» Обсуждение статьи "Групповые политики Active Directory"

rosalin
В AD на странице Account можно указать имена компьютеров, на которых может заходить данный пользователь. Т.е. пользователь будет ограничен физически входом только на указанные компьютеры.
Примечание. Если есть пользователи, которые используют VPN из дома и/или других точках, то в LogonWorkStation нужно указывать имена и тех компьютеров, с которых будет производиться подключение VPN, иначе они не смогут заходить в домен.


Добавлено:
LOVENOK
каждая учетная запись имеет свой ID-код, наименование и login мы можем менять как нам угодно, но учетная запись при этом останеться прежней. Например если учетную запись "Михаил" переименовать в "Ольга" , то во всех группах и в списках доступа к ресурсам данная запись будет переименована автоматически.
Я хочу сказать, что учетная запись "Миша" в домене не равен учетной записи "Миша" в локальной машине.
По каким причинам Вы не можете расположить компьютер, и соответсвенно пользователя, в домене?
Может имеет смысл внести пользователя в домен сделать AutoLogon?
Управлять пользователями в домене гораздо проше.

В противном случае: попробуйте в доступе к ресурсам указывать учетную запись в полном наименовании
<имя домена>\<login> - для доменого пользователя
<имя локального компьютера>\<login> - для локального пользователя

не могу завести этого пользователя в домене так как у меня не все пользователи в домене.

Добавлено:
taelas

Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
--------------------------------------------------------------------------------
rosalin
удаляешь из группы "пользователи" того компьютера, на котором хочешь запретить вход доменных пользователей, группу "пользователи домена" и добавляешь только одного человека, которому хочешь разрешить вход на локальную станцию.


нет такого в "пользователи" похожее есть в "группы пользователей"

Вобщем перепробовала все что выше написано - ничего не помогло.
Попробовала доменый реестр заменить на локальный-комп вобще перестал находиться!
Я в тупике, если будут идеи пишите здесь или мне на аську-247567139.
Спасибо.

Народ не знаете случайно.. вот если комп не включать в домен и расшарить на нем ресурсы, то на этот комп можно заходить без проблем без всяих паролей и логинов. А после включения его в домен и вывода из домена, постоянно требует пароль с логином. Где эта хрень прописывается в каких политиках? т.е. если комп в домене побывал после этого не пускает просто так на него с расшаренными ресурсами, постоянно пароль требует с логином.

phant4
По мойму после ввода в домен учетная запись Гостя блокируется. Разблокируй ее и должно все стать как раньше

phant4
в твикерах часто вижу возможность настройки автовхода. Очевидно, в реестре можно прописать имя/пароль.

Добавлено:
Ступил... Не сразу вопрос понял...

Booklet

Цитата:

в твикерах часто вижу возможность настройки автовхода. Очевидно, в реестре можно прописать имя/пароль.

Да, это можно сделать. Но для этого на комьютере должна быть 1 единственная учетная запись. Поэтому проверьте, чтобы не была активна учетная запись ASP.net (подразумевается, что это автономный компьютер, на котором установлен .NET).

TCPIP
Разве?
Я помню, что в твикере просто вводится имя и пароль.
Хотя на компе с несколькими учётками и не пробовал.

Подскажите, какими групповыми политиками (или где в реестре) можно полностью отключить функции синхронизации в XP SP2? Не смотря на нижеуказанные настройки все равно при логофе юзера появляется окно синхронизации...

Network/Offline Files
Policy Setting
Action on server disconnect Enabled
Specify how the system is to respond when a network server
becomes unavailable.

Action: Work offline

Never go offline = Server's files are unavailable to local computer
Work offline = Server's files are available to local computer

Policy Setting
Prevent use of Offline Files folder Enabled
Prohibit user configuration of Offline Files Enabled
Prevents users from changing any cache configuration settings.

Policy Setting
Remove 'Make Available Offline' Enabled
Synchronize all offline files before logging off Disabled
Synchronize offline files before suspend Disabled
Turn off reminder balloons Enabled

Здравствуйте, у меня вот такая проблема, понадобилось установить джабер на компах юзверей, MSI файла нет, решил через Zap, создал zap с таким содержанием:
[Application]
FriendlyName = "jabber"
SetupCommand="\\сервак\папка с дистрибами\JAJC\jajc0.0.8.113\jajc_setup20050111.exe" /u:adminname password
джаба ставиться не хочет, что я делаю не так?

Цитата:

джаба ставиться не хочет

в панели установка-удалении на клиентах нет джабы?

Цитата:

phant4
Народ не знаете случайно.. вот если комп не включать в домен и расшарить на нем ресурсы, то на этот комп можно заходить без проблем без всяих паролей и логинов. А после включения его в домен и вывода из домена, постоянно требует пароль с логином. Где эта хрень прописывается в каких политиках? т.е. если комп в домене побывал после этого не пускает просто так на него с расшаренными ресурсами, постоянно пароль требует с логином.

phant4

Есть такой вариант:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Создать параметр типа Reg_sz AutoAdminLogon и присвоить ему значение 1. Далее создать 2 параметра REG_SZ:
DefaultUserName
DefaultPassword

и в качестве значений параметров указать логин пользователя и его пароль.

