Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » КАК применить политику именно к нужной группе? (GPO)

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3

Открыть новую тему     Написать ответ в эту тему

Gabzya



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
JOOMLA
JekaRus
точно ли выведена машинко из домена?
Всего записей: 1149 | Зарегистр. 14-12-2004 | Отправлено: 12:05 27-06-2007
CRueL46

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Парни такой вопрос: Я хочу расшарить несколько папок только мне нужно чтобы из моей рабочей группы достп к ним имели только отдельные юзеры! Как такое воплотить?
Всего записей: 3 | Зарегистр. 15-06-2007 | Отправлено: 12:46 27-06-2007
JOOMLA

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Gabzya
Ну наверное точно, я в свойствах компьютера вместо домена, имя рабочей группы. Вводил пароль и вроде как после перегрузке оказываюсь в рабочей группе. Т.е вывел из домена!?
CRueL46
Переводи файловую систему в NTFS и управляй правами расшаренных ресурсов.
Всего записей: 62 | Зарегистр. 25-02-2006 | Отправлено: 02:47 04-07-2007
rlogan

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Как уже было сказано выше, политики действуют только на пользователей и компьютеры. Часто возникает вопрос: «как сделать так, чтобы определенная политика действовала на всех пользователей, входящих в определенную группу безопасности?». Для этого GPO привязывается к объекту домена (или любому контейнеру, находящемуся выше контейнеров или OU, в которых находятся все объекты пользователей из нужной группы) и настраиваются параметры доступа. Нажимаем Properties, на вкладке Security удаляем группу Authenticated Users и добавляем требуемую группу с правами Read и Apply Group Policy.  

 
У меня ТРАБЛ такой -политика не применяется, если удалить Authenticated Users.
 
Вышел из положения так: оставляю Authenticated Users с правом Apply Group Policy.
и требуемую группу с правом Read, (можно и Apply Group Policy добавить -не влияет).
 
т.е. Получается что без Authenticated Users не хочет работать, а с нею -у кого прав на чтение нет -тем не применяется.  
 
  В чем может быть проблема ?? почему одной требуемой группы безопасности с правами чтения и применения политик не достаточно,  а приходится применение через  Authenticated Users делать?? (Группа безопасности локальная в домене, но и домен один)
----------------------------------------------------------------------------------
Кажется нашел загвоздку: все зависит от Группы- Локальная или Глобальная группа безопасности и используется.. Поэксперементирую на днях - расскажу результаты.
Всего записей: 8 | Зарегистр. 27-11-2006 | Отправлено: 14:32 08-11-2007 | Исправлено: rlogan, 20:14 29-01-2008
anaksa

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
КАК применить политику именно к нужной группе? (GPO)

Для решения этой проблемы хорошо использовать Group Policy Management
http://www.microsoft.com/downloads/details.aspx?FamilyID=0a6d4c24-8cbd-4b35-9272-dd3cbfc81887&displaylang=en
 
В дереве домене прилинковать необходимую политику к необходимой OU.
Кроме этого консоль позволяет определить результирующую политку, создавать бекапы и делать рестор политик, импортировать политики, управлять разрешениями на объекты GPO делать фильтрацию групп.  
Всего записей: 73 | Зарегистр. 22-06-2005 | Отправлено: 11:43 20-11-2007
rkhodjaev



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
 Народ правильно ли я сейчас применяю ГПО.В домене около 20 OU.Поставили задача-отк. Все чат программки(m-agen,ICQ,MSN).Нашел в ГПО как запретит эти проги.Потом взял применил данный ГПО домену,но в свойствах ГПО>Security  : Authenticated Users (read & Apply GP ) и добавил группы “1)Who can use ICQ<2)m-agent3)MSN>” (Allow-read & deny – Apply GP).После такой настройки не будет ли каша в дальнейшем, если другие способы решения данной задачи?
Всего записей: 1002 | Зарегистр. 05-05-2006 | Отправлено: 07:53 01-02-2008
SeriusDanil

Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
rkhodjaev
Не почеловечески это как-то Мне кажется проще создать одну глобальную политику применимую ко всем OU, а Избранных поместить в нижележащие OU и явно разрешить им пользоваться этими прогами. Тут делов будет создать 2 политики и максимум 20 подконтейнеров. Зато прозрачность IMHO не в пример выше.
 
