» Групповые политики (Group Policy, GPO): документация, ссылки

А как УДАЛИТЬ прогу через ГП? установить я установил, а окозалось что пакет msi не устанавливает нужные модули, нужно установить локально, а хочется сначала через ГП удалить

Добавлено:
спс, разобрался,
необходимо просто удалить паке из ГП, с пометкой удалить со всех компов

Вопрос для профессионалов!
Не помню какой ключ поменяли в AD (Win2003), после чего на машинках в домене под управлением ХР при загрузке в безопасном режиме от имени локального администратора и попытки, например, использовать Восстановление системы, винда выдает предупреждение о том, что Администратор не является администратором (или что-то в этом роде)! Охренеть.... Менялись в АД некоторые параметры касательно кэширования паролей и метов аутентификации типа NTLM и т.д..... Какой-то из этих параметров повлиял .

Такой вопрос:
Привязал политику к контейнеру, в котором находится тестовая машинка.
В политике прописал установку msi пакета, но он устанавливаться не хочет =\ в логах пишет The system cannot find the file specified.
Папку расшарил, права дал...
В чем проблема может быть?

Подскажите что надо сделать.
в AD cоздал группу - WSUS Computers, поместил в нее нужные компы.
Потом создал OU - WSUS, переместил в нее эту группу ..
В свойствах OU, на закладке Групповая политика создал новую политику, настроил в Computer Configuration -> Administrative Templates - Windows Update опции, настраивающие подключение к WSUS и прочие параметры.
Но на компьютеры, состоящие в группе WSUS Computers эта политика не применяется.
Перезагружал, делал gpupdate /force, проверял в оснастке "Результирующая политика".
Нету.

Удалил всё - группу, OU и политику.
По совету знакомого установил Group Policy Management Console with Service Pack 1.
http://www.microsoft.com/downloads/details.aspx?FamilyID=0A6D4C24-8CBD-4B35-9272-DD3CBFC81887&displaylang=en

При этом в AD консоли, в свойствах OU пропала закладка Групповая политика.
Снова в AD создал группу WSUS Computers? добавил в нее нужные компы.
В Group Policy Manament создал OU - WSUS и в ней новую политику WSUS Clients Group Plicy.
В политике, на закладке Delegation, тоже добавил группу WSUS Computers и поставbл галку "Применение групповой политики"
Но по прежнему - на компьютеры, состоящие в группе WSUS Computers эта политика не применяется.

Где я торможу ?

GaDiNa

Цитата:

в AD cоздал группу - WSUS Computers, поместил в нее нужные компы.
Потом создал OU - WSUS, переместил в нее эту группу ..

Политики не применяются к группам. Группами можно только фильтровать применение GPO.
Либо в OU должны быть нужные КОМПЬЮТЕРЫ, либо GPO линкуется к домену и фильтруется применение для группы.

G14

Цитата:

Либо в OU должны быть нужные КОМПЬЮТЕРЫ

Я же их могу только ПЕРЕМЕСТИТЬ из контейнера Computers. Как то некрасиво, даи возможно не правильно.
я писал

Цитата:

на закладке Delegation, тоже добавил группу WSUS Computers и поставил галку "Применение групповой политики"

я также добавлял отдельный компьютер. К нему тоже не применялась политика..

Вобщем у меня задача распространить настройки, чтобы компы обновлялись из WSUS..
Вот я и подумал чтоможно с помощью отдельной GP их распространить..


Цитата:

либо GPO линкуется к домену

а это как ?
может так и надо делать в моем случае..

Цитата:

Я же их могу только ПЕРЕМЕСТИТЬ из контейнера Computers. Как то некрасиво, даи возможно не правильно.
я писал

Почему не можешь? В чем некрасивость-то выражается?
Создаешь контейнер WSUS, кидаешь туда компы, приязываешь с этому контейнеру политику и все...

