» Обсуждение статьи "Групповые политики Active Directory"

Как через Групповые Политики раздать права пользователям на папки на их локальном компьютере ( к примеру надо чтобы папка c:\temp был с абсолютными правами вместе с подпапками, а папка c:\domino\bin только на чтение?

Заранее спасибо!

ITeXPert
Спасибо большое!
Вот только встречный вопрос возникает относительно пароля для разблокирования сейвера - какой пароль там будет по умолчанию? Или он отдельно задается где-то?

ccna

Цитата:

какой пароль там будет по умолчанию?

того юзера, который был залогинен интерактивно до запуска скринсейвера.
Laki7a
comp. configuration\windows settings\security settings\file system
(на память писал, мог ошибиться в точном пути)

G14

Благодарю за ответ! И все-таки, как быть именно со стандартной блокировкой системы - Alt+Ctrl+Del? Может скрипты готовые есть?

ccna

Цитата:

И все-таки, как быть именно со стандартной блокировкой системы - Alt+Ctrl+Del?

А эта по-твоему нестандартная? Или она более другая? Чем тебя это не устраивает?

G14


Объясняю: есть такое понятие, как служебное задание. Так вот, в моем служебном задании четко прописано, что все рабочие станции должны автоматически блокироваться через 10 мин простоя. Способ блокировки- стантартный. Способ разблокировки - стандартный - alt+ctrl+del

ccna
Ты то, что тебе сказали СДЕЛАТЬ пробовал?

G14

Да, с ходу настроил все, как предлагали. И что?

ccna
После старта скринсейвера машина блокирована, выключение скринсейвера (тем же движением мыши) приводит к окну которое тебе нужно. Или тебя не устраивает вариант с включением скринсейвера?

Добавлено:
А вот такой вопрос:
В домене есть ноутбуки, хочу прописать логон скрипт для них, но... Если ноутбуки будут включаться вне офиса (и соответственно без доступа к DC), что будет со скриптами? Они кешируются как политики или нет?

ccna

Цитата:

И что?

Цитата:

в моем служебном задании четко прописано, что все рабочие станции должны автоматически блокироваться через 10 мин простоя.

рабочие станции через 10 минут блокируются? думаю да.

Цитата:

Способ разблокировки - стандартный - alt+ctrl+del

Чтобы разблокировать машину какие клавиши нужно нажать? alt+ctrl+del
Я не понимаю. чем тебе это "нестандартно" ? Картинка не устраивает ?
Tiristor

Цитата:

Если ноутбуки будут включаться вне офиса (и соответственно без доступа к DC), что будет со скриптами?

Ничего не будет отрабатываться.

Цитата:

Они кешируются как политики или нет?

Групповые политики НЕ кешируются нигде. "Кэшируются" (а точнее прописывают постоянные значения реестра или "татуируют" его) только системные политики в NT4 доменах.

AgelNick
При поднятии контроллера домена на w2k3, подготавливали домен предварительно командой adprep?

По процедуре миграции из w2k на w2k3 - необходимо руководствоваться http://support.microsoft.com/kb/325379/ru

Подскажите, как с помощью GP сделать что бы в определённое время запускался всегда к примеру IE?
за ранее благодарю.

Kamerton
Собсна с пом. GPO можно только скрипт прикрутить, который добавит задание в планировщик. Для твоей задачи существуют планировщики (шедулеры).

Кто подскажет, как при регистрации нового компьютера в AD, автоматически переместить его учетную запись из контейнера computers в другой контейнер (либо чтобы все учетные записи компьютеров перемещались при создании в выбранный контейнер) ?

Подскажите,
Имею Windows Small Business Server 2003 SP1 Rus и рабочие станции Windows XP SP2 Rus.
В групповых политиках сервера, где-то установлено значение, через которое не выводиться «птичка» “Сохранить пароль” в диалоге Internet Explorer 6 ввода логина и пароля. То есть не сохраняються введенные логины и пароли.
Может, знаете, что за параметр, где это может быть установлено

только сильно не пинайте ногами
подскажите как снять ограничения с группы Domain Admins
создал политику test.local, потом хочу исключить группу Domain Admins

test.local - properties - Group Police - Secyrity - а как там запретить применения гркпповых политек для Domain Admins

Sceval
просто снять галку с Apply Group Police в сикьюрити для нужной группы. Тода политика не будет затрагивать данную группу.

