» Групповые политики (Group Policy, GPO): документация, ссылки

ChaZmik

Цитата:

удалить у пользователей файл, находящийся в директории Windows

Т.е. - удаляем не зависимо от конкретного пользователя компьютера ->
Политика-
- Конфигурация компьютера - Настройка - Конфигурация Windows - Файлы:
ПКМ - Создать-Файл; Действие - Удалить ... ну и видимо путь до файла

Добрый день. в Server 2012R2 есть возможность в gpmc.msc нажав правой кнопкой на OU запустить принудительное обновление групповой политики на клиентах.
Однако есть две проблемы:
-обновление происходит не сразу а через какой то промежуток времени (асинхронно) - можно это как то отключить, чтобы применялись сразу?
-у пользователей высвечивается окошко cmd с выполнением gpupdate, однако они обычно его сразу закрывают - есть способы это запретить?

Частично нашел решение проблемы (описание https://technet.microsoft.com/ru-ru/library/jj134201.aspx): групповые политики применяются принудительно с помощью PS скрипта и задавая –RandomDelayInMinutes 0 можно применять их мгновенно.

Но окошко у пользователей все равно вылазить, видимо это не победить.

Всем доброго времени суток. Есть такой вопрос/задача. Нужно что бы при входе пользователя в систему запускался Outlook. Есть вариант пробежаться по компам (расстояние не большое и не много компов) и прописать в астозагрузку, но это не спортивно. Сделал через GPO-Logon (bat-файл) и назначил группу пользователей для политики. Заработало, все ок, но тут вылез побочный эффект. При логине пользователя на сервер по RDP эта политика применяется и на сервере. Как указать что бы этот скрипт выполнялся только на указанных компах или что бы он не относился для подключений RDP? Ну, или вообще как решить правильнее?

hunterpad
я бы сделал фильтр применения политики только для пользователей удаленного рабочего стола.

нет. нужно совсем на оборот, что бы на удаленных рабочих столах не применялась данная политика

hunterpad
на терминалах обычно делаю "замыкание политики на себя", и урезаю права пользователя именно для этого сервера или для группы терминалов.

hunterpad
Наоборот - запретить пользователям этой группы, чтение этой политики, через вкладку делегирование. http://winitpro.ru/index.php/2011/10/20/isklyucheniya-gruppovoj-politiki/

hunterpad
можно ещё в bat файле прописать: если имя компьютера (на котором запускается скрипт) не равно "сервер терминалов", то запускать оутлук.

Цитата:

можно ещё в bat файле прописать: если имя компьютера (на котором запускается скрипт) не равно "сервер терминалов", то запускать оутлук.

хочется все же правилами GPO это все сделать, так что сейчас пробую вот этим способом


Цитата:

Наоборот - запретить пользователям этой группы, чтение этой политики, через вкладку делегирование. http://winitpro.ru/index.php/2011/10/20/isklyucheniya-gruppovoj-politiki/

так действий больше, проще прописать исключение батнике.

Цитата:

так действий больше, проще прописать исключение батнике.

а если сервер не один

hunterpad
Так когда не один сервер, то "замыкаю политию на себя" и прописываю три политики для "юзера", "местного админа" и "доменного админа". Можно больше политик прописать в зависимости от умений и навыков "группы безопасности" к которой эта политика применена. Но обычно пользователи вообще бесправные и не заходят на сервер с политиками для рабочих станций.

Добавлено:
и даже когда один, так же делаю

Добавлено:
Политика доменного админа применяется последней и перекрывает все предыдущие. Сначала применяется для пользователя, потом - для местного админа сервера, и последней - политика привязанная к группе безопасности "доменного админа".

Все доброго дня.
Подскажите, пожалуйста, каким образом можно заблокировать создание GPO для участников группы "Администраторы домена" и прочих групп таких как "Владельцы-создатели групповой политики" можно заблокировать создание новой GPO?
Есть проблема в том, что при попытке создания новой GPO выдаётся сообщение "Нет доступа", при этом изменять существующие удается. В сети два контроллера на Windows Server 2008 R2 и на 2012. Права на чтение и запись в SYSVOL есть.