Infected Switch


Цитата:

Создаешь контейнер WSUS

чем это отличается от создания OU ? ничем.
я ж и говорю - комппы можно только ПЕРЕМЕСТИТЬ, то есть НЕ СКОПИРОВАТЬ.
Вотименно это и не нравится

GaDiNa
чем не нравится-то?

Infected Switch
ну смотри - А если мне надо на некоторые компы из нового контейнера WSUS (как ты рекомендуешь) применить еще какието политики (но не навсе, которые в WSUS) - мне получается надо будет их перенести из WSUS в новый контейнер на который применяются мои новые политики. А это значит, что на них перестанут применятся политики WSUS. Так ?

GaDiNa
Тогда вникай в то, что тебе написал G14

ПЕРЕМЕСТИЛ один комп из контейнера Computers в OU WSUS (кстати, попутно выяснил, что контейнер и OU - разные вещи походу, по крайней мере создать новый контейнер нельзя - в меню такого нет выбора) - сразу в Результирующей политике для этого компа отобразились настройки Windows Update..
а вот если в OU WSUS помещать группу, в которой есть компы - политики не применяются..
ну да это уже обьяснил G14.

Ну как же мне тогда быть ? Ведь просто ПЕРЕМЕСТИТЬ все компы из Computers не хочется - по указаной выше причине.

Более популярно:
Оставляешь твои комы в Computers, цепляешь на него политику WSUS, где во вкладке Delegation указываешь группу (твоя WSUS Computers) на которую эта политика должна действовать.

Infected Switch

Цитата:

Оставляешь твои комы в Computers, цепляешь на него политику WSUS,

Политики линковать к КОНТЕЙНЕРУ нельзя. Нужно прилинковать к объекту домена и настроить фильтрацию по членству в группах безопасности. Надоело описывать одно и то же. Читаем статью про основы работы с политиками. Ссылка в самом верху шапки.

Люди !
Такая задачка. Чтобы два раза не бегать, нужно с одного сервера экспортировать политики и импортнуть их на совершенно другой сервак с другим именем и в другом месте. Подскажите плииииииз как это можно организовать-то ???

Убрал ссылку на "Локальный диск С:" из моего компа, особо ушлые юзеры научились создавать ярлык и без проблем смотреть содержимое.

Посмотрел пермишены на С:

Administrators - Full - This folder, subfolders and files
System - Full - This folder, subfolders and files
Creator owner - Full - Subfolders and files
Users - Read&Execute Create Folders - This folder, subfolders and files
Everyone - This folder only

Теоретически все может решить запрет (отстутствие разрешения) на List Folder для This folder only. Но вот задача, какую учетку для этого приспособить? Если сделать запрет для Domain Users (а через Group Policy я могу назначать только доменные объекты) - то автоматом получим запрет и для Domain Admins, т.к. они членствуют в Domain Users.

Другой вариант - создать отдельную группу "Deny List HDD", для нее поставить запрет на листинг и уже в нее добавлять нужные группы юзеров. Кстати, как создать группу, членами которой могут быть другие группы?

Может есть вариант красивее?

И вторая "дырка" - cmd.exe - если запретить юзеру его запуск через:
Administrative Templates\System\Setting\Don't run specified Windows applications

какие проблемы можно получить?

gap5

Цитата:

какие проблемы можно получить?

НИкаких.


Цитата:

Может есть вариант красивее?

Конечно. Вместо того, чтобы СКРЫВАТЬ диск С: просто запретить к нему доступ (далается в том же месте, что и скрытие). Но при этом надо убедиться, что нет альтернативных файловых менеджеров.

FreemanRU
Так в этом случае юзеру будет заказан любой доступ к диску, в том числе "мои документы", "рабочий стол"...

gap5

Цитата:

Так в этом случае юзеру будет заказан любой доступ к диску

Это кто тебе такую глупость сказал?
Более того, можно будет запустить лбую программу (при наличии разрешения) с диска С, указав её полный путь

FreemanRU
Винда и сказала когда тестил эту политику...
Содержимое папок (в том числе мои документы) просматривается-то через Explorer.

