» Обсуждение статьи "Групповые политики Active Directory"

Друзья, может кто-нибудь знает ключ реестра, котрый отменяет вырубку мониторов через 20 минут, или может есть какая нибудь другая альтернатива.

Клиенты достали, при отключении монитора нажимают Power, думают что комп не врублен. достали уже!

Цитата:

Друзья, может кто-нибудь знает ключ реестра, котрый отменяет вырубку мониторов через 20 минут, или может есть какая нибудь другая альтернатива.

Методом продолжительного гемороя было выяснено, что при изменении параметров отключения монитора меняются ключи здесь:


HKCU\Control Panel\PowerCfg\PowerPolicies\0

0038 10 0E - 1 час
0038 20 1С - 2 часа
0038 00 00 - никогда

HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Power\
параметр "AcPolicy"

00С0 10 0E - 1 час
00С0 20 1C - 2 часа
00С0 00 00 - никогда



Но.... надо попробовать применить эти параметры при загрузке, иначе в текущем сеансе не получается сразу же изменить продолжительность на вкладке со временем оотключения...
Может еще где-то есть ключ, про который я забыл.... Но это уже лес густой и слишком нудно.

Самый грубый вариант - дать права напртимер админа локального и изменить на то, что нужно, а затем вернуть права пользователя. Но это последний вариант.

mistx

Можно еще попробовать поиграться с помощью команды
powercfg /?

Знает ли кто ни будь, где в GP настраивается сохранение введенных юзером адресов в эксплорере (TypedURLs в реестре)?

Надо собственно говоря очищать этот список после логофа.

Цитата:

Знает ли кто ни будь, где в GP настраивается сохранение введенных юзером адресов в эксплорере (TypedURLs в реестре)?

Надо собственно говоря очищать этот список после логофа.

gap5 не проще ли это реестровым методом разрулить.. в той же GP кстате..

sLap
Так видишь ли в чем дело, у некоторых пользователей этот список очищается, а у других нет. Видимо какая-то политика дает "побочное" действие... вот только какая?

Кроме того, как в GP удалять целую ветку целиком? Насколько я знаю в adm можно прописывать удаление конкретных строковых значений, а не ключей (веток) целиком.

В реестр писать юзеру запрещено.

gap5
удалить ветку можно с помощью reg-файла, в твоем случае это:

[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\TypedURLs]

знак "-" перед строкой, но параметры удалять при помощи reg-файлов нельзя :'-(

sLap
Я же написал, что в реестр юзеру доступ заказан.

А под системой CURRENT_USER я не как не получу, да и неудобно это - городить огород.
Вот если бы через ADM это можно было сделать... хотя там тоже не совсем понятно - если политики применяются каждый 90 минут, то получается после каждого применения значения в реестре будут обновляться?

P.S. Через reg можно удалять и параметры, например вот так:
[HKEY_LOCAL_MACHINE\Software\Test]
"TestValue"=-

gap5

Цитата:

если политики применяются каждый 90 минут, то получается после каждого применения значения в реестре будут обновляться?

ну надо полагать, только срабатывать будет наверно только после перезапуска IE

про

Цитата:

[HKEY_LOCAL_MACHINE\Software\Test]
"TestValue"=-

спасибы, видать доку неправильную смотрел

Глупый вопрос. господа: никак не найду, где в ГП можно поменять начальную страницу в IE?? Проксю можно.. Но мне кажется видал где-то и начальную страницу! Знает кто-нить?? Спасибо.

Добавлено:
В общем, спасибо всем, нашел вроде бы сам
Конфигурация пользователя->Конфигурация Windows-> Настройка IE->URL-адреса->Важные URL-адреса

m2a
спасибо буду пробывать. не думал что это можно так гемморойно решать.
случайно не встречали прогу какую-нибудь которая бы помогла в этом или я размечтался?

еще один вопрос
один комп в домене через несколько минут блокируется
как убрать постоянную блокировку?

Спасибо!

Периодически притормаживает сетевое окружение (секунд на 10-15) при работе с общими папками. Причем, только лишь на некоторых машинах. Подскажите, что можно сделать?

