» Обсуждение статьи "Групповые политики Active Directory"

ccna

Цитата:

Если у меня есть 6 ключей реестра, то при создании .adm шаблона все значения могут быть перечислены в одном шаблоне или же для каждого значения ключа нужно создавать отдельный шаблон?

Могут быть в одном шаблоне. В одном шаблоне может быть огромное кол-во ключей.

какие права должны быть прописаны у пользователя в АД,чтобы у него была возможность самому инсталлировать\деинстал программы,а не каждый раз просить об этом администратора?

Надо, чтобы групповая политика разрешала запуск установщика и права дать куда будут устанавливаться.

Добавлено:
Как переименовать компьютер, который находиться в домене? в AD

web1984
Насколько знаю, никак. Приходится сначала вывести комп из домена, а потом заново ввести его назад уже под новым именем.

Цитата:

Добавлено:
Как переименовать компьютер, который находиться в домене? в AD

netdom renamecomputer \\old_comp_name /newname:new_comp_name /ud:domain\admin_name /pd:*

OneAdmin
Опа, не знал что есть такая команда. Respect.

Цитата:

netdom renamecomputer \\old_comp_name /newname:new_comp_name /ud:domain\admin_name /pd:*

Это утилита и support для XP. я про неё знал, можно как-нибудь это сделать с AD?

netdom renamecomputer old_comp_name /newname:new_comp_name /userd:domain\admin_name /passwordd:* /uo:domain\admin_name /passwordo:* /reboot 10

Добавлено:

Цитата:

Приветствую! Ситуация следующая: у меня есть 5 ключей реестра, которые необходимо установить на все раб. станции в домене. Как это сделать через GPO? Заранее спасобо.

в файлик logon.bat на контроллере домена пихается строка:

regedit.exe /s \\путь\к\файлу\реестра.reg

соответственно в файле реестра эти 5 ключей.
Работает на 100%. А в стандартных политиках бывало что не срабатывало.

Почему если сделать роуминогвый профиль и включить политику перенаправление профильских папок, при выключенных автономных файлах. не работает политика ограничение размера профиля пользователя?

Имею вопросы по сабжу (сервер 2003 r2, клиенты XP):

1) Нужно на всех клиентах активировать remotedesktop, мелкософт на эту тему говорит:
"Group Policy > Terminal Services >Enable Remote Desktop". Однако у меня в GPO Editor'e в Terminal Services нет ни слова о RemoteDesktop. Что делать?

1а) При подключении домена к remote desktop юзера мне предлагается залогиниться под админом, соответственно сессия юзера закрывается и я удаленно работают под сессией админа. А можно ли получить доступ к сессии юзера? Т.е. работать по принципу Remote Administrator'a или это возможно только в Remote Assistance (и желательно даже не зная пароль юзера)?

2) В какой области GPO контролируется возможность установки нового софта?

3) Как грамотно раздать всем пользователям в домене нужные ярлыки на рабочий стол (+ отключить возможность их удаления, кстати возможно ли это если клиент под FATом)? Только через logon script или как-то красивее?

4) Есть компьютерный класс, имеет ли смысл на каждый комп заводить отдельного пользователя? Если, например, все 10 компов будут одновременно залогинены под одним и тем же пользователем, какие могут быть грабли?

gap5
1. Компоненты Windows/Службы терминалов/Разрешать удаленное подключение с использованием служб терминалов
1а. ТОлько с помошью Remote Assistance
2. Computer Configuration - Конфигурация программ - Уставнока программ, User Configuration - Конфигурация программ - Уставнока программ
3. Через логон скрипт - самое то. Еще есть вариант - поправить Default User-а доменного.
4. Хоть 100 одновременнно - проблем не будет. Что касается отдельные учетки или нет - всё зависит от того, каковы требования безопасности. Если необходимо, чтобы каждый пользователь вел какие-то свои записи/имел досуп к опредлённым ресурсам, то лучше вообще сделать учетку для каждого пользователя, а не по числу компьютеров.

