» КАК применить политику именно к нужной группе? (GPO)

Цитата:

По умолчанию политика стоит "не установлено", и поэтому параметры не меняются. Тебе надо явно задать в политике по умолчанию параметры для IE

Ну я и задал определенный апишник, порт ... но право этому ГПО только у группы ИНЕТЮЗЕРЗ.
Получается нужно создать нижестоящий ГПО в котором нужно указать не устанавливать настройки или я не прав?

Serggg
предоложим что
Цитата:

Ну я и задал определенный апишник, порт ... но право этому ГПО только у группы ИНЕТЮЗЕРЗ.

параметры которые ты задал будут цифрой 1.
и что параметры
Цитата:

"не установлено",

- будут цифрой 0. т.е. те которые будут применятся при выводе из группы. отсюда следует:
т.е. 0+1 = 1
ты просто напросто к политике которая уже применилась, прибавляешь пустую политику, которая естественно от уже применивщейся ничего не отнимает и ничего к ней не прибавляет. чтобы что то изменилось, ты должен её перекрыть, например указать другой порт или другой прокси и т.д. и т.п.

немного сумбурно, но думаю понятно.

Понятно, спасибо!
Все же нужно что бы была еще одна политика которая перекрывала. (Я думал хватит одной)

1 ИНЕТЮЗЕРЗ (с настройками прокси) - это только для инетюзерз
2 ВСЕЮЗЕРЗ (с пустыми настройками (или липовыми)) - это применяется всем

Просто думал, что политика каждый раз применяется по новому, а оно получается при применении со второго раза только обновляет данные.

Я только начинаю настраивать AD подскажите шаги , а то запутался
я поднял домен, DNS сервер на нём же создал OU под названием admin
создал там пользователя создал групповые политики и настроил убрать корзину с рабочего стола в групповых политиках (для проверки групповых политик)
как положено вышел из системы и по новой присоединился к домену
но групповые политики не сработали
Что сделал не так и что нужно ещё сделать?
не бейте сильно за такой вопрос ))))

РЕШЕНО
Есть политика, привязаная к группе пользователей. В ней указано перенаправление папок (моидок, рабстол). Перенаправление работает, но...
Вопрос: как сделать, чтобы члены других групп, работающие с этой машины, не пытались синхронизировать профиль? Сделать они этого не могут, так как доступа к папке профилей у них нет, но активно хотят пытаться при завершении сеанса.

Детали: ОС сервер 2008, перенаправление простое (все в корень), клиентская машина на ХР СП3. ГПО связана только с целевой группой пользователей. Что еще не сказал?

Мат.часть в процессе изучения и еще поле не пахано, пшено не перебрано.
Советы на статьи к ознакомлению принимаю с радостью, ибо знать где копать - половина дела.
----------------------------------------------------------------------------------------------------------------------------------------------

Копать надо было в настройках автономных файлов, сделаных не мной.

Добрый день! Настраиваю сетку с такой конфой: 2 х DC (WinServer2003 R2 Standart), клиенты - WinXp.

Вообщем такая трабла, создал OU (Test), в ней настроил для пользователя: выполнение скрипта при входе, запрет на смену рисунка рабочего, скрыл настройки скрин сервера, задал подключение принтеров.

Из всего этого, выполнились только выполнение скриптов и скрытие настроек принт сервера. Принтеры так и не подключились и рисунок рабочего стола могу менять хоть до потери пульса, но только на клиенте, если же захожу терминально на сервак, то там смена рисунка раб стола закрыта.

Гуру, подскажите где копать?

День добрый вижу тема (применить политику на группу) тема уходит в другое русло..

хочу возобновить и задать такой вопрос.

Выполенине уcловий применение политики на группу
1) саму группу создАЛ как глобальную (область действия группы) и безопасность(тип группы) ...правильно ли действие*?
2) политику применил на тестовый контейнер(OU) закинул в контейнер созданную группу 777..на вкладке члены групп (member of) добавил компьютер.
3) На групповой политике правой кнопокой свойства = там 4 вкладки...нужен параметр Безопасность.
-В безопасности Грохнул прошедшие проверку. + добваил свою группу 777.
- 3.1) -Добавил свою группу 777 (в кот. указан мой камп)
4) Выставляю чтение(READ) & прим. политики (APLY policy)

тоесть тем самым указываю привязку политику к группе.

