» Групповые политики (Group Policy, GPO): документация, ссылки

anton04
Спасибо! Просто хотел именно adml(больше настроек). Но протупил: он для компа, а не юзера

OOD

Цитата:

obtim
У меня тоже 11 IE. вначале пропишите политику как на скрине, потом руками версию на 99 исправьте и должно быть все ок.
Там где на Вашем скрине правил -не работает..

Добавлено:
Путь к файлу:
\\server\SysVol\serverl\Policies\{9E23B9A8-7C46-4023-A274-3D470B479B90}\User\Preferences\InternetSettings\InternetSettings.xml

Подправил файл на
path="%ProgramFilesDir%\Internet Explorer\iexplore.exe" type="VERSION" gte="1" min="8.0.0.0" max="11.0.0.0"
В политике proxy не появился

Здравствуйте.
Проблема: Создал GPO, в нем 2 настройки:
1. Конфигурация компа - Политики - Адм. шаблоны - Система - Установка драйвера - разрешаю юзерам устанавливать драйверы к принтерам.
2.Конфигурация компа - Настройка - Конфигурация Windows - Реестр - добавляю ключ в реестр.

Смотрю результирующую политику для тестового компа - RSOP видит настройку №1. А настройку №2 - нет. Вообще, в RSOP не отображается вся ветка Конфигурация компьютера - Настройка. А в Редакторе групповой политики она есть.

Почему так? Как будто где-то есть настройка "не применять предпочтения групповой политики."

P.S. В файликах этой групповой политики в папке SYSVOL есть XML файл, где описывается мой ключ реестра - т.е. политика создаётся корректно.
P.P.S. RSOP запускался после gpupdate /force, и на контроллере домена и на тестовой машине - результат один.
P.P.P.S. клиент - Win7, сервер - WinServer 2012

Заранее спасибо за помощь.

Подскажите, как для конкретного пользователя менять фон рабочего стола на 2008 терминальнике. Создал тестового пользователя 1. У него

проблема в том, что из-за выполняемого в стартовом скрипте (при входе в систему) Bginfo.exe - слетает фоновая картинка раб. стола. Если Bginfo.exe отключить-все ок. Но он нужен

Всем доброго времени суток! у меня такая проблема, есть контроллер домена в нем же dhcp DNS, мне надо сделать пользователя который бы мел права управления ТОЛЬКО DNS и DHCP из mmc, сделал пользователя домена, сделал группу для последующих настроек GPO, вроде бы все получилось, но вот беда при использовании явного указания оснасток консоли там нету пункта DNS и DHCP. Помогите господа!

Цитата:

попробывал делать группу в АД - bw и color ... добавил например групу bw в политику принтера и в настройках установил ЧБ режим .... по умолчанию пользователь печатает в ЧБ но ему только стоит зайти в настройки драйвера при отправке напечать и он может установить Цвет ....

Как ты это сделал?

Добрый день!
Везде пишут как заблокировать смену фоновой картинки на рабочем столе, но нет другого очевидного решения, как заблокировать загрузку пользовательской картинки и оставить выбор имеющихся картинок пользователям?

Kastrulya001


Цитата:

но нет другого очевидного решения

то что очевидно Вам не очевидно другим


Цитата:

как заблокировать загрузку пользовательской картинки и оставить выбор имеющихся картинок пользователям?

Решение такого вопроса выходит за рамки GPO.

Цитата:

то что очевидно Вам не очевидно другим

Вы не все.

Добрый день.

Прочитал много материала и на рус. и на анг. но не совсем разобрался.
Объясните пожалуйста на пальцах - когда применяется Создать, Обновить и Заменить.
Основа основ этой темы здесь:
https://technet.microsoft.com/ru-ru/library/cc770902.aspx

Если я делаю пункт Создать - все ок, он создается, Обновить - тоже, Заменить - тоже.
В каких случаях когда что использовать?