Домен, сервер - Win2k3, рабочие станции WinXP SP2.

Уважаемые, подскажите плз, где в груп. политиках можно разрешить пользователям переводить сис.время.

У меня около 20 компов заведены в домен, все заходят под одним профилем. Домен под Win2003.

mistx

Цитата:

еще один вопрос
один комп в домене через несколько минут блокируется
как убрать постоянную блокировку?

думаю выход прост ... убрать пароль с заставки

Добавлено:
SemGemdgi

Цитата:

Уважаемые, подскажите плз, где в груп. политиках можно разрешить пользователям переводить сис.время.

прилинковать GPO c параметрами:
Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Назначение прав пользователя\Изменение системного времени


Добавлено:
nikikoko

Цитата:

Периодически притормаживает сетевое окружение (секунд на 10-15) при работе с общими папками. Причем, только лишь на некоторых машинах. Подскажите, что можно сделать?

проверь, возможно чтото в настройках DNS

Blackburn
(извеняюсь, понял, что вопрос не сюда, а сюда , но раз уж ответили, прошу пояснить...)


Цитата:

прилинковать GPO c параметрами:

я создаю подразделение, в нем пользователя. В подразделении создаю груп.политику там меняю параметр
Цитата:

Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Назначение прав пользователя\Изменение системного времени

там в свойствах
Цитата:

определить указанные ниже политики

, и какого пользователя туда добавлять, я добавлял и админа, чего только не добавлял... не работает...

сейчас работаю над решением внедрения AD в сети предприятия. есть такой очень важный вопрос: требуется разграничить права доступа пользователей к серверу (терминально, но это не особо меняет суть) чтобы у одних был активен desktop (например у менеджеров) а у продавцов все сводилось к минимуму (парочка программ, и неактивный рабочий стол). Может ли AD это сделать? если да, то как? и можно ли решить вопрос без AD обойдясь локальными политиками безопасности??

очень прошу вас помочь компетентым ответом.

Ralf007
С помощью АД нельзя все это сделать. Можно с помощью разных утилит поотклюбчать через реестр многие компоненты винды и добимтся примерно того, что хочешь. А при входе в терминал можно сразу подключить нужную программу чтобы запускалась.

Либо можно, чтобы при загрузке компа вместо рабочего стола загружалась сразу 1С (или что угодно). В таком духе, но все это делается руками или с помощью спец утилит для ограничения разной туфты на компе.

m2a
спасибо за отзыв. подскажи название хоть одной такой утилиты. в какую сторону копать? поиском всякий хлам находится.


Цитата:

Либо можно, чтобы при загрузке компа вместо рабочего стола загружалась сразу 1С

да есть такое решение, но оно для организации, где никто ваще не шарит что и как. а так можно вручную изменить путь доступа на ярлыке rpd и получить рабочий стол.

игрался с групповыми политиками в AD - наследование только геммороя добавило. да и нагружать AD'ом сетку из 10-15 компов не хочется, ищу решение для рабочей группы

a u mena vot vopros......ya nedavno s GP poznakomilsa, mne nujno zapretit useram v lokalke kachat faili cheres IE, mp3 i t.d., no kak eto sdelat poka ne razobral....

unsiyyet
мне кажется, что тут какой-нить прокси нужен, вроде так даже проще должно быть.

Народ привет, может не совсем в тему, но подскажите как запретить политиками открывать в интернет эксплорере ворд или эксель ( это когда на файле офиса выбираешь не сохранить а открыть ) т.е. нужно чтобы он открывался в полноценном ворде !!!

Уважаемые, подскажите плз,можно ли через ГПО закрыть доступ к настройкам MS office?Если можно то как???
Как написать сценарий выхода в домене под управлением Win 2k3???В хелпах написано что нужно использовать VBScript.Подскажите или дайте ссылки,где написано про VBScript на русском....Заранее благодарен.

Подскажите, кто тестил, если юзеру запрещено устанавливать\создавать\изменять сетевые подключения и драйвера - может от воткнув bluetooth адаптер отправлять файлы на другой комп?

