» Обсуждение статьи "Групповые политики Active Directory"

strizhakovs

Цитата:

Я написал политику к определенному огранизейшен юниту и хочу чтобы она сразу применилась ко всем юзерам в ней, а не ждать пока он будет делать логоф и логон. Как это можно сделать?

Выполнить на компьютере пользователя команду

Код:
gpupdate /FORCE

Унаследовал сетку в организации.
Среди прочего обнаружил, что системный Toolbars (QuickLaunch, LanguageBar и т.д.) закрыт от управление (нет возможности вкл/выкл). Закрыт для всех, в том числе и для DomainAdministrators.
Как я понимаю, это действие GP, но я не могу найти там опцию, управляющей доступом к ToolBars. Пытался применить инструмент GroupPoliceRezult, безрезультатно.
Скорее всего, выключение доступа Toolbars - это побочный эффект другого какого-то правила.
Какого? кто знает?

Люди помогиТе... надо на 200 компов развернуть клиент Исы через GP ! Домен на 2003м сервере!
Есть *.MCI файлик с установкой данного клиента.
Теперь вопрос.
СОздаю политику на контейнер => в конфигурации пользователей => конфиг. программ => установка программ ... Там создаю пакет и шлю его на MCI файлик путь(\\СЕРВЕР_НЕЙМ\SYSVOL\DC_NAME.local\scripts\isa2006client).

после делаю на компе gpupdate /forse .. ребутаю комп, делаю gpresult
там пишет что политика политика не была принята , поскольку она отфильтрованна.
как это понимать ?
при создании оплитики указал чтоб она не перекрывалась ... вроде всё по уму...

Подскажите где капать ? !

gizzzmo
очень странно...
1. у меня аська (если стоит клиент фаервольный) коннектится через ISA не как анонимус, а от имени того пользователя, который её запустил... тебе, наверное, просто надо на ISA выставить галку про "обязательную авторизацию всех пользователей"
2. IP надо блокировать не для всех, а только для тех, кому не положено лезть в аську. это действительно проблема фаервола.
хотя... через ГП можно настроить запуск программ только из определённых каталогов для различных групп... в "политиках ограниченного использования программ".. далее создаёшь 2 OU и для каждого OU выставляешь свою ГП. соответственно, в один OU кладёшь пользователей, которым можно аську, а в другой которым нельзя. и делаешь 2 разных политики ограниченного использования... одну политику через GPMC линкуешь к одному OU, а вторую ко второму.
таким же образом ты избавишься от несанкционированного запуска иных программ... т.е., например ты хочешь, что бы пользователи могли исполнять exeшники только из program files (т.е. те, которые установил ты), а те, которые они сами себе скопировали, например, на диск D, не могли бы.

Добавлено:
Winter81
как бы это делал я...
на файл-сервере в расшареный каталог с дистрибутивами кучи программ создаётся каталог, в который копируется msi файл и все сопутствующие файлы (кстати, если не ошибаюсь, на компьютере где установлена ISA, этот каталог отдаётся в общий доступ автоматически).
затем при помощи ORKa (Office Resource Kit, Custom Installation Wizard) я делаю файл трансформаций (просто чтоб никаких дурацких вопросов не задавал при инсталляции) и кладу его в тот же каталог, в котором находится msi.
потом создаю новую ГП в которой будут прописаны те программы, которые я хочу принудительно ставить (если её нет, если есть, то далее работаю с ней) на все компьютеры в домене и в ней публикую Конфигурация компьютера - Конфигурация программ - Установка программ - Создать - Пакет (потом указываю путь к msi файлу), выбираю режим Особый, на вкладке "развертывание" ставлю галку "удалять приложение, если его использование выходит за рамки допустимые политикой управления", на вкладке модификации подсовываю MST файл трансформации.
затем эту ГП я линкую, например, ко всему домену, а в пункте "security filtering" оснастки gpmc говорю, что эту политику надо применять ко всем доменным компьютерам (ну или можно сделать специальную группу, в которую запихать те компьютеры, на которых ПО должно устанавливаться принудительно).
вот собственно и всё... после обновления групповой политики и перезагрузки приложение автоматически установится на те компы, которые я указал
вот в принципе и всё... я конечно, понимаю, что просто пересказываю соответствующий раздел книги, но тем не менее...

taelas

спасибо за информативный ответ, сделал , всё работает !

Товарисчи помогите! Есть контроллер на 30 машин, на нем стоит WSUS, когда в груповыхз политиках прописаю настройки всуса они не применяются, хотя все остально работает отлично!

Цитата:

затем при помощи ORKa (Office Resource Kit, Custom Installation Wizard) я делаю файл трансформаций (просто чтоб никаких дурацких вопросов не задавал при инсталляции) и кладу его в тот же каталог, в котором находится msi.
потом создаю новую ГП в которой будут прописаны те

опиши подробнее свои действия..

Ilyha58343
проверь RSOPом, ошибки в логах...

sLap
с сайта microsoft загружаю ORK (для 2003 офиса), потом запускаю Custom Installation Wizard. он просит у меня имя MSI файла для трансформации (указываю сразу на шару с файлом), потом спрашивает куда сохранить трансформер (можно класть куда угодно, я потом выкладываю на ту же шару), ну потом Next-Next-Next, на разных этапах меняю то, что мне надо: например какие компоненты должны сразу устанавливаться, какие при первом запуске; что ещё сделать с реестром (например для java делаю reg файл с отключенным автообновлением); какие файлы куда положить (дополнительные iniшники, etc). потом сохраняю файлик и складываю его в ту же шару, где лежит исходный MSI.