Вопрос:
Создаю через параметр ЗАМЕНИТЬ диск S, он создается, работает, правлю на T - правится, работает.
Но если стоит галочка "повторное подключение", то при смене буквы - остается прежний диск и вновь созданный. Как я понимаю он не удаляется, но тогда вопрос - раз стоит параметр ЗАМЕНИТЬ, почему срабатывает большим приоритетом параметр "повторное подключение"?

Ребят, подскажите, как через групповую политику заменить обои на рабочем столе у пользователей?

Зашел в оснастку Управление групповыми политиками, создал для подразделения политику. Настроил в настройках пользователя Active Desktop и задал ссылку на картинку. Выбрал пользователей, к котором нужно применить политику. Комп пользователя перезагружал, обои не меняются.

Win Srv 2008 R2, Win 7 на клиентских машинах

Что нужно еще изменить? Спасибо.

55550000

Перефразируя классика: О сколько нам ошибок чудных готовят просвещенья век.

Ссылка на картинку локальная или сетевая?
Картинка имеет какое расширение.

Скриншот (с GPO mmc консоли) с активной ссылкой на изменения картинки в студию (чтоб было видно на кого применяется и что применяется.

Приветствую. Я новичек в AD. Стоит server 2012. Пытаюсь установить софтинку (msi) групповой политикой, а она ругается
Product: System -- Error 1309. Error reading from file: C:\Windows\TEMP\mia141C.tmp\data\Default\BBFDAA83\2BF58BC7\sys.dll. System error 5. Verify that the file exists and that you can access it.
В чем проблема? или чему дать доступ? Заранее благодарен.

anton04

Спустя 3 дня мучений.
Картинка залита на сервер, ссылка на нее естественно сетевая.
Картинка jpg
Применяется на весь домен ко всем пользователям домена.

После кучи экспериментов выяснил, что все таки она применяется, но почему то в сети есть три машины, на которых она отказалась применяться. Журнал на них пока не смотрел. Какие могут быть мысли по причине столь странного поведения?

55550000 gpresult и RSOP

Знающие люди!!!

Подскажите решение или хоть куда копать. Такая ситуация, периодически отключается служба брандмауэра у пользователей в AD. Системы Windows XP и Windows 7. Уже вроде все групповые политики пересмотрел, везде стоит не сконфигурировано. Сами профили брандмауэра выключены на клиентах, то есть брандмауэр не работает, но службу отключать никак не нужно. Как только останавливается служба брандмауэра, перестают печатать принтера, так как для чего то служба им эта нужна. Захожу админом, ставлю службу включать автоматически, запускаю, всё работает, через 3-4 дня опять двадцать пять, служба отключена. Уже вскипел, из-за чего может отключаться служба?

P. S.
На серверах такого не наблюдается. Есть думка, что принтеры и виноваты в этом косяке. Принтеры НР 1005, НР 1006.

DSM_Fronex

Цитата:

DSM_Fronex

1. rsop.msc на клиенте
2. проверяем антивирус, не он ли отключает сервис

Есть терминальный сервак(2008R2)
Есть желание запретить на нем разным группам запуск разных программ.
Вроде бы создал политику и она применяется(запрет запуска regedit) - но не выполняется.
1. Политика

2. Применение

3. Пользователь

4. Группы пользователя

5. Имеем gprezult
Примененные объекты групповой политики
Имя    Ссылка    Редакция
Aviakonstruktorov    clinica.local/Configuration/Sites/KlinikaNaAviakonstruktorov    AD (23), Sysvol (23)
UserStartUP    clinica.local    AD (16), Sysvol (16)
KlinikaPozvonochnika    clinica.local    AD (54), Sysvol (54)
Default Domain Policy    clinica.local    AD (1), Sysvol (1)
Zapret Regedit    clinica.local/Klinika_Pozvonochnika/ООО Клиника Позвоночника Авиаконструкторов/Медицинский персонал    AD (2), Sysvol (2)
Zapret CMD    clinica.local/Klinika_Pozvonochnika/ООО Клиника Позвоночника Авиаконструкторов/Медицинский персонал    AD (1), Sysvol (1)
Firefox    clinica.local/Klinika_Pozvonochnika/ООО Клиника Позвоночника Авиаконструкторов/Медицинский персонал/Средний медицинский персонал    AD (5), Sysvol (5)
и
Система
Политика    Параметр    Результирующий объект групповой политики
Не запускать указанные приложения Windows    Включено    Zapret CMD
Список запрещенных приложений
cmd.exe
Дополнительные параметры реестра
Не удается найти Отображаемые имена для некоторых параметров. Чтобы решить эту проблему, нужно обновить ADM-файлы, используемые средством управления групповой политикой.

