» Обсуждение статьи "Групповые политики Active Directory"

lunatic1

Цитата:

Подскажите, как в gp запретить юзеру создавать папки и файлы по всему компу? То есть, что бы юзер мог создавать папки и файлы только у себя в "Documents and settings

Чтобы пользователи могли сохранять файлы только на сервере

Цитата:

Возможно ли при необходимости удаленно обновить групповую политику на хосте ?

Она сама (по умолчанию конечно) обновляется каждые 90 минут. Для обновления нужно запустить на удаленном компе gpupdate /force (WinXP). Принудительно с сервера вроде нельзя.

m2a

Цитата:

вам проще купить книгу или скачать по настройке Windows 2003 Server

Не проще... особенно если уесть, что у него 2000 Server. И не надо говорить, что они одинаковые. Разные они. Особенно в рамках сабжа.

m2a
только учусь. книга есть по w2k, но там такого не нашел.
Есть похожая тема "перенаправление", но это не мое.

FreemanRU
В теме обсуждается хранение файлов на сервере. А в моем случае как раз на локале. Пользователи забивают весь жесткий диск. Поставил квоту, но ведь она распространяется только на профиль пользователя. В другим местах они могут делать все что хотят.
Вот и хочу запретить юзерам создавать файлы и папки в других местах на локальной машине, кроме ка в своих профилях.

Цитата:

Поставил квоту, но ведь она распространяется только на профиль пользователя. В другим местах они могут делать все что хотят.   Вот и хочу запретить юзерам создавать файлы и папки в других местах на локальной машине, кроме ка в своих профилях.

Квота распространяется на весь диск для каждого пользователя. низя к сожалению назначить группе. Выстави для каждго диска атрибут безопасности, который позволит токо читать и выполнять, а там куда надо записать - там можно для папки выставить разрешение на запись.

Добавлено:
а про книгу я перепутал. Полно литературы и по 2000 серверу. здесь есть темы соответствующие, даже в этом подразделе по книгам

Все привет вопрос как дать пользователям права на установку программ ??

дай им администратиные права, на локальном компе.

Цитата:

Квота распространяется на весь диск для каждого пользователя. низя к сожалению назначить группе.

Он скорее имеет ввиду политику "ограничить размер профиля", начначаемую через групповую политику, там максимум можно ограничение в 30000Кб поставить на профиль пользователя, но думаю правкой system.adm это можно поправить.

lunatic1
Через групповую политику выставь NTFS пермишины на папки и диски юзеров (Конфигур компа - конфигур Windows - Параметры безопасности - Файловая система). Только не забудь в этой политике на системном диске прописать папку Documents and Settings со старыми пермишинами.

?вопрос ?:
можно ли сделать так чтобы на всех машинах домена настройки сети выствлялись автоматом, а то тут до меня так было на всех машинах а их больше сотни настройки ip выставлены вручную???

timsson
DHCP никто не отменял

AgelNick
как понять?
если на серваке то нет

Помогите пользователю!!!
Как настрить workstation таким образом что бы она не принимала групповые политики контроллера домена???

timsson
Так настрой. Что мешает?

делов то... 15 минут!

Добавлено:
1234566
Если машина в домене, то она в любом случае принимает групповые политики домена.

Другое дело, что ты можешь эту машину перенести в отдельную OU, настроить для нее групповые политики и вместе с тем запретить наследование политик от родителя.

[b]AgelNick
да ты не понял наверное, у меня на серваке всё настроено.
А вот у 100 с лихвой юзеров все настройки настроены вручную.......т.е. ip-адрес у них присвоен не dhcp а вручную.
Вот мне и надо узнать есть ли где в политике такие настройки......?

timsson
Можно, скриптом. Смотри в "Автоматизации Администрирования"

Цитата:

timsson
Так настрой. Что мешает?

делов то... 15 минут!

Добавлено:
1234566
Если машина в домене, то она в любом случае принимает групповые политики домена.

Другое дело, что ты можешь эту машину перенести в отдельную OU, настроить для нее групповые политики и вместе с тем запретить наследование политик от родителя.

Есть права локального администратора, и нет прав администратора контроллера домена, чтобы там что то править???

1234566
есть все права

timsson
есть такие вещи как DameWare и галочку ты можешь переставить на получить ip от dhcp.
GPO такие парметры не задает, можно заставить IE применить параметры сервера, и ещё много вещей, вообще если любознательность присутствует то можно открыть политики безопасности и внимательно посмотреть все ветки причем к каждому параметру дается подробное описание.

vicpo
есть у меня и dameware она стоит, и прога кстати классная. но просто не хотелось бы вручную все около 150 машин, настраивать вручную, но похоже придётся...
Gpo то я само собой всю просмотрел, просто думал может я где не доглядел или кто знает другие способы.....