FreemanRU
2. В computer configuration есть только такое:

Administrative Templates
Windows Components/Windows Installer
Disable Windows Installer Enabled
Disable Windows Installer Always

Но ведь это применяется целиком к компьютеру. Если отключаем installer то как ставить новый софт? Ведь эти установки влияют целиком на компьютер, независимо от юзера...

3. Как именно через default user'a?

P.S. Kак я понял любой юзер домена может ввести в домен до 10 компов. А как это отключить? Чтобы в домен мог вводить новые компы только администратор домена?

gap5
2. А зачем отключать WinInstaller?
3. Создаем пользователя, настравиваем его как нужно, затем копируем под именем Default User в SYSVOL.

PS Имеет только при условии, что учетная запись в домене уже создана, и он имеет права на ввод в данном OU, где лежит учетка компьютера.

FreemanRU
A как еще запретить установку нового софта? хотя бы такого, который появляется в списке Add\Remove ?

Кстати, раз уж зашла речь об установке софта удаленно, выставляю в User Configuration > Software Settings > Software installation ссылку на msi файл на шаре, для его установки во время логона. Все как бы работает, но т.к. установка запускается от имени юзера - мы имеем Access denied. Нельзя никак принудительно разрешить юзеру установку софта или запустить установку от другого имени?

Или единственный выход это назначать установку в Computer Configuration?

gap5

Цитата:

Нельзя никак принудительно разрешить юзеру установку софта

Можно:
Конфигурация компьютера-Административные шаблоны-Компоненты Windows-Уcтановщик Windows-Всегда производить установку с повышенными привелегиями


Цитата:

как еще запретить установку нового софта?

Забрать админские права. И не надо говорить что всем надо. У нас 700 человек, уже почти ни у кого нет, а у тех у кого еще есть - это скорее политика (начальники всякие).

Цитата:

Конфигурация компьютера-Административные шаблоны-Компоненты Windows-Уcтановщик Windows-Всегда производить установку с повышенными привелегиями

Странно, в описании указано:
This setting extends elevated privileges to all programs. These privileges are usually reserved for programs that have been assigned to the user (offered on the desktop), assigned to the computer (installed automatically), or made available in Add or Remove Programs in Control Panel.

Как задействовать этот "reserved"? Ведь у меня как раз "assigned to user" и не ставится, access denied говорит!


Цитата:

Забрать админские права

Так админских прав и нет, юзер из группы "Users", но некоторый софт, видимо со своими инсталлерами без проблем устанавливается, причем в папку Program Files!

А как разграничить групповые политики на терминал/локальную машину? Т.е., чтобы юзер под одним и тем же логином в терминале имел одни права, а на локальном другие?

P.S. Вроде искал..., но я начинающий, сильно не бейте...

DimaSys
Почитай о "User Group policy loopback processing"

И все же странно, что нет механизма разрешить юзеру установку assigned софта, не смотря на все его запреты... или я чего-то недогоняю?

Кстати, а возможно указать запуск Logon script'a однократно? Например в плане установки софта, получается при каждом логоне будет нагружать комп.
Хотя он по идее нигде не пишет о результатах работы...

Logonscript должен лежать в расшаренной папке или пофиг?

P.S. Ну и еще до кучи В случае, если установка производится от имени компа (т.е. указана в computer configuration) доступ на сетевую шару идет от имени компа?

gap5

Цитата:

Кстати, а возможно указать запуск Logon script'a однократно?

Нет, но при выполнении скрипта мозно оставлять какие-либо флаги (н-р файлик создать, или в реестр что-нить записать)


Цитата:

Logonscript

должен лежать в расшаренной папке. Лучше если его размещать по умолчанию (т.е. в SYSVOL)

Цитата:

В случае, если установка производится от имени компа (т.е. указана в computer configuration) доступ на сетевую шару идет от имени компа?

