» Групповые политики (Group Policy, GPO): документация, ссылки

***

Кстати, подскажите, как грамотно, в массовом порядке, расшарить на компах определенную папку (My Documents юзера) с соответствующими пермишенами?

Изредка соединяюсь с доменом через vpn, компьютер прописан в домен, есть пользователь, сижу локальным админом. После последнего соединения с доменом исчезли права на смену времени и удаление партиций диска. Т.е. уеду в другую страну- время не сменить, usb диск на два раздела не отформатировать. Понятно, что можно позвонить и поумолять выделить меня в отдельный OU и что-то мне там вернуть, но опыт подсказывает- лучше спросить у вас

Как отменить действие политики домена из под локального администратора (WinXP SP2)?

Pycckuu
Никак. Кто считает по другому - пишет не здесь.(точка)

По поводу расшаривания папки.
Все просто надо написать скрипт на VisualBasic, который будет шарить папку и выставлять на неё необходимые права. По поводу прав - самому лучше не пытаться писать, у Microsoft есть специальный скрипт, позволяющий с помощью него легко выставить необходимые ACL (название вылетело из голову - если что, то поищу, пиши в личку).
Ну и назначиьт этот скрипт определенному Организационному Подразделению.


Добавлено:
По поводу локального администратора. Насколько я понял Вам необходимо производить сервисные действия в отношении компьютера, явно их регулярно делать не надо. Поэтому не проще создать локальную запись администратора, зайти под ней локально в компьютер и делать с ним что душе удобно?!

В чем проблема?
создаю политику перенаправления папок.
На клиентской машине выпадает ошибка

Event ID: 111
Source     Folder Redirection
Type     Error
Description     Unable to apply folder redirection policy, initialization failed.

не возможно перенаправить, ошибка инициализации?

Как решить проблему?

для автоматического обновления. Я хочу чтобы обновления качались c wsus и автоматом устанавливались, сейчас ставятся только самим пользователем. Но в описании Auto download and schedule the install говорится, что перезагрузка компутера не происходит, если пользователь залогинен. А если не залогинен ? Меня терзают смутные сомнения..

==========


Цитата:

А если не залогинен ?

а если не залогинен, то сервер перезагружается. Всем спасибо, разобрался.

EvgStayer
Папка с именем пользователя на сервере создается?
Сервер какой? 2000?

Проблема была в том это на клиентском компе не было разрешения на ветку реестра USER
после того как поставил разрешение все стало применятся

Существует следующая проблема. После крушения контроллера домена, в спешке поднимал другой контроллер на другом компе (комп1). До этого комп1 использовался в работе. Контроллер я поднял все нормально, но после подъема до контроллера, что-то где-то слетело и теперь я не могу под логином входящим в группу "администраторы домена", не установить дополнительные компоненты Винды, не посмотреть журнал безопасности. Ни экспортировать импортировать шаблоны безопасности. Также не могу при помощи GPMC посмотреть что-там творится, говорит отказано в доступе. Т.е. налицо все признаки того, что мой логин не принадлежит к администраторам, хотя в AD у меня прописано администраторы домена, и через net accounts я вижу что вхожу в группу локальных админов. Как вернуть это на круги своя?

Добавлено:
ОС: Windows Server 2000 SP4 со всеми обновлениями.

Такой вопрос: перенаправляю папку Мои документы в домашнюю папку на сервере. Все нормально, он появляется там под названием My Documents. Можно ли как-то сделать, чтобы она появлялась под другим названием?

Как с помощью политик прописать чтобы у всех пользователей отображались часы в трее?

Помогите решить проблему, пожалуйста.3 дня мучуюсь-никак. Прочитал все темы на руборде.
нужно запретить польз-ся usb на компах
в AD users and computers создал подразделение
all_users, в ней Admins (блокировать наследование)
оккрываю mmc-открыть остнастку редактор групповой политики
создаю новую политику USERS, подклучаю админист-й шаблон nousb.adm
пишу включить.Открываю AD users and computers-All_users-св-ва-груп-я пол-ка
открываю политику созданную Users-ok.