На терминальнике крутится jusched.exe - планировщиком Java обновлений, под всеми пользователями. Для всех он явно не нужен.
Вопрос: как правильно его заблокировать - через GPO(ЧТО БЛОКИРОВАТЬ) или через права на доступ к файлу?

Цитата:

На терминальнике крутится jusched.exe - планировщиком Java обновлений, под всеми пользователями. Для всех он явно не нужен.  
Вопрос: как правильно его заблокировать - через GPO(ЧТО БЛОКИРОВАТЬ) или через права на доступ к файлу?

2 варианта:
1. disable сервис "java update scheduler"
2. Выполнить на всех удаление этого сервиса: msiexec /x {4A03706F-666A-4037-7777-5F2748764D10} /quiet
надо будет выполнять после каждого обновления java

Подскажите плиз можно ли с помощью груповых политик запретить юзерам с правами пользователя на своих ПК использование Интернета. Имеется ввиду что б не могли пользоваться Инетом, устанавливать или запускать браузеры. И как? домен Win2008.

sony2001
Цитата:

Подскажите плиз можно ли с помощью груповых политик запретить юзерам с правами пользователя на своих ПК использование Интернета. Имеется ввиду что б не могли пользоваться Инетом, устанавливать или запускать браузеры. И как? домен Win2008.

если вкратце:
1. при грамотной настройке прав - юзеры ваще ничего не могут устанавливать..
2. раздача интырнетов тоже должна быть по принципу "только тем, кому явно разрешено"..
3. вариантов ограничения запуска программ много, к примеру - создание в ГП списка разрешённых..

а если "хочется в подробностях", шоб ответить на вопрос "и как" придётся расписывать на полстраницы.. =)

т.е. это у меня уникальная проблема? и нигде нету расписаного уже готово толкового решения? (((

Цитата:

т.е. это у меня уникальная проблема? и нигде нету расписаного уже готово толкового решения? (((

проблема не уникальна, а элементарна
Вы сначала напишите, как у Вас доступ в интернет организован? Как сейчас раздаются на него права? И в чем у Вас сейчас проблема?

Цитата:

Вы сначала напишите, как у Вас доступ в интернет организован? Как сейчас раздаются на него права? И в чем у Вас сейчас проблема?

Несколько офисов через выделенные каналы объеденены в общую сеть. Дипазон IP общий для всех 192.168.0.0-192.168.1.254 . На каждом офисе стоит роутер с настроеным DHCP, который раздает инет. Два контроллера домена , в двух наибольших офисах. Инет разадется соответственно всем, кто получил IP от DHCP. Задача - некоторым из ПК сделать запреты написанные выше.

sony2001 Если бы была статика, на роутерах можно было бы забанить IP или MAC-и. Ставьте прокси сервер и там рулите через авторизицию или переходите на статику. Прокси лучше, более гибкие правила, можно банить не всех и не всё и выпускать группы юзеров на определенные сайты, сможете обрабатывать статистику и смотреть кто куда ходил. В виндовом домене политикой можете накатить левый адрес прокси для эксплорера и запретить его изменение, но юзеры не лохи, притащат portable версии других браузеров, потому мой совет - поднять прокси сервер в вашей сети и выпускать в web через него.

Цитата:

Если бы была статика, на роутерах можно было бы забанить IP или MAC-и. Ставьте прокси сервер и там рулите через авторизицию или переходите на статику. Прокси лучше, более гибкие правила, можно банить не всех и не всё  и выпускать группы юзеров на определенные сайты, сможете обрабатывать статистику и смотреть кто куда ходил. В виндовом  домене политикой можете накатить левый адрес прокси для эксплорера и запретить его изменение, но юзеры не лохи, притащат portable версии других браузеров, потому  мой совет - поднять прокси сервер в вашей сети и выпускать в web  через него.

