» Групповые политики (Group Policy, GPO): документация, ссылки

подскажите как правильно сделать
собираюсь снести 2003 и поставить заново 2003, есть список пользователей (набрал в экселе имя и пароль)
можно как то автоматом его экспортировать в новую винду, что бы не вбивать руками?

krolik131 AD?

drsmoll нет

krolik131 , на вскидку как-то так
список пользователей с паролями через ; в файле list.txt

Код:
FOR /F "tokens=1,2 eol=T delims=;" %%a in ('type list.txt') DO (

@echo Add user "%%a" Pass:" %%b"
@net user %%a %%b /add
)

Появился вопрос. Кто как решил его? Или оставили на усмотрение конечных пользователей?

подскажите как сделать в 2003
возникла необходимость при входе пользователя (user_1) в систему кидать два файла из папки С:\tmp в папку
C:\Documents and Settings\USER_1\WINDOWS
а при входе USER_2 в C:\Documents and Settings\USER_2\WINDOWS

krolik131
у меня сделано так
написан скрипт

Код: echo off
robocopy \\shara\User C:\Users\%UserName%\AppData /e /v /np

Здравствуйте, подскажите как через групповые политки дать пользователям домена управлять локальными принтерами: а именно приоставливать печать и очистить очереди печати?

kisooLL
а разве это в GPO делается
я чего то считал что это делается в свойствах принтера на вкладке безопасность

jey_str
Да, это там и делается. Но думал есть путь обходной, чтобы не заходить под админом и раздавать права на принтер на многих компьютерах.

kisooLL, добавьте нужных пользователей в группу "Операторы печати" они по умолчанию имеют необходимые разрешения на каждом принтере в домене.
Если же для различных принтеров нужны различные разрешения, то с помощью GPO это делается так: http://technet.microsoft.com/ru-ru/library/cc754699.aspx

Acid gh0st
Спасибо огромное! Теперь все стало на свои места! С принтерами.

Мужики, возникла такая проблема. на контроллере домена (с Active Directory) установил в GPO требования смены пароля пользователей раз в месяц. И под эту политику попали администраторы контроллера домена. Есть ли вариант настроить политики так, что бы пароли менялись только у пользователей домена, но это бы не касалось администраторов?
Облазил уже весь инет, в поисках решения этой проблемы, но так и не нашел никакого варианта.
Помогите, плиз! Заранее, огромное спасибо!

upd. Там кстати идет разделение Default Domain Controllers Policy и Default Domain Policy.
в Default Domain Policy требования на смену пароля стоят, а вот в Default Domain Controllers Policy требований на смену пароля нет. То есть,вроде бы стоит все правильно, администратору контроллера домена пароль менять не нужно.
Но применение GPO идет, на сколько я понимаю с иерархией, то есть сначала применяются политики Default Domain Policy и только потом Default Domain Controllers Policy. то есть они идут вторые, и поэтому не работают...

вобщем проблема осталась...

--deleted--
Упс, да Paromshick прав.

Политики паролей настраиваются не в ветке пользователя, а в ветке машины. Настройка разных политик паролей возможна начиная с 2008, но реализация ее не так проста. Соответственно, первая попавшаяся ссылка http://windowsnotes.ru/windows-server-2008/razdelnaya-politika-parolej-v-windows-server-2008/

Спасибо огромное, Paromshick! Все заработало!

AD на Windows 2012 R2, клиенты - от Windows XP до Windows 8.1. Политикой домена настроено менять пароль каждые 365 дней, вот скрин результирующей политики:

Вопрос: почему предложение сменить пароль выскакивает каждый месяц, если результирующая политика показывает, что должно предлагать менять раз в год?

Xrobak
Замечательный скриншот. Вопрос-то в чём?

А под скриншотом вопрос прочитать сложно? Или мне еще раз его повторить?

Не разглядел - сливается.
Случаем, не разные политики паролей в домене? В таком случае - предыдущая данная мной ссылка. Говорят - работает.
Если нет, то вот здесь случаем нет напоминания дней так за 330?

Политика одна для всех. По указанному скриншоту все так же как у вас, т.е. не указано там кол-во дней, и в результирующей политике данное поле тоже пустое.
Но раз уж просит менять раз в месяц, значит откуда-то это берется, хотя почему-то в результирующей политике и не отображается.

Просит у всех пользователей, или в одной\нескольких OU? Это я к тому, что политики могут быть разными. Это же не политика учетных записей, а политика безопасности. Следовательно, политика настроенная на локальном сервере может влезать.

Пока все мысли. Как правильно замечено, если оно есть, значит откуда-то берется. Не так много источников. Дефолтные политики домена\контроллеров, политики настроенные юзером в AD, политики локальной машины. Наконец тупая правка реестра на лок машине.

Ну и неизвестное - а можно вообще такой срок пароля устанавливать? Не проще ли (для чистоты) Password never expires. Наткнулся по ходу http://technet.microsoft.com/ru-ru/library/bb418799.aspx

Ребят, помогите пожалуйста...

Есть небольшой парк компьютеров в конторе с БОЛЬШИМ потоком кадров.. В связи с чем постоянно приходится настраивать сотрудникам определенных отделов определенные настройки.. Принтеры например.. Да и хотелось с программным обеспечением поиграться.. Но суть не в этом...
Что бы не полагаться на свой небольшой опыт, прочитал несколько статей по поводу групповых политик и решил реализовать задуманное..