Добавлено:
Главное за очередностью смотреть
Всего записей: 371 | Зарегистр. 30-09-2005 | Отправлено: 10:09 01-02-2008 | Исправлено: SeriusDanil, 10:10 01-02-2008
rkhodjaev



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
rkhodjaev  
Не почеловечески это как-то  Мне кажется проще создать одну глобальную политику применимую ко всем OU, а Избранных  поместить в нижележащие OU и явно разрешить им пользоваться этими прогами. Тут делов будет создать 2 политики и максимум 20 подконтейнеров. Зато прозрачность IMHO не в пример выше.  

 Я сделал глоб. ГПО для всего домена + несколько групп которым не будет прим. данная политика
Всего записей: 1002 | Зарегистр. 05-05-2006 | Отправлено: 07:00 04-02-2008
Serggg

Junior Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Объясните пож. такую ситуацию. Или так и должно быть или я чета не допонимаю ?
Ситуация. Домен 2000 . Есть группа ИНЕТЮЗЕРЗ. Нужно что бы пользователи этой группы ходили в инет и наоборот. Создал ГПО где прописал (через конфиг юзера- конфиг вындовз-настройки ИЕ-подключение) проксик, порты ну и те сайты для которых не нужен проксик. Поцепил данный ГПО только на эту группу.  
  Захожу на компе (ХР) юзером не принадлежащим группе ИНЕТЮЗЕРЗ ..как бы все ОК не применяется. Добавил юзера в группу, перегрузился - все ОК (все прописалось, все работает). Теперь вывожу юзера из группы ИНЕТЮЗЕРЗ, перегружаюсь, а проксик и все остальное как было прописано так и есть? Обратно что не действует? Нужно как-то обнулять?  
 
Спасибо.
Всего записей: 111 | Зарегистр. 26-03-2004 | Отправлено: 18:54 22-02-2008
FreemanRU



Silver Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Serggg

Цитата:
Обратно что не действует? Нужно как-то обнулять?  

По умолчанию политика стоит "не установлено", и поэтому параметры не меняются. Тебе надо явно задать в политике по умолчанию параметры для IE,

----------
Если не получается с первого раза - прочти инструкцию. (с)
"Откуда нам знать, что такое война, если мы не знаем мира..."(с)
Записки
Всего записей: 3799 | Зарегистр. 16-07-2004 | Отправлено: 21:26 22-02-2008
Serggg

Junior Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

Цитата:
По умолчанию политика стоит "не установлено", и поэтому параметры не меняются. Тебе надо явно задать в политике по умолчанию параметры для IE

 
Ну я и задал определенный апишник, порт ...  но право этому ГПО только у группы ИНЕТЮЗЕРЗ.
Получается нужно создать нижестоящий ГПО в котором нужно указать не устанавливать настройки или я не прав?  
Всего записей: 111 | Зарегистр. 26-03-2004 | Отправлено: 15:03 25-02-2008
se111



Advanced Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Serggg
предоложим что
Цитата:
Ну я и задал определенный апишник, порт ...  но право этому ГПО только у группы ИНЕТЮЗЕРЗ.
параметры которые ты задал будут цифрой 1.
и что параметры  
Цитата:
"не установлено",  
- будут цифрой 0. т.е. те которые будут применятся при выводе из группы. отсюда следует:
т.е. 0+1 = 1
ты просто напросто к политике которая уже применилась, прибавляешь пустую политику, которая естественно от уже применивщейся ничего не отнимает и ничего к ней не прибавляет.  чтобы что то изменилось, ты должен её перекрыть, например указать другой порт  или другой прокси и т.д. и т.п.
 
немного сумбурно, но думаю понятно.
 


----------
создание сайтов
Всего записей: 782 | Зарегистр. 21-04-2005 | Отправлено: 18:43 25-02-2008
Serggg

Junior Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Понятно, спасибо!  
Все же нужно что бы была еще одна политика которая перекрывала. (Я думал хватит одной)
 
1 ИНЕТЮЗЕРЗ (с настройками прокси)   - это только для инетюзерз
2 ВСЕЮЗЕРЗ  (с пустыми настройками (или липовыми))  - это применяется всем
 
Просто думал, что политика каждый раз применяется по новому, а оно получается при применении со второго раза только обновляет данные.
Всего записей: 111 | Зарегистр. 26-03-2004 | Отправлено: 20:25 25-02-2008
xapmc

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Я только начинаю настраивать AD подскажите шаги , а то запутался
я поднял домен, DNS  сервер на нём же создал OU под названием admin
создал там пользователя создал групповые политики и настроил убрать корзину с рабочего стола в групповых политиках (для проверки групповых политик)
как положено вышел из системы и по новой присоединился к домену  
но групповые политики не сработали  
Что сделал не так и что нужно ещё сделать?
не бейте сильно за такой вопрос ))))
Всего записей: 21 | Зарегистр. 11-09-2007 | Отправлено: 15:42 28-08-2008
Elleison Nissy



Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
РЕШЕНО
Есть политика, привязаная к группе пользователей. В ней указано перенаправление папок (моидок, рабстол). Перенаправление работает, но...
Вопрос: как сделать, чтобы члены других групп, работающие с этой машины, не пытались синхронизировать профиль? Сделать они этого не могут, так как доступа к папке профилей у них нет, но активно хотят пытаться при завершении сеанса.
 