насчет прокси знаю, ставить не хочется потому как с разных офисов разные выходы в инет - соответственно нужны разные прокси, чтобы они не ходили в инет через выделенные каналы. Про статику тоже понятно - можно даже на DHCP прописать маки и ненужным макам не давать адрес DNS-сервера , но юзеры не лохи, могут начать ходить по IP или черз какой то шаровый прокси в инете. Хотелось бы ограничить теми инструментами что есть, без использования прокси, только политиками. Может вариант закрытия портов 80, 8080 в брандмауэре? как?

Непонятно, каким именно образом у вас одна подсеть размазана географически.
"Счастливые" компьютеры можно сгруппировать в OU и на нее провесить стартап скрипт назначающий несуществующий шлюз по умолчанию.

Ребят, помогите решить задачу:

Ставлю через gpo программу, которая работает через сеть с сервером (чат). Установка проходит без проблем по-тихому, но вот после установки вылазит брандмауэр и требует пароль админа для разрешения доступа в конкретной сети.

Как обойти это? Выключить брандмауэр через gpo не получается. Он все равно требует пароль

Брандмауэр, выключенный, да хоть и через гпо - не может ничего требовать.
Отсюда
Либо вы его не выключили. В интерфейсе видно - доменный профиль - выключено. И неактивно.
Либо повышения UAC запрашивает кто-либо другой.
Проверяйте.

Добавлено:
Я за первый вариант, а значит вы его не выключили.
Тогда - политика ветки машины применяется к машине. Не странно, не? Не странно ни разу.
Объект gpo должен быть прилинкован к OU машины, либо на домен.

Доброго времени суток!

Уважаемые форумчане. Нет мозгов моих на решение данной проблемы. Не могу я понять в чем загвоздка.

Имеем 2 кд (как повелось основной win2003( назовем 03), резервный 2008r2 (назовем 08)).

Имеем Работающую репликацию (проверяю созданием\удалением\редактированием пользователей, тестовых файлов и т.д.)

Имеет 2 политики Default Domain Controllers Policy и Default Domain Policy, которые при одинаковом ui, версии ad имееют разные параметры.

Dcdiag c 03

Domain Controller Diagnosis

Performing initial setup:
Done gathering initial info.

Doing initial required tests

Testing server: Default-First-Site\MEFISTO
Starting test: Connectivity
......................... MEFISTO passed test Connectivity

Doing primary tests

Testing server: Default-First-Site\MEFISTO
Starting test: Replications
......................... MEFISTO passed test Replications
Starting test: NCSecDesc
......................... MEFISTO passed test NCSecDesc
Starting test: NetLogons
......................... MEFISTO passed test NetLogons
Starting test: Advertising
......................... MEFISTO passed test Advertising
Starting test: KnowsOfRoleHolders
......................... MEFISTO passed test KnowsOfRoleHolders
Starting test: RidManager
......................... MEFISTO passed test RidManager
Starting test: MachineAccount
......................... MEFISTO passed test MachineAccount
Starting test: Services
......................... MEFISTO passed test Services
Starting test: ObjectsReplicated
......................... MEFISTO passed test ObjectsReplicated
Starting test: frssysvol
......................... MEFISTO passed test frssysvol
Starting test: frsevent
......................... MEFISTO passed test frsevent
Starting test: kccevent
......................... MEFISTO passed test kccevent
Starting test: systemlog
......................... MEFISTO passed test systemlog
Starting test: VerifyReferences
......................... MEFISTO passed test VerifyReferences

Running partition tests on : ForestDnsZones
Starting test: CrossRefValidation
......................... ForestDnsZones passed test CrossRefValidation

Starting test: CheckSDRefDom
......................... ForestDnsZones passed test CheckSDRefDom

Running partition tests on : DomainDnsZones
Starting test: CrossRefValidation
......................... DomainDnsZones passed test CrossRefValidation

Starting test: CheckSDRefDom
......................... DomainDnsZones passed test CheckSDRefDom

Running partition tests on : Schema
Starting test: CrossRefValidation
......................... Schema passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... Schema passed test CheckSDRefDom

Running partition tests on : Configuration
Starting test: CrossRefValidation
......................... Configuration passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... Configuration passed test CheckSDRefDom

Running partition tests on : Fusion-mng
Starting test: CrossRefValidation
......................... Fusion-mng passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... Fusion-mng passed test CheckSDRefDom

Running enterprise tests on : Fusion-mng.local
Starting test: Intersite
......................... Fusion-mng.local passed test Intersite
Starting test: FsmoCheck
......................... Fusion-mng.local passed test FsmoCheck

Dcdiag c 08

Диагностика сервера каталогов

Выполнение начальной настройки:
Выполняется попытка поиска основного сервера...
Основной сервер = Gefest
* Идентифицирован лес AD.
Сбор начальных данных завершен.

