel=impersonate," + "(Shutdown)}//./root/cimv2").ExecQuery ("SELECT * FROM Win32_OperatingSystem" + " WHERE Primary=true");
var e = new Enumerator(obj);

// Задаем время для диалогового окна, в течении которого пользователь может выбрать один из вариантов работы,
// выключение ПК или продолжение работы. Если в течении заданного времени в MSG_Time (в секундах) ничего не произойдет,
// то автовыключение ПК

var MSG_Time= 300;

// 0 - кнопка ОК.
// 1 - кнопки ОК и Отмена.
// 2 - кнопки Стоп, Повтор, Пропустить.
// 3 - кнопки Да, Нет, Отмена.
// 4 - кнопки Да и Нет.
// 5 - кнопки Повтор и Отмена.
//
// 16 - значок Stop.
// 32 - значок Question.
// 48 - значок Exclamation.
// 64 - значок Information.

var vbOK = 0;
var vbInformation = 64;
var vbCancel = 2;


var Message = "Уважаемые коллеги! \nВ соответствии с принятыми на Предприятии политиками безопасности в 19:00 произойдет автоматическое отключение компьютера.\nПри необходимости продолжить работу нажмите кнопку <<Ок>>.";
var Title = "Автозавершение работы системы";

var Process = GetObject("winmgmts:{impersonationLevel=impersonate}").ExecQuery("Select * from Win32_Process Where Name = 'logonUI.exe'");

function kill_comp(){
for (;!e.atEnd();e.moveNext()) {
// 0 (0x0) - Log Off
// 4 (0x4) - Forced Log Off (0 + 4)
// 1 (0x1) - Shutdown
// 5 (0x5) - Forced Shutdown (1 + 4)
// 2 (0x2) - Reboot
// 6 (0x6) - Forced Reboot (2 + 4)
// 8 (0x8) - Power Off
// 12 (0xC) - Forced Power Off (8 + 4)
e.item().Win32Shutdown(12);
}}

function dialog_msg()
{
var WSHShell = WScript.CreateObject("WScript.Shell");
// var intDoIt = WSHShell.Popup(Message, MSG_Time, Title, vbOK + vbInformation);
    if ( Process.Count == 0 )
    {
// -1 - таймаут.
// 1 - кнопка ОК.
// 2 - кнопка Отмена.
// 3 - кнопка Стоп.
// 4 - кнопка Повтор.
// 5 - кнопка Пропустить.
// 6 - кнопка Да.
// 7 - кнопка Нет.
            if (WSHShell.Popup(Message, MSG_Time, Title, vbOK + vbInformation) == 1)
            {
                WScript.Quit();
            }
    }
}

//Сам скрипт =)

dialog_msg();
// Вырубаем машину - спать!
kill_comp();

на winXp скрипт отрабатывает выключение, но сама менюшка не выскакивает "Уважаемые коллеги! \nВ соответствии с принятыми на Предприятии политиками безопасности ..............
Как исправить?

я конечно извиняюсь, но может кто-то может помочь по моему вопросу, может хотя бы догадки?

Acid gh0st
ещё раз извиняюсь за прерванную беседу.. ответил в той теме..

Включена политика-"Повышение прав только для подписанных и проверенных исполняемых файлов".
Возможно ли как-нибудь реализовать список исключений?
Т.е. некое приложение должно получать привилегии не зависимо от наличия подписи.

Подскажите
ситуация следующая
1. устанавливаю зерез GPO программу назовем ее Viewer
2. хочу добавить в Viewer файлы конфигураций сразу при установке Viewer (чтоб не бегать по этажам перегружать компы конструкторов и технологов)
как в GPO срабатывают объекты по списку свурху вниз или какимто другим способом?

Добавлено:
да еще какие обязательные службы должны быть запущены у пользователя чтоб устанавливались програмы через GPO

и при установке требует dot net 4 или выше а пакеты все в .exe ??

Цитата:

Подскажите  
ситуация следующая  
1. устанавливаю зерез GPO программу назовем ее Viewer
2. хочу добавить в Viewer файлы конфигураций сразу при установке Viewer (чтоб не бегать по этажам перегружать компы конструкторов и технологов)
как в GPO срабатывают объекты по списку свурху вниз или какимто другим способом?
 