5) В политике указал параметры которые затрагивают только параметры компьютера {см пункт 3.1}


Результирующая на клиенте ----- [more=Gpresult]
Конфигурация компьютера
------------------------
CN=kr-kr-ch01-w001,OU=Computers,OU=WORK,OU=home,DC=home,DC=ua
Последнее применение групповой политики: 16.09.2010 at 23:43:53
Групповая политика была применена с: SERVER-01.home.ua
Порог медленной связи групповой политики: 500 kbps

Примененные объекты групповой политики
---------------------------------------
Default Domain Policy

Следующие политики GPO не были приняты, поскольку они отфильтрованы
--------------------------------------------------------------------
Политика локальной группы
Фильтрация: Не применяется (пусто)

Компьютер является членом следующих групп безопасности:
-------------------------------------------------------
Администраторы
Все
Пользователи
СЕТЬ
Прошедшие проверку
KR-KR-CH01-W001$
Компьютеры домена
777-------------это моя группа


Конфигурация пользователя
--------------------------
CN=user test \=),OU=Users,OU=WORK,OU=home,DC=home,DC=ua
Последнее применение групповой политики: 16.09.2010 at 23:44:20
Групповая политика была применена с: SERVER-01.home.ua
Порог медленной связи групповой политики: 500 kbps

Примененные объекты групповой политики
---------------------------------------
Default Domain Policy

Следующие политики GPO не были приняты, поскольку они отфильтрованы
--------------------------------------------------------------------
Политика локальной группы
Фильтрация: Не применяется (пусто)

Пользователь является членом следующих групп безопасности:
----------------------------------------------------------
Пользователи домена
Все
Администраторы
Пользователи
ИНТЕРАКТИВНЫЕ
Прошедшие проверку
ЛОКАЛЬНЫЕ[/more]

вопрос такой .. верны ли мои дейтствия*? в каком пункте ошибся*?
строка "" Следующие политики GPO не были приняты, поскольку они отфильтрованы "" вижу что прокол- но не пойму как дальше разобраться.Фильтр типа срабатывает)) Ну дальше*?

Всё разобрался могу ответ скинуть сюда же на форум...
Вопрос применение политики на группу(..чётко написано.)

читайте Ответ

http://ru.n-admin.com/n27-3936.html -- Group Policy Security Filtering
выставить права Read и Apply Group Policy на созданной группе
Выставить Authenticated Users всё ещё могут читать настройки GPO, но они не будут их выполнять.
и есть видеоурок на techdays.in.ua -- http://www.techdays.in.ua/videos/2843.html где показывают с пом консоли GPMC

кстати группа должна быть Global(область действия группы) & Security (тип группы)
.

У меня на терминале настроен выкидыш по бездействию пользователя.
есть пользователь который является локальным админом на терминале, и только на терминале. В домене он пользователь.
К OU в котором терминал применяется 3 политики для
1. ПК (только машинная часть и включена заглушка)
2. АДминская (доменные как я понял ибо о локальных доменное GPO не знает?)
3. ПОльзовательская
очередность применения соотв.

есть пользователь который входит в ЛОкальные админы терминала, НО!!! к нему всё равно применяются политики пользователей.
Как сделать чтобы применялись политики админов ?

я внес пользователя в список
закладка Delegation (gpmc.msc) политики ПОльзователей.
Дал юзеру права DENY для apply policy
Поскольку права запрета приоритетны, то всё должно сработать даже несмотря на наличие ПрошедшихПроверку в списке.
Убрать ПРошедших проверку проблемно потому что она включает остальных к кому надо применить политику.
Но увы.... политика срабатывает... ПРошу помочь!!!

XAN


Цитата:

К OU в котором терминал применяется 3 политики для
1. ПК (только машинная часть и включена заглушка)
2. АДминская (доменные как я понял ибо о локальных доменное GPO не знает?)
3. ПОльзовательская
очередность применения соотв.

