» Обсуждение статьи "Групповые политики Active Directory"

Dimanuch
Да, я предлагал так. Не в курсе, что эта часть политики неперекрываемая. (ссылочку на MS можно?)

PhoenixUA
Если не прокатывает так, то брать бубен...
Автовход устроит? То бишь если юзеру просто не придётся ничего набирать.

Друзья, подскажите,какую политику нужно подрихтовать,чтобы запретить всем юзерам домена установку и удаление любых программ?

concorde
никакую, просто убери их из локальных администраторов

Также удалить всякие WindowsInstaller (или как там его?)... Ограничить (тут уже серез ГП) размер профиля, - есть немало прог, которые ставятся в него, обходя ограничения на установку софта...

Подскажи как бороться с exe файлами. Прописал в политиках только нужные exe на запуск, но берем sol.exe переименуем в far.exe и все работает...

koosok22
Через запрет по хэшу.
Тоже, скажу сразу, средство с оговорками.

Добрый день! Вопрос: Нужно создать группу пользователей в домене у которых будут привилегированные права на локальных компьютерах, т.е. что бы они могли установить/переустановить драйвера, ПО, запись CD/DVD и т.д. и т.п., но чтобы у них не было доступа на расшаренные ресурсы и удаленной доступ к локальным компьютерам (диcтaнциoннoгo упpaвлeния paбoчим cтoлoм). Как это сделать?

ASYLS
1. Создавайте обычных пользователей домена (Domain User), в группе если хотите.
2. На каждой машине включить эту группу в группу локальных администраторов.
3. Насчет диcтaнциoннoгo упpaвлeния paбoчим cтoлoм, наоборот - не включать их в локальные группы, то есть по-умолчанию не пустит.

Здравствуйте господа.

Нужна помощь в током вопросе можно ли политиками в условиях одного домена ограничить доступ к сайтам на пример www.ya.ru

сделал так конфигурация пользователей --> конфигурация Windows ---> Настройка IE --->Безопасность --> Зоны безопасности

политика применяется к Win XP а вот к 2000 не применяется можно ли это както поправить.


2003 сервер контролер домена

заранее всем спасибо

MeJIbHuK
прокси сервера нету?..
попробуйте фильтрами ipsec

Цитата:

прокси сервера нету?..
попробуйте фильтрами ipsec

нет проксей нет
а вот про фильтры поподробней пожалуйста

http://www.windowsfaq.ru/content/view/661/90/
http://www.networkdoc.ru/windows-2000/neizvestnyiy-ipsec.html

Доброго вечера товарищи. У меня вопрос. Возможно ли выводить текстовое сообщение поверх робочего стола для всех клиентов домена. (Типа такого как в правом нижнем отображется версия Win и SP)

Добавлено:
Доброго вечера товарищи. У меня вопрос. Возможно ли выводить текстовое сообщение поверх робочего стола для всех клиентов домена. (Типа такого как в правом нижнем отображется версия Win и SP) Спасибо

ktldll
Странно, а у меня в правом нижнем не отображается версия Win...
[net send * сообщение] вас чем не устраивает?
Служба messenger должна быть включена на всех машинах.

marcfedorrr


спасибо большое разобрался все работает

В реестре HKLM\Control Panel\Desktop - PaintDesktopVersion значение 1. Можно ли вместо етого вставить свой текст?

Ребята, подскажите пожалуйста!!
два вопроса...

1. Нужно сделать, чтобы локальный комп пользователя загружал с сервера свой профиль, но при выключении не отправлял на сервер этот же профиль измененный... тоесть только чтобы получал профиль с сервера каждый раз.

2. Не могу настроить запрет создания/изменения/перемещения на рабочем столе локального пользователя... хочяу чтобы все сохраняли/создавали только в прошареной папке на серваке...

у меня вин 2003 серв 32 бита.... но английский... поэтому туплю с некоторыми настройками...

заранее очень благодарен...

Есть сервер 2003en и рабочие станции XP pro sp2 ru. Хотел включить доменную группу пользователей в группу локальных администраторов через ГП. Так как название локальной группы на русском то как в редакторе групповой политики её вводить и увидеть потом на сервере 2003en (DС). Есть правда еще другой сервер 2003 ru (член домена), на нем видны названия и на английском и руском языках. А на сервере 2003 en видно название только группу с английским названием. Чтоэто означаети как с этим бороться?