Ralf007
Делал похожее через Citrix, там можно и рабочий стол с сервера вывести , а можно отдельные программы юсеру выводить, без рабочего стола.
Т.е. у юсера на рабочем столе будут иконки (например 1С и т.п.).
Например он их нажимает и получает запущенную 1С у себя на компе, хотя сама она крутиться на серваке.
Если это это то что тебе нужно

Ralf007
С AD легко. Заводишь в AD юзеров и делаешь две политики. И на вкладке Безопасность разрешаешь Применение политики только для тех юзеров кому она нужна. Ну, а уже в политиках делаешь что хочешь. Продавцам запрещаешь все что им не надо, менеджерам разрешаешь побольше. Не совсем понятно, что такое активный рабочий стол. Если Active Desktop то через политики он включается/выключается и как-то там настраивается

Добавлено:
KillHunter
Простеньким сценарием может быть обычный *.bat Просто указать на него в GPO.

unsiyyet
Конфигурация пользователя/компьютера>Административные шаблоны>Компоненты Windows>Internet Explorer>Панель управления обозревателем>Страница безопасности>Зона Интернета>Разрешать загрузку файлов.
Конфигуратция пользователя>Административные шаблоны>Компоненты Windows>Internet Explorer>Меню обозревателя>Меню файл:Отключить команду "Сохранить как"
И там до фига еще чего можно настроить

Я не понял, как можно групповой политикой сказать группе юзеров BUH при логоне проинсталлить SP4 на их Win 2000 рабочие станции. Надо же чтобы SP4 запускался с ключами и от имени администратора, а групповые политики запускаются от имени текущего пользователя

И еще, я хотел бы чтобы при логоне юзера устанавливался Far, а если на компе есть Total Commander, чтобы он деинсталлировался. Как это сделать?

Aleksanders

Цитата:

сказать группе юзеров BUH при логоне проинсталлить SP4 на их Win 2000 рабочие станции.

SP4 на Win2000 это .exe, а политиками устанавливаются msi-пакеты. Можно конечно извратиться и заставить ставиться скриптами, zap-файлами и подобными ухищркеиями, но это не есть гут.
По поводу группы BUH. SP устанавливается на КОМПЬЮТЕР, и останется там для всех, независимо от того, бухи им будут пользоваться или дворники, поэтому нужно назначать установку компьютерам.
Очень не рекомендую данный способ - геморно, большая нагрузка на сеть\сервер (когда будет тянуться SP, который если я правильно помню около 200Мб).
Для таких задач в Microsoft давно придуманы SUS\WSUS\SMS на выбор

Цитата:

И еще, я хотел бы чтобы при логоне юзера устанавливался Far, а если на компе есть Total Commander, чтобы он деинсталлировался. Как это сделать?

Скриптами. Тем более, что FAR распрекрасно работает после "установки" простым копированием. После чего, если не устраивают дефолтные настройки, можно настроить far с пом. импорта ключей реестра (скриптом или самописным adm-шаблоном). Плюс скрипта при этом в том, что можно проверять им же наличие какого-нибудь "флага" (ключа в реестре или файлика) и не применять настройки там, где это уже применялось. Это даст возможность в первый раз изменить настройки far по своему вкусу у всех, но потом дать возможность пользователю настроить для себя как нравится и не менять при каждом обновлении политик. TC можно снести тоже стартап скриптом.

Вот я нашел команду runas /user:user@domain program.exe которая запускает программу от имени указанного пользователя, но для такого запуска она хочет, чтобы я написал пароль этого пользователя в консоли. Как сделать, чтобы пароль не спрашивался? Попробовал написать runas /user:user@domain program.exe<passwd где passwd - имя файла, в котором прописан пароль и еще попробовал echo password|runas /user:user@domain program.exe - оба этих варианта не работают, пароль не вводится, а в ответ выходит: Enter password for user@domain:RUNAS ERROR: Unable to accept input.

Как победить это? В юниксоидных программах я бы просто взял chat и не стал заморачиваться, а тут как?

Aleksanders
а почему бы не сделать назначенное задание... там его можно от имени любого пользователя запускать и пароль сохраняется в безопасном виде..