Я же не заставлю юзеров на память знать имена всех документов...

gap5
Хм. Действительно, у меня просто все профили на диске D:
Может перенести профиль будет проще?

FreemanRU
Это уже гораздо сложнее и совсем не красиво...

Никак не пойму, почему винда не дает сделать одну группу членом другой...

Можно политикой темпы ИЕ перенаправить из профиля юзера?

Не копируются, не перетаскиваются файлы на рабочий стол.
Удаётся только создать новый файл или папку на рабочем столе, но в папку нельзя зайти. Ошибка: "Операция отменена вследствие действующих для компьютера ограничений"
Подскажите, какая политика может влиять на данную проблемму?

Нашёл политику - запретить доступ к дискам через "Мой компьютер"

Ситуация следующяя:
каким образом (через ГП или реестр) можно запретить создание файловых шар на локальных компах (или же сносить все файловые шары которые есть на компе при включении)? (естественно и комп и юзер за ним сидящий находятся в домене) проблема усугбляется тем, что на тачках стоит специфичный софт и юзерам нужен для работы локальный админ.
нашол как отрубить административные шары C$,D$ но к сожалению это не то.
отрубить шаринг совсем нельзя, потому как еще есть и расшаренные принтеры на этих тачках и их применяют.
на текущий момент единственное что пришло в голову - это писать скрипт, что бы он смотрел в HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\lanmanserver\Shares и сносил все с Type=0.

можно канечно скрыть все компы из сетевого окружения, что бы особые талланты их просто не видели, но проблему это не решит.

про адмнистративные меры лудше не вспоминать, бо что выговор, что лишение премий особо не влияет на таллантов - практически каждый новый юзер чонить расшаривает а в этих шарах порой инфа появляется которая не особо нуждается в распространении, не говоря уже про то что диски С расшаривают со всеми правами для всех.

На работе злые админы! Запретили записывать что-либо на флешку!
Стоит Windows XP Embedded (или как-то так)
То есть влешку видит, но изменять данные на ней не может. Скопировать с флешки информацию можно, а обратно - нельзя. Выдаёт ошибку, что диск защищён от записи. Снимите защиту и попробуйте снова или замените диск.
Сразу оговорюсь - на флешке нет никакой защиты от записи. Вопрос: можно ли как-нибудь записать информацию на флешку?
Спасибо. (с)
Что можно сделать? Какая дополнительная информация ещё нужна?

karpa13a

Цитата:

на тачках стоит специфичный софт и юзерам нужен для работы локальный админ.

Есть несколько утилит, который генерят тебе особый ярлык для запуска с правами админа люой софтины, которую ты сам пожелаешь настроить. Тогда юзер без прав админа запутит этот софт, проверено. Тогда можно и не давать админ.права.

Попробуй например неплохую программу наших разработчиков, бесплатную ADMINLINK называется кажется. Не найдешь, стучи... порыщу у себя

Вообщем самый ламерский вопрос, Стоит Сервак 2003 к нему в домен ХР,
нужно просто ограничить пользователя с доступом к Control Panel
делаю вроде все как в
http://ru-board.com/new/article.php?sid=174

На сервере создаю ОП , создаю Групповую политику с огрнаничением на доступ к Control Panel, загоняю туда пользователя например Virtual, вот

когда на компе ХР вхожу в систему под пользователем Virtual то нет некаких ограничений

подскажите в чем ошибка? или что то недоустановил? или ссылку может какую подкинте



P.s
первый раз настраиваю домен, тестирую на виртуалке

m2a
хорошо. с софтом я попробую разобратся.
а как на счет того что бы снести файловые шары которые уже есть на компе?
сетка большая, как они дожили ваабще с таким хозяйством до текущих времен с таким бордаком - ваабще не понятно. соответственно ходить и на каждой тачке сносить шары - совершенно нет желания никакова.