Параметр    Состояние    Результирующий объект групповой политики
Software\Policies\Mozilla\Firefox\AutoProxyURL        Firefox
Software\Policies\Mozilla\Firefox\DownloadLocation        Firefox
Software\Policies\Mozilla\Firefox\DownloadType    My Documents    Firefox
Software\Policies\Mozilla\Firefox\Homepage    www.xxxx.ru    Firefox
Software\Policies\Mozilla\Firefox\ManualFTP        Firefox
Software\Policies\Mozilla\Firefox\ManualFTPPort    1    Firefox
Software\Policies\Mozilla\Firefox\ManualGopher        Firefox
Software\Policies\Mozilla\Firefox\ManualGopherPort    1    Firefox
Software\Policies\Mozilla\Firefox\ManualHTTP    192.168.6.244    Firefox
Software\Policies\Mozilla\Firefox\ManualHTTPPort    3128    Firefox
Software\Policies\Mozilla\Firefox\ManualSOCKS        Firefox
Software\Policies\Mozilla\Firefox\ManualSOCKSPort    1    Firefox
Software\Policies\Mozilla\Firefox\ManualSOCKSVersion    4    Firefox
Software\Policies\Mozilla\Firefox\ManualSSL    192.168.6.244    Firefox
Software\Policies\Mozilla\Firefox\ManualSSLPort    3128    Firefox
Software\Policies\Mozilla\Firefox\ProxyExceptions    localhost, 127.0.0.1    Firefox
Software\Policies\Mozilla\Firefox\ProxyType    1    Firefox
Software\Policies\Mozilla\Firefox\XPIInstall    0    Firefox

В чем ошибка?

Добавлено:
P.S. Вроде бы понял, что не отрабатывает политика с regedit, т.к. у меня ранее с помощью него импортируются данные в реестр. Вопрос: как с учетом этого факта запретить пользователю запускать Редактор реестра?

Цитата:

1. rsop.msc на клиенте 2. проверяем антивирус, не он ли отключает сервис

ЛЮДИ ПАГАГИЦЕЕЕЕЕЕЕЕЕ!!!

Держаться больше нету сил...
Немагууууууууууу

Отрубается служба брандмауэр у пользователей в АД. Что уже не смотрел, что не делал, отключается сцуко хоть здохни. В результирующей политике везде стоит "Не определено". Служба "Не определено". Антивирус SEM, политика фаервола вообще отсутствует, даже компоненту не ставил пользователям. Уже скоро колотить будет. Но чудес не бывает, как то же служба останавливается?

P. S. Создал тестового пользователя. Захожу в домен, с первого подключения служба остановлена.
АД стоит на Windows Server 2008 R2 Standart.

РАЗОБРАЛСЯ!
Если кому интересно, проблема была в следующем, в АД создана много политик, для отделов, пользователей, дисков и т. д. и в одной из политик для пользователей, в службах виндовс и была запрещена служба брэндика.

Есть потребность за нерадивыми сотрудниками выключать компы в определенное время(выключаем не все рабочие станции в домене, а только определенные). На данный момент делается это утилитой psshutdown.exe @complist.txt -c -t 300 -m "Your computer will be powered down. Just press \"Cancel\" if you really need to work now." через шедулер.
Где в файле complist.txt хранится список компов.
Решил, что более правильно делать это через политики.
Вопрос: как?

obtim

Через планировщик с помощью задания и команды shutdown

Доброго дня!