Выполнение обязательных начальных проверок

Сервер проверки: Default-First-Site\GEFEST
Запуск проверки: Connectivity
......................... GEFEST - пройдена проверка Connectivity

Выполнение основных проверок

Сервер проверки: Default-First-Site\GEFEST
Запуск проверки: Advertising
......................... GEFEST - пройдена проверка Advertising
Запуск проверки: FrsEvent
......................... GEFEST - пройдена проверка FrsEvent
Запуск проверки: DFSREvent
......................... GEFEST - пройдена проверка DFSREvent
Запуск проверки: SysVolCheck
......................... GEFEST - пройдена проверка SysVolCheck
Запуск проверки: KccEvent
......................... GEFEST - пройдена проверка KccEvent
Запуск проверки: KnowsOfRoleHolders
......................... GEFEST - пройдена проверка
KnowsOfRoleHolders
Запуск проверки: MachineAccount
......................... GEFEST - пройдена проверка MachineAccount
Запуск проверки: NCSecDesc
Ошибка - NT AUTHORITY\КОНТРОЛЛЕРЫ ДОМЕНА ПРЕДПРИЯТИЯ не имеет
Replicating Directory Changes In Filtered Set
прав доступа для контекста именования:
DC=ForestDnsZones,DC=Fusion-mng,DC=local
Ошибка - NT AUTHORITY\КОНТРОЛЛЕРЫ ДОМЕНА ПРЕДПРИЯТИЯ не имеет
Replicating Directory Changes In Filtered Set
прав доступа для контекста именования:
DC=DomainDnsZones,DC=Fusion-mng,DC=local
......................... GEFEST - не пройдена проверка NCSecDesc
Запуск проверки: NetLogons
......................... GEFEST - пройдена проверка NetLogons
Запуск проверки: ObjectsReplicated
......................... GEFEST - пройдена проверка ObjectsReplicated
Запуск проверки: Replications
......................... GEFEST - пройдена проверка Replications
Запуск проверки: RidManager
......................... GEFEST - пройдена проверка RidManager
Запуск проверки: Services
......................... GEFEST - пройдена проверка Services
Запуск проверки: SystemLog
Возникло предупреждение. Код события (EventID): 0x0000043D
Время создания: 03/17/2016 14:24:24
Строка события:
Windows не удалось применить параметры "Group Policy Shortcuts". Пар
аметры "Group Policy Shortcuts" могут иметь свой собственный файл журнала. Щелкн
ите ссылку "Дополнительные сведения".
Возникло предупреждение. Код события (EventID): 0x0000043D
Время создания: 03/17/2016 14:25:17
Строка события:
Windows не удалось применить параметры "Group Policy Shortcuts". Пар
аметры "Group Policy Shortcuts" могут иметь свой собственный файл журнала. Щелкн
ите ссылку "Дополнительные сведения".
Возникло предупреждение. Код события (EventID): 0x0000043D
Время создания: 03/17/2016 14:30:19
Строка события:
Windows не удалось применить параметры "Group Policy Shortcuts". Пар
аметры "Group Policy Shortcuts" могут иметь свой собственный файл журнала. Щелкн
ите ссылку "Дополнительные сведения".
Возникло предупреждение. Код события (EventID): 0x0000043D
Время создания: 03/17/2016 14:35:20
Строка события:
Windows не удалось применить параметры "Group Policy Shortcuts". Пар
аметры "Group Policy Shortcuts" могут иметь свой собственный файл журнала. Щелкн
ите ссылку "Дополнительные сведения".
Возникло предупреждение. Код события (EventID): 0x0000043D
Время создания: 03/17/2016 14:40:21
Строка события:
Windows не удалось применить параметры "Group Policy Shortcuts". Пар
аметры "Group Policy Shortcuts" могут иметь свой собственный файл журнала. Щелкн
ите ссылку "Дополнительные сведения".