А можно использовать прогу Security Administrator - http://www.softheap.com/secagent.html
Она работает даже на доменных машинках.

5555555
Мне надо чтоб Джаба через групповые политики падала

Друзья есть такой вопрос:

Можно ли на основе ГП ограничить тип записываемых (*.mp3, *.avi - например) файлов на сетевой ресурс (в частности в перенаправленную папку "Мои документы" на сервере)?

ripev
Для этого в Server 2003 R2 есть file screening. "родными" средствами GP этого сделать нельзя...

Уважаемые специалисты форума, подскажите пожалуйста:

Есть домен 2003 и единственный контроллер в нем, есть DFS.

В ГП настроено простое перенаправление папки "Мои документы" на контроллер домена, в папку, являющуюся доменным корнем DFS.

Путь к папке "Мои документы" для конечного пользователя выглядит так:
\\домен.ru\доки$\Вася

Так вот, на любую операцию с файлами в этой папке пользователь вынужден нажимать F5 для обновления экрана Windows Explorer. В других папках, как локальных, так и сетевых (включая и те, что доступны через DFS) такого не происходит.

Вместе с тем, если путь к перенаправляемой папке "Мои документы" для конечного пользователя прописать так:
\\сервер\доки$\Вася
то всё будет работать нормально.

В чём может быть загвоздка такого странного поведения Windows Explorer? Как можно это устранить?

nikikoko
http://support.microsoft.com/default.aspx?scid=kb;EN-US;823291

СПАСИБО! Всё работает...

удалено

Как можно восстановить AD из файлов установленной W2K3? Резервной копии оттуда уже не сделаешь...

Вопрос в следующем: как мне сделать пользователей находящихся в домене локальными администраторами на своих компах?
Если они в группе пользователи домена, то и на своих компах у них права пользователей ... покопался с ГПО, локальные компы чихали на нее ... все также остаются просто права пользователя и все, ничего не меняется. С офигением для себя обнаружил что Бат при включение зачем-то лезет в реестр и чето там меняет, а при правах пользователя это запрещено и он не запускается и ряд других программ ...
Вообщем кто знает подскажите как проще сделать пользователей находящихся в домене локальными администраторами на своих компах.

Larr
Включить их в группу Администраторы на своих компах.

Доброго времени суток!!
Товарищи сис админы такая проблема:
Не работают GP выдают ошибку такую....

Windows не удалось получить доступ к файлу GPT.INI для объекта групповой политики CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=xxx,DC=xx. Этот файл должен находиться в <\\xxx.xx\sysvol\xxx.xx\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini>. (Не удалось получить данные о конфигурации от контроллера домена. Либо он отключен, либо к нему нет доступа. ). Обработка групповой политики прекращена.

и..

Не удалось запросить данный список объектов групповой политики. Сообщение, описывающее причину, уже было помещено в журнал обработчиком политики.

Нашел много советов здесь в темах но ничего не проканало......

И кстати если комп в не домена то он нормально юзает эту папку..а вот в домене нет...

И GPEdit при открытии на сервере сообщает что у меня нет прав.... хотя хожу под админом всего чего можно.....

Пожалуйста подскажите решение....

А нельзя ли как нить групповыми политиками отключить брандмауэр виндовый, запустить на машине прогу а после опять брандмауер врубить? может кто знает, помогите плиииззз

Wukuze
GP - выполняется сразу, там нет отложеного запуска.
может лучше в брандмауэре разрешить запуск нужного приложения?
кстати речь идет о одиночном домашнем компе или рабочей станции в локалке + домен?

Я на рабочих станциях вообще отключаю брандмауэр. С включеным FireWall нет никакой возможности работать удаленно со станциями.
А вся сетка защищена межсетевым брандмауэром (ISA)

коллеги подскажите - есть сервак в рабочей группе политики паролей нет(пустые пароли), я его буду запихивать в домен в котором политика паролей сконфигурирована. Вопрос отвалятся пользователи с пустыми паролями? неохото "обоср...ся"

Imko
В локалке с доменом, просто у нас есть служба безопасности которая устанавливает свое приложение, после установки которой появляется много глюков, в частности бывает принтеры печатают не то или не печатают вообще, но если брандмауер включен, то прога не падает, падает она как то нарно троянскими методами так как в ГП ее точно нет, а надо опросить копмы на предмет наличия в них железа, софта и прочего эверестом, вот хотелось бы как нить чтоб опросник у меня прошел, он тож не проходит если брандмауер включен, а потом брандмауер опять встал на место

Добавлено:
Dimanuch
Не думаю что они овалятся, просто будут без паролей, у нас тож политика сконфигурирована, но есть пара старичков для которых и комп то врубить тяжко, тем более пароли запомнить, так и сидят без паролей.

Dimanuch
Если сделать отдельный OU, то всё должно быть в порядке

Booklet
И каким образом?
http://www.forum.oszone.net/post-553697.html#post553236

Booklet создать допустим workgroup и пользователей в ней?