Коллеги, подскажите, можно ли в домене уровня 2008 как-то задать нестандартную сложность пароля? Изначально можно включить\выключить сложный пароль, а сложный пароль это 3 из 4 условий (маленькие буквы, большие, символы и цифры).

Можно ли с помощью Fine Grained Password Policy задать, например, соответствие 2 из 4 условий?

Заранее благодарю.

Sje


Цитата:

Можно ли с помощью Fine Grained Password Policy задать, например, соответствие 2 из 4 условий?

нет.

Sje
В домене этого уровня можно задать сложность паролей для разных OU, что ранее было невозможно. В теме обсуждалось. Если подходит, что, например, ответственные сотрудники имеют только сложный пароль, а тётя Дуня набирает просто А, то это стало реально.

Добавлено:
Вот направление траншеи http://www.osp.ru/win2000/2008/02/4866361/

Коллеги, нужно правильное направление поиска.
Домен под управлением win2012. Требуется запускать в терминале (win2008r2) outlook 2010 в режиме совместимости. Гугл насиловал вопросом задания сего действия через GPO - молчит. Возможно ли это реализовать средствами GPO?

urodliv, а что Вы понимаете под "режимом совместимости" Outlook 2010?

urodliv Тут почитай
Планирование использования режима совместимости в Office 2010
https://technet.microsoft.com/ru-ru/library/cc178998%28v=office.14%29.aspx
Шаблоны групповых политик для Офис 2010 тут:
Office 2010 Administrative Template files (ADM, ADMX/ADML) and Office Customization Tool download
https://www.microsoft.com/en-us/download/details.aspx?id=18968
Покопайся в них.

Use Group Policy to enforce Office 2010 settings
https://technet.microsoft.com/en-us/library/cc179081%28office.14%29.aspx

Центр ресурсов по обеспечению совместимости на портале TechNet
https://technet.microsoft.com/ru-ru/office/ff460851.aspx

Друзья, нужна помощь.
Сделал через GPO такую незамысловатую штуку, как запрет на запись на рабочий стол для пользователей.
"Конф. комп. - Политики - Конф. Windows - Файловая система"
"%USERPROFILE%\Desktop"
"%USERPROFILE%\Рабочий стол"

Два вхождения потому что в сети есть XP и 7-ки. Проблема в том, что на XP нормально все отрабатывает, а на 7-ках никак не реагирует, в журнале на машинах ошибок нет, политика применяется исправно.
Собственно полтора вопроса.
Куда копать?
И почему оно вообще работает? Ведь переменная %USERPROFILE% появляется только после логона пользователя, или после логона еще раз отрабатывает конфигурация компьютера из политики?

Добрый день!

Есть возможность через Active Directory настроить так, чтоб после перезагрузки комп перешел в состояние получения IP автоматом?

artclub в shutdown скрипт впишите:

netsh interface ip set address "lan0" dhcp
netsh interface ip set dns "lan0" dhcp
netsh interface ip set wins "lan0" dhcp

хотя, я бы это сделал через psexec группами по 5-10 компьютеров "во избежание"

ps. Имена интерфейсов свои подставьте

borin

Можете мне подробней показать как нужно это сделать,как куда и что вписать?

этот вариант мне больше нравиться "через psexec группами по 5-10 компьютеров "во избежание"

Я впервые скриптом пользуюсь!

Очень нужна ваша помощь!

Заранее спасибо!



Добавлено:
borin
Создал file.bat , туда скопировал
netsh interface ip set address "lan0" dhcp
netsh interface ip set dns "lan0" dhcp
netsh interface ip set wins "lan0" dhcp


Потом поместил этот файл как показано на этом видео
Проверил, но все без изменений


Как сделать так чтоб скрипт сработал на нужную группу?