Надеюсь вы понимаете что в OU где находятся ПК, политика пользователей не применяется.

1. заглушка это блокировать наследование политики?
2. не совсем понятно в связи со сказанным мной в самом начале.
3. аналогично пункту 2.

Применение доменной политики происходит с низу в верх (это разъяснение на всякий случай).

Исходя из вышесказанного, вопрос: вы применяете WMI фильтры в GPO?

Спасибо за ответ, уточняю...

1. никаких фильтров не применяется.
Заглушка (Loop петля) это не блокировка... а свойство политики КОмпа (User Group Policy Loopback processing mode), позволяющее применять политику НЕ только того подразделения куда входит пользователь, а польтику пользователей того подразделения куда входит ПК.
У нас терминал ... и нас не волнует, что там в подразделении пользователя. Главное что на терминале у пользователя свои условия и для этого есть User Group Policy Loopback processing mode
ВОт она и включена в политике ПК терминала. Режим слияние с политикой подразделения...

2. Порядок политик переписан со столбца Link Order консоли gpmc, а низ или верх не знаю... кто как отображает.

3. то есть применяется политика терминала к самому терминалу (только машинная часть)
дальше применяютя политики пользователей (машинная часть политики выкл)
ПОлитика АДминов
настройки Scope - админам Администраторы (доменные и другие) + тот пользователь которому надо иметь привелегии.

Далее ПОлитика юзеров
Область действия - ПРошедшие проверку...

вот сюда попадает мой привелегированный, но чтобы он НЕ выполнял эту политику на закладке Delegation есть кнопка Advanced и если нажать её там список прав и внизу есть право ПРименять политику, вот переставляется для этого пользователя галка в положение Deny и несмотря на то что он входит в группу ПРошедших проверку политика для него НЕ применяется.
Всё что я написал не моя выдумка, а материал с курса MS который я проходил и меня очень удивляет, что решение не возымело действие.

Всё заработало, только непонятно почему на это потребовалась целая ночь когда настройки политики принимаются при перезагрузке.
ПОтомки могут использовать способ для исключения кого либо из политики

Цитата:

Выполенине уcловий применение политики на группу
1) саму группу создАЛ как глобальную (область действия группы) и безопасность(тип группы) ...правильно ли действие*?
2) политику применил на тестовый контейнер(OU) закинул в контейнер созданную группу 777..на вкладке члены групп (member of) добавил компьютер.

вот с этого момента мне стало интересно. Поместив пользователей или компьютер в ОП посредством помещения их в группу и размещения группы в контейнере политику к ним не применишь.

Господа, в АД есть пару десятков подразделений. Почта подвязана к АД, т.е. когда создается пользователь жмется 1 галочка и вуаля, у него есть почта! Мне необходимо создать общую почту для каждого подразделения, т.е. рассылку. Делаю следующим образом:
1. создаю группу, задаю ей эл. адрес
2. добавляю юзеров из подразделения в эту группу
Все. Таким образом, если написать письмо на эл.почту рассылки, то оно автоматически уйдет по всем юзерам, которые в ней(группе) находятся.

Вопрос следующий:
Как сделать что бы когда заводишь в АД нового юзера, он автоматически становился не только пользователем домена, но и членом данной группы?
Серв - Win2008R2
Почта - Kerio
Есть мысли что это возможно сделать через ГП.

Доброе время суток.
Такой вопрос, попорядку.
1. Я не администратор домена, но
2. Нужно отобрать определённые группы, в которые входят рабочие станции. (с этим справился через Active directory users and computers в mmc и PowerShell добился нужного результата)
3. Теперь нужно просмотреть какие политики распространяются на каждую конкретную группу. (вот с этим и трабла) подскажите пожалуйста рассмотрю любые идеи.

День добрый !
из фильтра политики удалил случайно группу authenticated users... она необходима. кто нибудь знает как её вернуть?)
заранее благодарен!

А Добавить штатным образом не получается что ли?