Имеется:
1. КД (один со всеми ролями - на днях привезут еще один, тогда будет двое)
2. Терминал под 1С
3. Терминал под офисые приложения + на нем гипервизор с фтп и oprnvpn
!ВСЕ на Windows Server 2008 R2 x64!

Настроил ГП на КД (для начала пользователям (подразделениям) распределил принтеры) и.. НИЧЕГО.. Ни какой реакции у пользователей.. Вообще.. Без ошибок или хоть каких нибудь сообщений что на компах, что на серваке...

Причем gpresult /z показывает, что политика применяется, но толку шиш...

Все работы проводил под учеткой НЕ Администратора, а добавленного пользователя со всеми нужными правами -администратор домена, администратор предприятия, владелец-создатель объектов групповой политики и т.д...

Что делать и в какую сторону смотреть ума не приложу..

Если у кого была подобная история или просто подкованный спец в этой области - помогите.. Очень надо...

EjikNET


Цитата:

Настроил ГП на КД (для начала пользователям (подразделениям) распределил принтеры) и.. НИЧЕГО.. Ни какой реакции у пользователей..

Всё зависит от того:

1. какие стоят клиенты (версии Windows) у пользователей?
2. как устанавливаются принтера, принтер расшарен или же происходит установка его как сетевого принтера (в последнем случае политику надо применять не к пользователям, а к ПК, т.к. запись идёт в HKLM).


Цитата:

Причем gpresult /z показывает, что политика применяется, но толку шиш...

Есть в GPO такая штука как эмуляция применения любой политики с выводом результатов, пользуйтесь, очень помогает.

P.S. Между прочим установка софта (через GPO) то же должна производится на ПК (политика должна быть прилинкована именно к компьютерам), а не на юзера.

anton04


Цитата:

какие стоят клиенты (версии Windows) у пользователей?

В офисе в основном работают на семерке, но и ХР тоже присутствуют.. Я эксперименты проводил на семерке на физической машине.. Потом замучился ходить и теперь практикуюсь на виртуальной (VMware) семерке...


Цитата:

как устанавливаются принтера, принтер расшарен или же происходит установка его как сетевого принтера (в последнем случае политику надо применять не к пользователям, а к ПК, т.к. запись идёт в HKLM)

Принтера сетевые.. Сейчас пробовал по вашему совету политику приметить к виртуальной машине - эффекта никакого..

Сейчас с временем напряг.. Чуть попозже попробую эмуляцию применения политики.. Но все же терзают сомнения...

Неа.. Эффекта как и прежде нет...

Есть интересный момент: применяя политику (к пользователю) с принтером к группе пользователей, в которую входит и моя админская учетка, а затем зайдя на рабочий ПК под ней, все работает - принтеры появляются..
В этой группе создал 5 учеток с равными правами - на двух принтеры появились на остальных нет..

Попытался применить политику к компьютеру в сети - результат нулевой...

Моделирование групповой политики тоже использовал.. Все в порядке - в отчете никаких косяков (если они там должны отображаться)

Ничего не понимаю..

EjikNET


Цитата:

Есть интересный момент: применяя политику (к пользователю) с принтером к группе пользователей, в которую входит и моя админская учетка, а затем зайдя на рабочий ПК под ней, все работает - принтеры появляются..

Это говорит об достаточности Ваших прав для создания принтера.


Цитата:

Попытался применить политику к компьютеру в сети - результат нулевой...

Скриншот объектов GPO и содержимое Вашего GPO с установкой принтеров в студию.

P.S. Где то у Вас косяк с правами (на запись или чтения в ту или иную папку)...
P.P.S. Есть два способов установки принтеров, первый работает только в Vista и выше, а второй работает независимо от системы, какой применяете вы для меня загадка.

Пока я пробую применить политику к рабочим местам на семерке и при работе с ней как я понял, каких то особенных способов применения ГП не нужно (так по крайней мере я понял из прочитанного).. Пока не получится с ними - к ХР даже притрагиваться не буду..

Ссылки на скрины:










Извините, что так долго отвечаю.. Начальство не часто дает до рабочего места добраться))

EjikNET

Ну вот теперь стало яснее.

1. Вы подключаете принтер как шару, поэтому проверьте настройки доступа (разрешения) на шару принтера, а лучше скриншот в студию.
2. Во вторых шару принтера назовите односложно без пробелов типа "HPdj510" (временно до полного решения проблемы).
3. В третьих всё же рекомендую навести порядок в AD, а именно, создать следующие организационные единицы:

а) OU_Users
б) OU_Computers

В а) поместить все созданные вами организационные единицы с пользователями. В б) поместить все созданные вами организационные единицы с компьютерами.

В наименовании OU старайтесь придерживаться предложенного выше шаблона, т.е. в начале каждой организационной единицы добавляете "OU_". Поверьте так будет намного проще читать "код" GPO.

Подчёркиваю, что перемещать и переименовывать организационные единицы созданные AD по умолчанию, как то OU Domain Controllers, не надо.

P.S. Организационные единицы (OU) это все те Ваши названия "папок" как то "Группы пользователей", "Компьютеры организации" и др.
P.P.S Выделите Вашу текущую OU "Администраторы" и потом первую закладку, сделайте скриншот и предоставьте.

Если я правильно понял, то вы предлагаете структурировать AD путем переименования "Подразделений" в названия на английском языке и не используя пробелы? Примерно так?:

OU_Users
OU_Administrators
OU_Scientists
OU_Group_1
OU_Group_2
OU_Architects
и т. д.

Ну и относительно ПК по той же схеме? Правильно?

Вот скриншоты:

Касаемо администратора:


Разрешения принтера: