» Групповые политики (Group Policy, GPO): документация, ссылки

добрый...
извиняюсь за избитый вопрос, наверняка уже не раз обсуждалось...
в шапке и теме еще не нашел, поетому побуду чукчей-писителем, извиняюсь еще раз...

есть домен под Win2008 r2 и пользовательские машинки на Xp и Win7...
в ГПО есть отдельная политика перемещения папок Dektop, Documents по пути \\server\user_dektop, \\server\user_documents...
политика применяется для Проверенных пользователей (Authenticated Users)...
возникла необходимость в организации удаленного помещения, где будут находиться порядка 5 человек...канал будет слабенький, поетому необходимо выключить применение данной политики для определенного круга лиц...
и вот тут я затупил, т.к. с ГПО уже признаться давно не работал...
как лучше/отпимальнее организовать подобное?
1. вынести всех пользователей, кроме 5 человек в отдельную группу и вместо Проверенных пользователей (Authenticated Users) задать применение к созданной группе (но как-то не очень логично)
2. вынести 5 человек в отдельную группу и указать, чтоб к данной группе политика не применялась? (как бы логично, но не помню, чтоб в ГПО было такое)

возможно есть какие-то еще более кошерные способы о которых я не помню/не знаю...
сейчас конечно, продолжу гуглить, но если кому будет не затруднительно/кто-то уже делал такое, большая просьба подсказать наилучший способ организации/возможно есть какие-то нюансы...
спс...

Цитата:

вынести 5 человек в отдельную группу и указать, чтоб к данной группе политика не применялась? (как бы логично, но не помню, чтоб в ГПО было такое)

Вынести их в группу, и в разрешениях GPO редиректящего папки указать явный запрет на чтение.

BW4ever
спасибо за отклик, еще пара тупых вопросов, т.к. сделать пока не получилось...
объект ГП folder_redirection прилинкован к OU_name (размешение) и фильтры безопасности - прошедшие проверку
делегирование: прошедшие проверку - чтение (с учетом фильтрации ограничений безопасности)
если нажать дополнительно здесь же в делегировании, то на прошедших проверку выставлены права разрешить чтение и применить ГПолитику

добавляю тестового пользователя user_test в делегирование и на вкладке дополнительно меняю галки разрешения с чтения и применения ГПолитики на запретить
залогиниваюсь под user_test на машине, выполняю gpresult /h report.html и вижу, что папки перемещены, т.е. запрет не сработал для тестового юзера...

не там делаю? или же необходимо еще изменить политику - конфигурация пользователя - политики - конфигурация Windows - перенаправление папки - рабочий стол - свойства - выставить Указать различные расположения для разных групп пользователей?
спс...

Да вроде все правильно. А в OU_name лежат пользователи или компьютеры?

BW4ever
гм, OU_name лежат и пользователи и компьютеры
честно, не знаю почему так было сделано...делалось до меня

Добавлено:
выносить компьютеры в отдельную OU?
или же убрать из фильтров безопасности - Прошедшие проверку, заменив их на Domain Users? а в делегировании-дополнительно поставить запрет на применение политики для тестового пользователя?

Насчет содержимого OU_name я спросил потому, что думал там лежат только компьютеры, а пользователи например, в контейнере users. Это в принципе объяснило бы, почему политика не применилась.
Попробуй создать тестового пользователя в этом OU, после этого на компьютере выполни gpupdate /force И после этого зайди этим тестовым пользователем, глянь что gpresult покажет.

Добавлено:

Цитата:

выносить компьютеры в отдельную OU?

Это не имеет значения.

BW4ever
в общем сделал следующим образом...
в OU_name создал OU_name_dop_office, выставил для него блокировать наследование...
создал политику, в настройках которой указал, чтоб папки редиректились в расположение, определяемое локальным пользователем и прилинковал ее к OU_name_dop_office
насколько понимаю, папки вновь созданных пользователей в OU_name_dop_office будут иметь стандартный путь, а пути папок пользователей, которые переедут из головного офиса в доп. будут изменены на локальное сохранение...
решение как мне кажется несколько кривоватое, но иначе сделать не получилось
спс Вам за подсказки

Цитата:

в OU_name создал OU_name_dop_office, выставил для него блокировать наследование...

Dasky, а вот это зачем? ведь у Вас как я понимаю политики одинаковые для всех пользователей, отличаясь лишь редиректом личных папок?
Просто таким образом вы отказались от наследования всех политик и их придется настраивать заново и не совсем правильно, ведь если вы поменяете глобальную политику, Вы (ну или тот кто будет после Вас) можете не обратить внимание, что она не применится на работников дополнительного офиса.

Если еще не поздно предложу свое решение:

пользователи в основном офисе (А) будут в подразделении OU_name
дополнительного во вложенном подразделении OU_name_dop_office (D) - вы все так и сделали и теперь создаете в D политику block_redir, и в политике премещения указываете необходимую настройку, кроме "Не задана", так как при этом значении редирект будет наследоваться. Если хотите чтобы профили в офисе D хранились на локальных компах укажите "Перенаправлять всех пользователей в одно место"->"перенаправлять в следующие расположение" и укажите "C:\Users\" к примеру. (можно в принципе вместо для всех пользователей использовать различные расположения по группам и также указать для прошедших проверку локальный путь)

Acid gh0st

Цитата:

а вот это зачем? ведь у Вас как я понимаю политики одинаковые для всех пользователей, отличаясь лишь редиректом личных папок?

временное решение, т.к. с политиками буду еще разбираться...
дело в том, что на данный момент создано несколько политик (не мной), которые задают некоторые совсем несущественные для доп.офиса параметры (например указание адреса сервера ВСУС и мапинг сетевого диска)
больше, можно сказать, ничего не настроено...

Добрый день уважаемые форумчане!
Подскажите, пожалуйста как при помощи Group Policy Preferences создать ярлык в папке "Мои документы"?
Папки "Мои документы" нет в списке.



Если нажать f3 в поле имя и посмотреть список переменных папки "Мои документы" там тоже нет.



У пользователей используется перенаправление папки "Мои документы" на сервер по unc пути вида: \\server\users$\username\Мои документы
Вопрос: Каким образом можно создавать ярлыки в папке "Мои документы" с помощью "Предпочтений групповой политики"?
Спасибо.

Вообщем такая проблема, имеется домен на Servere 2008 R2, в Active Directory в свойствах компьютера есть вкладка безопасность, случайно поставил галку на полный доступ - запретить, выдало сообщение ---------------------------
Безопасность Windows
---------------------------
Вы запретили доступ к "USER" для членов группы "Все". Никто не сможет получить доступ к "USER", и только владелец сможет изменить разрешения.



Продолжить выполнение операции?
---------------------------
Да Нет
---------------------------

Нажал на да, после этого не входит в общий доступ на компьютер USER,
[Window Title]
Открыть папку

[Content]
Нет доступа к \\USER. Возможно, у вас нет прав на использование этого сетевого ресурса. Обратитесь к администратору этого сервера для получения соответствующих прав доступа.

Вход в систему не произведен: выбранный режим входа для данного пользователя на этом компьютере не предусмотрен.


[ОК]



В локальной политике безопасности на компе USER нельзя поменять настройки в

Назначение прав пользователя - Доступ к компьютеру из сети
и - Отказать в доступе к этому компьютеру из сети


Помогите разобраться с этим, нужно обратно все вернуть, что б к USER можно было подключиться

Цитата:

77599073587

1 - Удалить группу "Все" из свойств безопасности компьютера. Затем добавить с разрешениями по умолчанию.
2 - Вывести компьютер из домена, предварительно убедившись что пароль локального администратора известен и работает. Удалить учетку компьютера из домена. Ввести компьютер в домен.
P.S. И забудь про локальные политики - используй доменные.

OverDope
у самого Group Policy Preferences на AD не стоит, поэтому точно подсказать не смогу, но может оно лежит не в "Объектах файловой системы", может чушь говорю...

но вот есть способ как сделать ярлык на рабочем столе "Моих документов" без GPP.

через GPO прописать всем машинам этот ключик реестра
"HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel:{450D8FBA-AD25-11D0-98A8-0800361B1103} [DWORD} = 0".

Спасибо за помощь -OverDope, 1) действие сделал вчера ещё, но после перезагрузки залогиневшись не помогло, придя сегодня ничего не меняя доступ к компу USER появился, пока не понял в чем проблема, почему вчера не пускал на комп USER с сервака.

Добавлено:
ЕСть ещё такой вопрос, домен находится в локальной сети, тоесть наш домен и пользователи которые находятся вне домена, хочу сделать так что бы пользователь из локалки не мог зайти в комп который в домене, что б выходило сообщение типа

Открыть папку

[Content]
Нет доступа к \\USER. Возможно, у вас нет прав на использование этого сетевого ресурса. Обратитесь к администратору этого сервера для получения соответствующих прав доступа.

Вход в систему не произведен: выбранный режим входа для данного пользователя на этом компьютере не предусмотрен.


[ОК]

Цитата:

77599073587

Если я правильно понял то нужно разрешить доступ к компьютеру только доменным пользователям.
В таком случае создай групповую политику и определи в ней следующие параметры:



Доступ к компьютеру из сети - укажи группы Domain Users и Domain Administrators
Локальный вход в систему - укажи группы Domain Users, Domain Administrators и локальных (не доменных) Администраторов.
Разрешать вход в систему через службы удаленных рабочих столов - укажи группу Domain Administrators
После этого примени эту политику к учетным записям компьютеров домена. Желательно сначала к какому-нить одному для тестирования. И если все пройдет хорошо - вводи эту политику в домене.
Внимание - применять её к серверам не желательно! Только к рабочим станциям пользователей.
P.S. После назначения политики какому-нить компьютеру, для того, что бы политика применилась быстрее
выполни в командной строке от имени Администратора на этом компьютере gpupdate /force
Кстати именно по этому у тебя комп User заработал после перезагрузки - он обновил политику.
P.P.S. А вообще в идеале - в локалке домена нечего делать не доменным пользователям.