бррррр.. ))))
taelas промахнулся по "цитировать", на самом деле писал камраду Ilyha58343
а твой совет по MSI мне как раз в жилу счас.. собирался заняться задачей "правильной" установки Citrix клиента

sLap
небольшой ОФФ...
насколько я помню, на старых Citrix'ах пользователю надо было давать какие-то разрешительные права на ветки реестра... смотри каким нить procmon'ом, а потом запихивай в файл трансформаций...

Всем привет!

Подскажите, как дать права группе пользователей, чтобы они могли просматривать все политики домена, но только просмотр настроек, без возможности менять.
Даю права на чтение GPO пользователю, все равно не может просматривать. Может какие еще права надо делегировать в домене?

ой... не туда отписался, просьба модераторов удалить сообщение

taelas
Citrix v10.00.52110
Сделал как ты сказал.. скачал ORK 2003.. открыл MSI, орк ругнулся что типа какие то несовпадухи версий.. пропускаю.. next..next..убираю ненужные компоненты..next..next.. сохраняю MST файл и запихиваю MSI и MST в политику.. при чем сначала удаляю приложение в политике с удалением на клиентских машинах..
пробую на тестовом компе - 1 перезагрузка удалился старый ситрикс, 2 перезагрузка тишина хз почему, 3 перезагрузка (загрузка минуты 2 - установился новый Citrix в нужной конфигурации.. Все довольны =)

Вот хочу прибить mra.exe (агент от mail.ru типа аськи).
Не могу найти, куда вклинить это процесс как запрещённый.

(да, я знаю про альтернативные клиенты)

sLap
если бы ты применил политики сразу командой gpupdate /force, то после первой перезагрузки новый цитриксовский клиент поставился

Booklet
вообще, надо в политиках "ограниченного использования программ" надо создать дополнительное правило для пути. и запретить там программы, исполняющиеся в профиле пользователя. таким образом мы отсечём ещё и большую часть вирусов, которые исполняются из %APPDATA% и от google earth
а есть интересное решение... есть такие вещи, как image hijack... так вот... можно создать ключик в реестре
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\
например создаём раздел с названием mra.exe
внутри него создаём строковый параметр с именем Debugger и его значением должен быть полный путь к заменяемому файлу (например c:\Windows\Explorer.exe) и теперь, вместо mra.exe будет исполняться експлорер...

taelas
вкурсе про эту команду.. просто я экспериментировал в калошах рядового юзера.. я тут наткнулся на другой подводный камень: дынные MSI+MST потребовали WindowsInstaller-KB893803-x86.exe, который стоял ДАЛЕКО не у всех.. вот я и впухаю до сих пор..

sLap
Нужный пакет Citrix можно сделать выполнив команду

Код:
msiexec /a ica32pkg.msi

Etalon
где ты раньше был =(

sLap
Там меня уже нет.

А так в общем-то, рекомендуется любой msi пакет проверять на возможность создания административной точки установки.

В теории такая возможность есть у любого msi файла.

Народ чего то у меня слитело на DC не могу понять че слетело,,,перестал заходить на сервы через терминал,,,тока на DC и могу зайти по терминалу
В чем трабла?где рыть подскажите?

timsson
Попробуй посмотреть в сторону Remote Desktop Users... А вообще логи смотреть надо...

PhoenixUA

пробовал не помогает!и себя добовлял и domain admins.

а случайно на других компах Firewall не включился?

Ребята подскажите как запретить пользователям создавать свои профили на других компах в сети кроме админов...

(нужно привязать определенных пользователей к определенным машинам)

подскажите плиз

Добавлено:
извините если не в тему

rosalin
удаляешь из группы "пользователи" того компьютера, на котором хочешь запретить вход доменных пользователей, группу "пользователи домена" и добавляешь только одного человека, которому хочешь разрешить вход на локальную станцию.

taelas

.....добавляешь только одного человека

даже если он тоже доменный

Подскажите что за фигня уже 2 месяц бьюсь с доступом к общим папкам. И так по порядку:
1. есть допустим 2 доменые машины
2. Надо у 1 сделать папку "Доступно" и у 2 папку "Доступно"-вроде все просто, ан нет
3. Есть и др. машины которые в домен не включены (они спокойно заходят на доменые машины).
4.Так как они все разные заведен пользователь,ну например "Миша" (что в доменых машинах, что в обычных)
5. Мне надо чтобы когда я заходила с доменой машины 1 на доменую машину 2 она спрашивала каким пользователем я хочу зайти.
А сейчас он просто мне заходит на этот комп, а так как там такой пользователь не прописан она соответствено-не пускает.
Прописывать всех пользователей домена-не реально.
ПОМОГИТЕ

LOVENOK
а если из доступа убрать "все" и вместо этого вставить "пользователи домена"?

Вообще странно, конечно...

"Все" и так убраны
А пользователей доменов не могу мне надо чтоб он под записью "Михаил" заходил (она локальная в домене такого нет)

LOVENOK
юзай доменные группы