Возникло предупреждение. Код события (EventID): 0x0000043D
Время создания: 03/17/2016 14:45:22
Строка события:
Windows не удалось применить параметры "Group Policy Shortcuts". Пар
аметры "Group Policy Shortcuts" могут иметь свой собственный файл журнала. Щелкн
ите ссылку "Дополнительные сведения".
Возникло предупреждение. Код события (EventID): 0x0000043D
Время создания: 03/17/2016 14:50:24
Строка события:
Windows не удалось применить параметры "Group Policy Shortcuts". Пар
аметры "Group Policy Shortcuts" могут иметь свой собственный файл журнала. Щелкн
ите ссылку "Дополнительные сведения".
Возникло предупреждение. Код события (EventID): 0x0000043D
Время создания: 03/17/2016 14:55:25
Строка события:
Windows не удалось применить параметры "Group Policy Shortcuts". Пар
аметры "Group Policy Shortcuts" могут иметь свой собственный файл журнала. Щелкн
ите ссылку "Дополнительные сведения".
Возникло предупреждение. Код события (EventID): 0x0000043D
Время создания: 03/17/2016 15:00:26
Строка события:
Windows не удалось применить параметры "Group Policy Shortcuts". Пар
аметры "Group Policy Shortcuts" могут иметь свой собственный файл журнала. Щелкн
ите ссылку "Дополнительные сведения".
Возникло предупреждение. Код события (EventID): 0x0000043D
Время создания: 03/17/2016 15:05:27
Строка события:
Windows не удалось применить параметры "Group Policy Shortcuts". Пар
аметры "Group Policy Shortcuts" могут иметь свой собственный файл журнала. Щелкн
ите ссылку "Дополнительные сведения".
Возникло предупреждение. Код события (EventID): 0x0000043D
Время создания: 03/17/2016 15:10:29
Строка события:
Windows не удалось применить параметры "Group Policy Shortcuts". Пар
аметры "Group Policy Shortcuts" могут иметь свой собственный файл журнала. Щелкн
ите ссылку "Дополнительные сведения".
Возникло предупреждение. Код события (EventID): 0x0000043D
Время создания: 03/17/2016 15:15:30
Строка события:
Windows не удалось применить параметры "Group Policy Shortcuts". Пар
аметры "Group Policy Shortcuts" могут иметь свой собственный файл журнала. Щелкн
ите ссылку "Дополнительные сведения".
Возникло предупреждение. Код события (EventID): 0x0000043D
Время создания: 03/17/2016 15:17:05
Строка события:
Windows не удалось применить параметры "Group Policy Shortcuts". Пар
аметры "Group Policy Shortcuts" могут иметь свой собственный файл журнала. Щелкн
ите ссылку "Дополнительные сведения".
Возникло предупреждение. Код события (EventID): 0x0000043D
Время создания: 03/17/2016 15:22:06
Строка события:
Windows не удалось применить параметры "Group Policy Shortcuts". Пар
аметры "Group Policy Shortcuts" могут иметь свой собственный файл журнала. Щелкн
ите ссылку "Дополнительные сведения".
......................... GEFEST - пройдена проверка SystemLog
Запуск проверки: VerifyReferences
......................... GEFEST - пройдена проверка VerifyReferences


Выполнение проверок разделов на: ForestDnsZones
Запуск проверки: CheckSDRefDom
......................... ForestDnsZones - пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
......................... ForestDnsZones - пройдена проверка
CrossRefValidation

Выполнение проверок разделов на: DomainDnsZones
Запуск проверки: CheckSDRefDom
......................... DomainDnsZones - пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
......................... DomainDnsZones - пройдена проверка
CrossRefValidation