ИТОГО-на сервере usb не работает, на клиентах все Usb в рабочем состоянии

(windows server 2003,sp1+поставил руссификатор)
в редакторе политик эта политика на русском языке, все остальные на англ-м.
может в этом причина?

Что я не так делаю?

Заранее огромное спасибо!!!

mistx
похоже ты создаешь политику для контроллера домена а не для домена....
у меня тоже русс, там есть типа... политика домена и политика контроллера домена
тебе первое нуна

Gabzya
да я что только не пробывал.
пробывал распространять эту политику на домен.
потом создал новую политику и прикрепил ее к существующему подразделению.
Произошло странное-только один компьютер сработал, а остальные никак.
все пингуются ок.Ничего не понимаю. Главная проблема-на сервере usb не работает даже после отключения этого шаблона.
может что то с репликацией?
на применение такого шаблона на клиентов сколько времени нужно?

Все перекопал что возможно, но не могу найти решение проблемы.
Может быть кто-то знает.
Задача такая, есть несколько DC в одном сайте, нужно чтобы юзеры или определенные серверы регистрировались на определенном DC, а так как их несколько и все они в одном сайте регистрация пользователей проходит все время на разных DC, что не есть хорошо. Кто поможет решить проблему?

Подскажите, как автоматизировать внесение изменений в реестр CURRENT_USER?
Если через Startup script - то там надо указывать SID, а это большой геморрой. Если через Logon script - то юзера не имеют прав на использование regedit...

Как лучше поступить?

gap5
Custom ADM files (templates).
Все есть в шапке.

Кстати, такая проблема появилась - на компах (WinXP) входящих в домен (Win2003) где-то с переодичностью в 5 минут окна перестают быть активными. Т.е. как будто юзер кликает мышкой в пустое место, и "фокус" с окна пропадает...

Политики обновляются раз в 30 минут.
Никто не сталкивался с такой проблемой?

коллеги, подскажите плиз, где в политике находится запрет
на отключение винтов через 20 минут. Все компы отрубаются через 20 мин.
никак не могу найти.

Благодарю!

mistx
Стандартно в ХР - нигде, т.к. параметры хранятся в hex'e, а group policy с hex'ом не дружит, можно конечно поставить некую приладу от EnergyStar, возможно она даже будет работать... Но по-моему проще юзать powercfg.exe через скрипты...

gap5
неужели выхода нет?
с этими прогами не общался ранее
поэтому не знаю

mistx
есть выход, пишешь bat файл с нужными настройками powercfg.exe и ставишь его в Start Up Scripts для клиентов...

я раньше тоже думал, что групповые политики это красиво, удобно и всеобъемлюще хрен, зачаточный уровень...

Подскажите плиз. Необходимо установить GPO на разных пользователей. Скачал GPMC. Установил. В AD создал две OU - "Директоры" и "Временно_приезжающие". Создал для обеих GPO прилинковал их в GPMC к этим OU. Но правила директоров начали применяться ко всему домену, даже к сисадминам. Подскажите, как правильно выстроить GPO и их назначение нужным в GPMC.

P.S. Что значит "Enforced" в GPMC?

Enforced - http://lingvo.yandex.ru/en?text=enforced&st_translate=1

Перевести и я могу, но что оно означает в GP? Никакой русской доки по GPMC. Может у кого что есть на эту тему на русском?

ну так из контекста понятно, что эта политика распостраняется не взирая на блокировки.. т.е. если ты ниже оу заблочил, то эта политика все равно перетекет на тот оу.

gap5
у тебя случайно неТ готового bat файла?

mistx
Нет, пока не занимался этим.

ALL
Можно ли через Restricted Groups создать новую группу? В моем случае выдает ошибку -
----Настройка членства в группах...
    Настройка new.group1.
Ошибка 1332: Именам пользователей не сопоставлены коды защиты данных.
    Не обнаружено системное сопоставление для new.group1.

Поставил делегирование на пользователя - что бы он могу поставить комп в домен - через мастера делегирования.

Вопрос - как теперь с него эти привилегии снять?