Решение оказалось простым - на всех компьютерах с локализованной версией WinXP переименовать локальную группу из Администраторы в Administrators

Здравствуйте у меня два новых сервака, один контролер домена и он же файловый сервер и второй терминальный сервер для определенного пользователя будет определенная задача, все пользователи на контроллере домена, так вот терминальный сервер я ввел в домен дал ему статус сервер лицензий и терменальный сервер. завел я пользователя в домене дал ему группу ремоут десктоп юзер, все коннект проходит все нормально вот только одно проблемно рабочий стол загружается только через 3-4мин, у всех пользователей. Если пользователь заведен на терминальном сервере рабочий стол загружается быстро.
Помогите! В чем проблема!

Подскажите ответ на ламерский вопрос, есть Server 2003 + 30 XP, настроил групповые политики, многое порезал, но при входе каждая папка открывается в новом окне, если на XP ставить русками то все нормально, но подскажите как сделать это через групповые политики

В целом не плохо. Но хотелось бы конкретики.Интересуюсь Когда будет продолжение?

товарищи, подскажите - при помощи ГП есть возможность всем юзерам скинуть настройки сети на автоматическое получение адресов по DHCP?

KorP2
Нет, такого нет.

у меня пользователи
их компы входят в домен
входят в комп локально
и потом через шары доменного сервера подключают диски
как запретить локальным пользование шарами домена
те заставить входить в домен нормально

vvlasub
Первым делом напрашивается, запретить пользователям локальный вход в систему.
т.е. придуамать локальной учётной записи "Администратор" архисложный пароль и удалить все остальные локальные учётные записи. Соответственно, у Ваших пользователей неостанется другой возможности, как регестрироваться в домене.

А так, посмотрите ещё
Конфигурация компьютера\Конфигурация Windows\Локальные политики\Параметры безопасности

может вопрос не по теме но уж больно сильно необходимо мне это знать:
как склонировать пользователя, но естественно с др. именем

В оснастке "Active Directory --- пользователи и компьютеры", ПКМ на эталонном пользователе и меню копировать. Запустится мастер, кот. предложит ввести новое имя пользователя и пароль для нового пользователя.

обходит все машины не очень приятно
тогда как удалить(выключить) всех локальных пользователей через скрипт

Ленивый 15 минутный поиск ничего не дал, может помогут мои более компетентные коллеги:
В общем есть DC Win 2k3 SP2 , есть машины юзеров WinXP SP2. Все нормально работает - но потом по прошествии времени DC как бы "теряет" авторизацию пользователей. Ну юзеры не могут к примеру зайти на шару на сервере и друг друга тоже теряют. не могут зайти на принтеры SUB расшаренные на других компах юзеров. Пишет стандартную фразу мол:

"Нет доступа к \\server\shared. Возможно у вас нет прав на использование этого ресурса и обратитесь к системному администратору. (а это как раз таки я) Системой обнаружена попытка нарушения безопасности. Проверьте наличие доступа к серверу через который был выполнен вход."

Причем если пользователь сделает логаут (без перезагрузки компьютера) и снова войдет в систему то вуаля ему снова буду доступны шары.

В отчетах много что пишет, но к этому думаю имеет отношение вот это:

Источник NETLOGON
Код 5719

Для домена DC01 нет доступного контроллера домена. Ошибка:
Отсутствуют серверы, которые могли бы обработать запрос на вход в сеть. .
Убедитесь в том, что компьютер подключен к сети и повторите попытку. Если ошибка повторяется, обратитесь к сетевому администратору.

И вот еще:

Код 40961

Системе безопасности не удалось установить безопасное подключение к серверу cifs/ppvbuh01. Отсутствуют доступные протоколы проверки подлинности.

И вот еще жути нагоняет:

Код 40960

Система безопасности обнаружила попытку атаки для понижения роли сервера cifs/ppvbuh01. Полученный от протокола проверки подлинности Kerberos код ошибки: "Отсутствуют серверы, которые могли бы обработать запрос на вход в сеть.
(0xc000005e)".

В логах самого DC чтото я ничего страшного не обнаружил. Хотя может просто плохо искал.

А там есть выход в интернет?
Тогда нужно проверить имя домена.
Как у Вас точно называется домен? (имя с зоной, например domain.ru или domain.net)
проверьте: а не существует ли во внешней зоне этого имени?