Добавлено:
да еще какие обязательные службы должны быть запущены у пользователя чтоб устанавливались програмы через GPO
 
и при установке требует dot net 4 или выше а пакеты все в .exe ??

к сожалению не все понял, что написали, но попробую подсказать как понял.
как я помню про установку софта через GPO, работают как раз с пакетами msi, там сразу можно и настроить все параметры (т.е. установиться сконфигурированная софтина)
если же msi нету, то проще сделать скрипт который установит прогу и заменит файлы конфигов. (или даже не устанавливать, а перетащить папку и импортировать соответствующую ветку реестра)

___
GPO с приоритетом 1 выше, чем с приоритетом 2 (смотреть в закладке наследование GPO)

Подскажите, уважаемые специалисты. В доменной сети (несколько удалённых подсетей, VPN) используются видеорегистраторы Pinetron. Для подключения и онлайн-просмотра через камер используется фирменная программа EMS или же просто Internet Explorer, который при первом подключении устанавливает свою надстройку WebVieverX Control, которая работает в любой версии IE с 6 по 10. Но, всё хорошо, только если компьютер не в домене. Если компьютер в домене, то к половине видеорегистраторов EMS просто не подключается, без указания ошибки. А IE вылетает с ошибкой. Всё происходит независимо от ОС (от XP до 8), проверено на многих компьютерах.
Никаких настроек IE в групповых политиках не делалось ранее, по крайней мере, я не нашёл ничего. В чём может быть проблема? Где копать?

Цитата:

Подскажите, уважаемые специалисты. В доменной сети (несколько удалённых подсетей, VPN) используются видеорегистраторы Pinetron. Для подключения и онлайн-просмотра через камер используется фирменная программа EMS или же просто Internet Explorer, который при первом подключении устанавливает свою надстройку WebVieverX Control, которая работает в любой версии IE с 6 по 10. Но, всё хорошо, только если компьютер не в домене. Если компьютер в домене, то к половине видеорегистраторов EMS просто не подключается, без указания ошибки. А IE вылетает с ошибкой. Всё происходит независимо от ОС (от XP до 8), проверено на многих компьютерах.
Никаких настроек IE в групповых политиках не делалось ранее, по крайней мере, я не нашёл ничего. В чём может быть проблема? Где копать?

1. Пробуйте сбросить настройки IE
2. Смотрите в сторону mtu

Подскажите, можно ли через групповые политики запретить создавать и запускать свои задания пользователю в планировщике заданий? (Windows Server 2008 R2, клиент Windows 7).
Подобные политики вроде как есть, но там требуемая ОС Windows XP.

DenisI


Цитата:

Подскажите, можно ли через групповые политики запретить создавать

это вряд-ли, не помню я такого пункта в GPO (хотя можно пойти обходным путём, запретом записи в реестр в определённую ветку или на диск, ну туда куда записывает планировщик задания).


Цитата:

запускать свои задания пользователю в планировщике заданий?

а вот это вообще не реально, штатных средств нет.

Цитата:

Подскажите, можно ли через групповые политики запретить создавать и запускать свои задания пользователю в планировщике заданий? (Windows Server 2008 R2, клиент Windows 7).
Подобные политики вроде как есть, но там требуемая ОС Windows XP.

может лучше пойти другим путем, ведь во первых пользователь создает задания исходя из собственных прав (т.е. выполнить через планировщик то, что эту пользователю не дозволенно, все равно не получиться), если там выполняется скрипт после рабочего времени, можно ограничить время локального входа рабочими часами...
Если не секрет в чем проблема планировщика? и зачем хотите его запретить?

Acid gh0st

На работе есть программа, с ограниченным количеством лицензий(увеличить количество лицензий не рассматривается), так вот люди приходят намного раньше чтоб в нее попасть, а некоторые просто пользуются планировщиком. Если все будут делать через планировщик, то каша опять получиться. Ограничить по времени локальный вход не вариант, возможно что пользователь действительно пришел раньше на работу. Вот и хотелось запретить запуск этой программы через планировщик.

DenisI
Хотел уже было посоветовать остановить службу "Планировщика заданий" через GPO. Но вспомнил, что в win7 - это не вариант.