Не знаю куда обратиться, может вы мне поможете?
Подскажите пожалуйста как можно сделать что-бы Инет через Гостя работал!
А то за хожу под Гостем Пуск->Подключения->А тут пусто!?
Под Администратором есть соединение в папке подключения!

Подскажите как быть?! А то я хочу работать тока Гостем )

Народ, вот какая проблема: Есть контроллер Домена Win 2003 Server с групповыми политиками и всей лабудой, так же есть удаленный офис где должны натягиваться на тачки GPO, но политики не натягиваются (удаленно устанавлвается софт и другие ограничения и разрешения..) при gpupdate /force тачка отвечает о успешном выполнении политики как юзера так и кАмпутера в ивент-логах все красиво - об ошибках не сообщается, где копать, почему так происходит?? канал комутируется Cisco-ми пробовали снять все запреты... ширина канала 256К - почему не пойму - кто-то что-то знает??? (
Буду очень признателен за ответы и помощь!

в небольшой локальной сети стоит сервер, раздает ип адреса, домен на нем и тд.

на своей машине дополнительный домен надо поднимать по идее или можно и новый?

просто пробывал дополнительный, спрашивает логин, пароль, домен.. свои данные не подходят.. просит от главного сервера чтоль?=\

doc58_81oB0t

Цитата:

просто пробывал дополнительный, спрашивает логин, пароль, домен.. свои данные не подходят.. просит от главного сервера чтоль?=\

Ты какой домен хочешь создать?
Если cоздать контроллер домена для нового дочернего домена, то

Цитата:

Учетная запись пользователя должна либо входить в группу администраторов (в родительском домене) или в группу администраторов предприятия, либо иметь соответствующие разрешения.

Если создать контроллер домена для нового дерева домена, то

Цитата:

Учетная запись пользователя должна либо входить в группу администраторов (в корневом домене леса) или в группу администраторов предприятия, либо иметь соответствующие разрешения.

Проверяй права на свою учетную запись.

все завелось

снес все роли, поставил типичную конфигурацию, все завелось

как ни странно при установке по отдельности что-то не понравилось, так и не выяснил, ничего сверхестественного не делал. проблемы списаны на винду =)

Подскажите. Можно ли каким то образом использовать в групповых политиках переменные операционной среду. Например что бы выводилось имя пользователя домена в заголовке интернет эксплорера. константу USERNAME он там не воспринимает.

добрый день

следующую проблему можно решить?

серверная машина входит в домен

на ней необходимо поднять почтовый сервер, для этого есстественно необходим AD. при создании указал свой новый домен, скажем mail.local. естественно после ребута, пользователи не видят сервер, он входит в свою группу mail.. нельзя ли сделать чтоб входил в общественную? или тут ничего не поделать кроме как либо у пользователей править настройки либо поднимать независимый почтовый сервер на другой машине?

Цитата:

на ней необходимо поднять почтовый сервер, для этого есстественно необходим AD

Почему есстественно? Вовсе не обязательно... Только если ты хочешь Exchange Server, тогда да...


Цитата:

при создании указал свой новый домен, скажем mail.local. естественно после ребута, пользователи не видят сервер, он входит в свою группу mail

А почему mail.local, а не mail.domen.local? Тогда бы он входил в основную группу domen.local. DNS сервер на основном контроллере обновится и у клиентов ничего править не надо...

Прошу Прощенья, если тема уже обсуждалась, но ответа не нашел...тыкнети носом пжл..

Поднял домен 2003ksp1 -прошло штатно.
Создал подразделения, политики для них. А как уже сушествующего юзверя с его настройками и документами подкрутить к домену?. То что его учетку создать на домене понятно, далее авторизоватся с его машины - но вместе с авторизацией грузится чистый раб стол...
кто подскажет...
Заранее благодарю

nholod

Цитата:

А как уже сушествующего юзверя с его настройками и документами подкрутить к домену

никак.
Только копировать профиль...

Приветствую! Ситуация следующая: у меня есть 5 ключей реестра, которые необходимо установить на все раб. станции в домене. Как это сделать через GPO? Заранее спасобо.

ccna
Добавление ключа в реестр через групповые политики, Win2000

FreemanRU

Спасибо за информацию! Честно говоря, мало что понятно из всего этого. Уж слишком все по-программерски.

Если у меня есть 6 ключей реестра, то при создании .adm шаблона все значения могут быть перечислены в одном шаблоне или же для каждого значения ключа нужно создавать отдельный шаблон?