---------- OverDope

то что нужно , Спасибо за помощь.

Добавлено:
ну и последний вопрос, думаю вы тоже знаете как его решить. Наша компания переходит с локальной сети на доменную сеть. Вопрос в чем, при помощи программки Profwiz3 я перевел всех локальных пользователей в домен, сохранив все настройки, рабочий стол и так далее, но при этом профиль в домене старый и остался, под именем User, C:\Users\user , хотя учетка наприер ivanov, каким образом можно заменить это имя - вместо C:\Users\user -> C:\Users\ivanov, в командной строке что б тоже было C:\Users\ivanov

Добавлено:
при этом ничего не копируя, может как то можно просто переименовать это имя ?

Цитата:

77599073587

На контроллере домена запустите консоль "Пользователи и компьютеры Active Directory"
Найдите нужного вам пользователя и проверьте что указано в полях "Имя входа пользователя" и "Имя входа пользователя (пред-Windows 2000)". Имя которое указано в этих полях и будет именем профиля при входе пользователя.

при входе то да, но на этой же машине логинешься под COM\ivanov а в пользователях имя указано User, тоесть получается что учетка ivanov под профилем User. Хотелось бы что б было учетка ivanov под профилем ivanov

Цитата:

77599073587
в пользователях имя указано User

В пользователях это где?
Можно скриншот?

77599073587
если профиля перемещаемые, проверь, что профиль сохранился на сеть, потом прибей локальный профиль и загрузится следующий раз сетевой: имя будет правильное

Компьютер->с:\Users\ 1)Default
2)User1
3)Администратор
4)Общие

при входе в домен логин ivanov
пароль ivanov
домен COM

хочу так -> Компьютер->с:\Users\ 1)Default
2)ivanov
3)Администратор
4)Общие

с условием что никакие настройки не собьются, и рабочий стол останется без изменений

Цитата:

77599073587

Думаю совет от
Цитата:

borin

выше поможет.
Как то странно отработал Prowiz.
Если пользователей не много - проще, наверное, вручную перенести "Рабочий стол" и "Мои документы" в доменную учетку.

купили новый системный блок, вписали название компьютера в сети от старого, но при входе в АД выдает: ЭТОМУ пользователю нельзя входить с ЭТОГО компьютера. понятно, что GUID другой.
подскажите, пожалуйста, где именно в GPO редактируется этот параметр на server2008 ?

likbez Это вообще-то не к Групповым политикам относится, а к АД - вывести старый из домена и ввести новый снова.

drsmoll
все это как-то взаимосвязано. конечно же в первую очередь это сделали - добавили новый комп в домен, но не помогло.

доброго!
Подскажите по безопастности.
Итак, допустим я в GPO разрешу группе запуск приложений только из папки ProgFiles и Windows. А также допустим я ввожу ограничения на запуск приложений(хочу сделать это средствами Родительский Контроль). Теперь глобальный и стратегический вопрос.
Допустим я разрешил пользователям запускать C:\WINDOWS\SYSTEM32\CALC.exe
Как теперь защитить эти правила, если пользователь имея физический доступ к ноутбуку может вытащить жесткий и заменит этот самый калькулятор на другое приложение? Проверил, если просто поменять приложение, то Родительсикий Контроль дает разрешение на запуск левого ПО.
Склоняюсь к шифрованию всего раздела с ОСями на клиентских ПК например при помощи BitLocker, чтобы не было возможности подмены. Какие есть варианты из стандартных методов защиты правил на запуск разрешенных ПО?
Прошу учесть что с GPO знаком поверхностно и домен с нуля разворачиваю впервые.

TOSTERS, правила на основе хэша файла Вам помогут

TOSTERS
я бы смотрел в сторону http://www.accord.ru/amdz.html
дешево - скорее всего будет либо никак, либо глючно

Имеется доменная РС (W7 SP1 Corp), на которую накинуты ограничивающие ГП.
Через AppLocker блокированы все скрипты кроме определенных (разрешенных) и включен UAC.
При запуске одного из разрешенных скриптов выходит такое окно:



Нужен скрипт на PowerShell, который выводит в таблицу в понятном виде все текущие записи апплокера.
Нужна информация, что запрещено и что разрешено на локальной станции Групповой политикой, использующей AppLocker.

Приветствую.

Подскажите как пользователям можно дать право на настройку устройств, что ли. Даже хз как это правильно назвать.
В общем вопрос о драйвере звуковой карты. Когда происходит действие с портами звуковой карты, то драйвер предлагает выбрать что за девайс подключен (динамики/наушники и т.п.). Так вот при этом вопросе он запрашивает доп привилегии. Как бы их выдать пользователям?
Или может есть другой путь решения?