Можно поступить так, настроить разрешения на папку %windir%\system32\tasks (и %windir%\SysWOW64\tasks если win7x64), для Authenticated users ("Прошедших проверку") дать разрешение на чтение и выполнение, а Администраторам (и тем кому задания создавать можно) полный доступ.

А вот уже разрешения NTFS можно развернуть через GPO (Конфигурация компьютера -> Политики -> Конфигурация Windows -> Параметры безопасности -> Файловая система -> ПКМ Добавить файл [можно и папки], ну а дальше все как обычно)

Помню, что на терминальных серверах, начиная с 2K3 R2 SP1, где-то политиками разрешается использование универсального драйвера печати.
Но не могу вспомнить, где. Вроде, всё уже перерыл. Подскажите, камрады, пожалуйста.

Нашел способ подключения сетевых дисков через групповые политики
источник тут http://system-administrators.info/?p=5205
и тут http://blogs.technet.com/b/askds/archive/2009/01/07/using-group-policy-preferences-to-map-drives-based-on-group-membership.aspx

У меня почему это срабатывает на одного пользователя (входит в группу администраторы) и не срабатывает на других.
Подскажите, в чем может быть проблема.

Операционная система Windows Server 2012. Проблема следующая, при попытке распределении права доступа, в редакторе групповой политике (GPMC.MSC), при создании групповой политики, пишет отказано в доступе, также, при изменении параметра "Контроллер домена: требование цифровой подписи для LDAP-сервера" пишет отказано в доступе, захожу естественно с учетной записи администратора, не могу понять, в чем причина, подскажите кто-нибудь...

Цитата:

учетной записи администратора

этого мало нужно иметь права хозяина операций, администратора схемы

а как их заполучить?

Добавлено:
dsquery server -hasfsmo pdc
"CN=USER,CN=Servers,CN=user,CN=Sites,CN=Configuration,DC=user,DC=local"
user и является хозяином операций, также дал права Администраторы схемы и все равно выходит ошибка, что здесь не так?

BVV63

Цитата:

Помню, что на терминальных серверах, начиная с 2K3 R2 SP1, где-то политиками разрешается использование универсального драйвера печати.
Но не могу вспомнить, где. Вроде, всё уже перерыл. Подскажите, камрады, пожалуйста.

Если речь идет о Easy Print Driver, то управление им через GPO лежит здесь:
Конфигурация компьютера -> Политики -> Административные шаблоны -> Компоненты Windows -> Служба удаленных рабочих столов -> Узел сеансов удаленных рабочих столов -> Перенаправления принтеров -> ...

p.s. С момента вопроса прошло много времени и возможно вы его уже решили, но решил, что нельзя оставлять вопрос без ответа. Может кому пригодиться.
__________
gsomunk

Цитата:

Операционная система Windows Server 2012. Проблема следующая, при попытке распределении права доступа, в редакторе групповой политике (GPMC.MSC), при создании групповой политики, пишет отказано в доступе, также, при   изменении параметра "Контроллер домена: требование цифровой подписи для LDAP-сервера" пишет отказано в доступе, захожу естественно с учетной записи администратора, не могу понять, в чем причина, подскажите кто-нибудь...

Может расскажите подробней о Вашей сети: кем является W2k12, если AD, то единственным ли?

__________
Kanev75

Цитата:

Нашел способ подключения сетевых дисков через групповые политики
источник тут http://system-administrators.info/?p=5205
и тут http://blogs.technet.com/b/askds/archive/2009/01/07/using-group-policy-preferences-to-map-drives-based-on-group-membership.aspx
 
У меня почему  это срабатывает на одного пользователя (входит в группу администраторы)  и не срабатывает на других.
Подскажите, в чем может быть проблема.

входит в группу каких администраторов? локальных? посмотрите может где нибудь политика перекрывается. посмотрите через результирующую групповую политику. также желательно рассказать подробнее к каким машинам (группам) вы применяете политику.

Здравствуйте. Емею домен к которому подключены 800 ПК , все Пк и пользователи раскиданы по своим папка (учетка+машина, тоесть если это бухгалтерия то они сидят в одной папке ,а если програмеры то они в другой).
ВОПРОС как всех разделить на группы в сетевом окружении??

Цитата:

Здравствуйте. Емею домен к которому подключены 800 ПК , все Пк и пользователи раскиданы по своим папка (учетка+машина, тоесть если это бухгалтерия то они сидят в одной папке ,а если  програмеры то они в другой).  
ВОПРОС как всех разделить на группы в сетевом окружении??