Именно, от имени учетной записи COMP_NAME$


Цитата:

И все же странно, что нет механизма разрешить юзеру установку assigned софта, не смотря на все его запреты... или я чего-то недогоняю?

Ты поставил Всегда производить установку с повышенными привелегиями?

Есть задача блокировать при помощи групповой политики юзерам домена доступ к файлам с определённым именем, скажем, file.exe. Всё бы понятно, если бы файл был привязан к директории, но данный файл может находиться где угодно, то есть, привязки к папке нет, то есть применить ограничение filesystem, я так понимаю, не получится?

Что можно сделать в этом случае? Может, прилады какие есть, расширяющие возможности AD в эту сторону?

GreatMouse

Цитата:

file.exe.

изменяется ? или это один и тот же исполняемый файл, который может лежать в разных местах? Если просто хочешь заблокировать определенный .exe файл, то используй хеш-правило. Если хочешь более подробного ответа - задай свой вопрос нормально, подробно.

Цитата:

изменяется ? или это один и тот же исполняемый файл, который может лежать в разных местах? Если просто хочешь заблокировать определенный .exe файл, то используй хеш-правило. Если хочешь более подробного ответа - задай свой вопрос нормально, подробно.

Куда уж подробнее-то.
Один и тот же файл, не обязательно явно исполняемый, может быть, например, .dll
Существуют некоторые категории нежелательного софта, которые не инсталлятся в систему, а могут просто запускаться с любого ресурса. Неизменны только имена этих файлов. Скажем, при запрете доступа к сопутствующему dll файлу, программа так же перестаёт работать. Просто теоретически, поменять имя ехе-шника юзер может заранее и залить его куда угодно на своём компе. А вот менять имя библиотеки - нет, поскольку софт станет не работоспособен.

Про хеш-правило подробнее можно? Ссылки, али faq?

Цитата:

Про хеш-правило подробнее можно? Ссылки, али faq?

Зайди на свой сервер, нажми F1 и введи в поиске "Software restriction". Там все достаточно понятно и подробно описано.

Цитата:

Зайди на свой сервер, нажми F1 и введи в поиске "Software restriction". Там все достаточно понятно и подробно описано.

Да, уже другим путём нашёл.
А за наводку большой сенькс

люди, хелп, картина такая, все зарезал юзверям по гп, осталось убить таскбар(который внизу справа с часами), обязательно по гп. подскажите плиз дорожку.

В случае использования Software Restrictions, как можно упростить процесс добавления нового софта в разрешенные? Как разрешить одному юзеру из домена удаленное редактирование групповых полтик, ограничив его в изменении только одного раздела - Software Restrictions?

(Win2003 R2 + WinXP клиенты)

P.S. Кстати, подскажите, как грамотно, в массовом порядке, расшарить на компах определенную папку (My Documents юзера) с соответствующими пермишенами?

Все привет, помогите пожалуйста. ато скоро юзверы на клочьки првут ))

у пользователей пропадает языковая панель!!!

под админской учёткой всё ок, а вот у пользователей неотображается хоть убей,
проблемма я так понимаю в дополнительных текстовых службах, у пользователей они вуключены если их включить то всё работает ровно до перезагруски, потом сново пропадает.

Помогите пожалуйста, скажите вчём дело, ( с региональными стандартами я нечего неделал, политика по умолчанию )

Никто не подскажет, как получить переменную рабочего стола? Проблема из-за локализации, то "Рабочий стол", то "Desktop"...

Доброго времени суток.
У меня ву сети следующая картина:
есть несколько перемещаемых профилей. Они когда заходят\выходят на какой-либо компьютер, который состоит в домене, то выполняется синхронизация всех удалённых пользователей, которые сидели когданибуть за этим компом.
Кака это можно отключить в GP. Возможно ли както сделать так чтобы при завершении работы пользователя с перемещаемым профилем после синхронизации именно его профиля с серверным вариантом на локальной машине он удалялся.

домен на win2003.
рабочие станции WinXP