Цитата:

BirdsKing
как при регистрации нового компьютера в AD, автоматически переместить его учетную запись из контейнера computers в другой контейнер

..не уверен, но думаю получиться. Создай руками компьютер с таким именем в нужном контейнере, и уже затем добавляй его (реально) а AD.

to AndreiM
redircmp ou=mycomputers,DC=company,dc=com
на 2003

Как бы хорошая статья (А я так понимаю, что топик собственно по комментированию статьи...) но...
Собственно пропущен один важный момент.
Момент этот рекомендуется самим Микрософтом и исправлен в новой консоли управления груповой политикой, там где появился GPO менеджер.
момент этот в том, что прежде чем применять груповую политику очень важно протестировать ее действие.
Потому что иногда доходит до курьезов.
Один чел у нас получил задание поднять секонлари контролер под 2к3.
Решил хорошо закрыться от других. Закрылся. Вместе со всем доменом...
Славо богу, что ключик вход в рековери консоль стаял на автологин.

Кстати еще один момент.
АД 2к и АД 2к3 существенно отличаются.
Это видно по тому факту, что ежели вы решите поднять 2к сервер до 2к3 сервера с развернутым АД Сервером, ... собственно ничего не получится.
Но в этом есть еще один плюс. Собственно в такой гетерогенной среде вполне возможно существование двух примари конролеров - на 2к и на 2к3.
Это можно успешно использовать! (не забыв установить доверительные отношения через сферу керберос!).

Aqueelone

Цитата:

что ежели вы решите поднять 2к сервер до 2к3 сервера с развернутым АД Сервером, ... собственно ничего не получится.

Ерунда полная.... почему это не получится?


Цитата:

не забыв установить доверительные отношения через сферу керберос!).

Зачем, они сами дружат друг с другом прост отлично.

Как указать в каком порядке устанавливать программы через GPO?
Скажем "ACAD" не установится, пока не установлен ".NET".

Всем доброго времени суток!!!
У меня в сети образовалась одна проблемка локальный профиль нехочет синхронизироватся с сервером (win2003) причем только на одной машине, все остальные работают нормално, синхронизируется причем странно тоесть когда пользователь входит под своим профилем с сервера загружаются все его документы и те которые он скажем в прошлом своем сеансе менял, а также и те которые он удалил!!!! вот и не понимаю в чем может быть проблема??? помогите пожалста разобратся!!! заранее спасибо!

Apocalipsis
Попробуй пересоздать профиль пользователя

с правами на папку на сервере все в порядке?

День добрый!
Такая проблема: у нас включено перенаправление папок и рабочего стола на сервер, как сделать чтобы оно не работало если юзер коннектится к терминальному серверу. Сервер вынесен в отдельный OU TServ, пользователи в другой OU. Назначил свою GPO TServ'у, в ней изменил конфигурацию пользователя - не работает (вернее работает политика из OU пользователя). Как быть чтобы работала GPO того OU где находится компьютер, а не пользователь?

koreav
Во первых прочитать обсуждаемую статью - там все описано и переписывать лично для тебя все оттуда сюда лень.
Во-вторых, использовать loopback processing.

Вопрос.
Сервер = w2k server adv
workst = winXP

будут ли групповые политики с сервера применятся на winXP?
что-то не получается настроить.
Спасибо.

lunatic1

Цитата:

будут ли групповые политики с сервера применятся на winXP?

да.

Добрый день!
Не подскажите если такая возможность асинхронно применять logon-script и автозагрузку на компьютере? Т.е. чтобы было 1. Политики 2. скрипт 3. локальная автозагрузка, как из Run ветки реестра, т.к. и из "Старт"