Выполнение проверок разделов на: Schema
Запуск проверки: CheckSDRefDom
......................... Schema - пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
......................... Schema - пройдена проверка
CrossRefValidation

Выполнение проверок разделов на: Configuration
Запуск проверки: CheckSDRefDom
......................... Configuration - пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
......................... Configuration - пройдена проверка
CrossRefValidation

Выполнение проверок разделов на: Fusion-mng
Запуск проверки: CheckSDRefDom
......................... Fusion-mng - пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
......................... Fusion-mng - пройдена проверка
CrossRefValidation

Выполнение проверок предприятия на: Fusion-mng.local
Запуск проверки: LocatorCheck
......................... Fusion-mng.local - пройдена проверка
LocatorCheck
Запуск проверки: Intersite
......................... Fusion-mng.local - пройдена проверка
Intersite

Добавлю.

Методом проб и тестов было выяснено что реплика полностью рабочая, но в политиках domain policy и domain controller policy пусто.

В других политиках, которые создавались отдельно настройки остались прежними.

Если в любую и дефалтных полиик добавить правило, то оно реплицируется на оба кд.

Но при попытке gpupdate на машине клиента вижу следущее:

C:\Users\*******>gpupdate
Обновление политики...

Обновление политики пользователя завершено успешно.
Не удалось успешно обновить политику компьютера. Обнаружены следующие ошибки:

Ошибка при обработке групповой политики. Попытка чтения файла "\\fusion-mng.loca
l\sysvol\fusion-mng.local\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.in
i" с контроллера домена была неудачной. Параметры групповой политики не могут бы
ть применены, пока не будет исправлена эта ситуация. Это может быть временным яв
лением, его возможные причины:
a) Ошибка разрешения имен или проблемы сетевого подключения к текущему контролле
ру домена.
b) Запаздывание репликации Active Directory (созданный на другом контроллере дом
ена файл еще не реплицирован на текущий контроллер домена).
c) Отключен клиент распределенной файловой системы (DFS).

Чтобы диагностировать сбой, просмотрите журнал событий или запустите GPRESULT /H
GPReport.html из командной строки для просмотра сведений о результатах группово
й политики.

Добрый день.
Есть ферма серверов на которой крутится 1с.
Есть ряд пользователей которые имеют плохое зрение и им нужно увеличенное изображение (125%) всех элементов.
Руками это все можно сделать.
Но, хочется автоматизировать средствами GPO.
На сколько я понял, то это надо делать через добавления в реестр?
Спасибо.

Коллеги всем привет, выручайте.
Какие то чудеса происходят при вводе компа в домен.
В общем при вводе компа (win7_x32_pro) в домен (Win 2003) подумав выдает следующую ошибку -
Не удалось изменить DNS-имя основного контроллера домена на "" для этого компьютера. Будет использоваться прежнее имя "domain.local ". Ошибка:
Указанный сервер не может выполнить требуемую операцию.

Нажимаю ОК. Пишет добро пожаловать в домен. Перезагрузитесь.
Перезагружаюсь, машина без всяких проблем просит доменную учетку, все нормально заходит, сеть видит, домен видит, вобщем с виду все ОК. Только есть одно НО! Не применяются 2 политики с домена, точнее по результатам команды gpresult /r этих политик как будто бы и не существует. Команда показывает что часть политик применяется, часть не применяется.
Сразу скажу что домен существует давно, разные машины и XP и семерки, проблем никогда не было. На других машинах все отрабатывает как часы.
Пробовал: выводить/вводить в домен, удалять учетку в домене, пробовал зайти под другими учетками.

На что грешу, но не знаю куда копать..
1. На указанную ошибку при вводе в домен.
2. На то, что это была экспериментальная винда, в плане того, что развернул ранее созданный образ свежеустановленной машины в другом месте. Провел процедуру sysprep для очистки от всех признаков привязки к старому железу. Ранее данная установка в данном домене не разворачивалась. Все настроил как мне нужно, активировал и ввел в домен. Винда лицензия.

В общем уже не знаю куда копать, может кто сталкивался....