Смотря для чего тебе это нужно.
В зависимости от задачи:можно просто создать папку (назвать ее сеть), в ней создать папки с необходимыми группами, в них положить ярлыки на нужные машины.
разделить все отделы по поддоменам
через DFS (если это делается, для того, чтобы у разных отделов были разные общие сетевые ресурсы, по мне этот лучший вариант)

Цитата:

Смотря для чего тебе это нужно.
В зависимости от задачи:
можно просто создать папку (назвать ее сеть), в ней создать папки с необходимыми группами, в них положить ярлыки на нужные машины.
разделить все отделы по поддоменам
через DFS (если это делается, для того, чтобы у разных отделов были разные общие сетевые ресурсы, по мне этот лучший вариант)

мне говорили что есть возможность реализовать группы в сетевом окружении с помощью GPO .
То есть создаем политику для раздела домена - ПРОГРАМИСТЫ (в это разделе лежать все учетные данные программистов и их ПК)
Настраиваем GPO. И когда мы откроем сетевое окружение будет папка в которой лежат все ПК которые есть в том разделе, остается только добавлять в раздел ПК или удалять для отображения.

Цитата:

мне говорили что есть возможность реализовать группы в сетевом окружении  с помощью GPO .  
То есть создаем политику для раздела домена - ПРОГРАМИСТЫ (в это разделе лежать все учетные данные программистов и их ПК)
Настраиваем GPO. И когда мы откроем сетевое окружение будет папка в которой лежат все ПК которые есть в том разделе, остается только добавлять в раздел ПК или удалять  для отображения.

может я не прав, но я слышал обратное и не раз, в том числе, сейчас погуглил по твоей трабле, масса сообщений подтверждающая мои слова.
Согласно советам компании МелкийСофт надо юзать DFS, причем через GPO можно замапить разным "Подразделениям" разные публикации и будет ВСЕ очень удобно (в GPO есть и другие настройки касающиеся DFS).

Я даже не знаю, зачем пользователям может быть нужно "Сетевое Окружение"? Папку Обмен можно положить на сервер, причем для разных отделов свой, также можно поступить и с документами. Если хотите распределить нагрузку, опять же DFS.
Если же пользователям очень нужно будет находить друг друга, научите их пользоваться поиском в AD, если же все это не устраивает, то просто введите политику именования компьютеров Отдел_ИмяКомпа и введя в сетевом окружении в фильтр Отдел останутся только компьютеры этого отдела, но и без фильтра все будет аккуратно и не затруднит поиск если у Вас не очень много отделов.

p.s. все вышесказанное ИМХО, могу быть в чем-то не прав, на пост Гуру не претендую, если Вы найдете решение Вашей проблемы иными способами прошу поделиться решением, я думаю это будет интересно не только мне.

Цитата:

Вот хорошая статья по настройке терминального сервера с использованием gpo loopback: http://amaksimov.wordpress.com/2011/12/23/remote-desktop-services-rds-roaming-user-profiles-and-folder-redirection-gpo-settings/

Новая ссылка на статью http://blog.it-kb.ru/2011/12/23/remote-desktop-services-rds-roaming-user-profiles-and-folder-redirection-gpo-settings/

Здравствуйте. Решил обратиться за помощью т.к. либо я чего то не догоняю либо в чем то невправ. Дело в следующем. Был домен на 2003 сервере и все прекрасно работало. В свое время перевел его на 2008r2. И вот в чем возник вопрос. В групповой политике на сервера настроена установка обновлений винды через WSUS. Так вот на 2003 все прекрасно работало, устанавливалось, НО не пережагружала автоматом серваки. После же перехода на 2008 я стал замечать перезагрузку серваков после установки обновлений. Мучался думал где настроил неверно, колупал политику. Вынужден был даже выставить Настройка автоматического обновления: 2 - уведомления о загрузке и установке , НО после очередного прихода на работу был удивлен, что сервера стоят на перезагрузке. Сервера уходят в перезагрузку как с вин2003 так и вин2008. Собственно вопрос. В чем я не прав при настройке ?
Скрин высылаю как настроено у меня. Подскажите какой параметр я задал не верно