Детали: ОС сервер 2008, перенаправление простое (все в корень), клиентская машина на ХР СП3. ГПО связана только с целевой группой пользователей. Что еще не сказал?
 
Мат.часть в процессе изучения и еще поле не пахано, пшено не перебрано.  
Советы на статьи к ознакомлению принимаю с радостью, ибо знать где копать - половина дела.  
----------------------------------------------------------------------------------------------------------------------------------------------
 
Копать надо было в настройках автономных файлов, сделаных не мной.
Всего записей: 2 | Зарегистр. 13-03-2006 | Отправлено: 14:31 10-12-2009 | Исправлено: Elleison Nissy, 16:05 10-12-2009
AlexThrice

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Добрый день! Настраиваю сетку с такой конфой: 2 х DC (WinServer2003 R2 Standart), клиенты - WinXp.  
 
Вообщем такая трабла, создал OU (Test), в ней настроил для пользователя: выполнение скрипта при входе, запрет на смену рисунка рабочего, скрыл настройки скрин сервера, задал подключение принтеров.
 
Из всего этого, выполнились только выполнение скриптов и скрытие настроек принт сервера. Принтеры так и не подключились и рисунок рабочего стола могу менять хоть до потери пульса, но только на клиенте, если же захожу терминально на сервак, то там смена рисунка раб стола закрыта.
 
Гуру, подскажите где копать?
Всего записей: 5 | Зарегистр. 28-09-2009 | Отправлено: 13:11 10-02-2010
rte7

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
День добрый вижу тема (применить политику на группу) тема уходит в другое русло..
 
хочу возобновить и задать такой вопрос.
 
Выполенине уcловий применение политики на группу
1) саму группу создАЛ как глобальную (область действия группы) и безопасность(тип группы) ...правильно ли действие*?
2) политику применил на тестовый контейнер(OU) закинул в контейнер созданную группу 777..на вкладке члены групп (member of) добавил компьютер.
3) На групповой политике правой кнопокой свойства = там 4 вкладки...нужен параметр Безопасность.  
-В безопасности Грохнул прошедшие проверку. + добваил свою группу 777.
- 3.1) -Добавил свою группу 777 (в кот. указан мой камп)
4) Выставляю чтение(READ) & прим. политики (APLY policy)
 
тоесть тем самым указываю привязку политику к группе.
 
5) В политике указал параметры которые затрагивают только параметры компьютера {см пункт 3.1}
 
 
Результирующая на клиенте ----- Gpresult
 
вопрос такой .. верны ли мои дейтствия*? в каком пункте ошибся*?
строка "" Следующие политики GPO не были приняты, поскольку они отфильтрованы "" вижу что прокол- но не пойму как дальше разобраться.Фильтр типа срабатывает)) Ну дальше*?  
 
Всего записей: 46 | Зарегистр. 10-11-2009 | Отправлено: 00:58 17-09-2010 | Исправлено: rte7, 01:25 17-09-2010
rte7

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Всё разобрался могу ответ скинуть сюда же на форум...
Вопрос применение политики на группу(..чётко написано.)
 
читайте Ответ
 
http://ru.n-admin.com/n27-3936.html --  Group Policy Security Filtering
выставить права Read и Apply Group Policy на созданной группе
Выставить Authenticated Users всё ещё могут читать настройки GPO, но они не будут их выполнять.
и есть видеоурок на techdays.in.ua -- http://www.techdays.in.ua/videos/2843.html где показывают с пом консоли GPMC
 
кстати группа должна быть Global(область действия группы)  & Security (тип группы)
.
 
Всего записей: 46 | Зарегистр. 10-11-2009 | Отправлено: 13:05 23-09-2010 | Исправлено: rte7, 12:20 22-11-2010
XAN

Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
У меня на терминале настроен выкидыш по бездействию пользователя.
есть пользователь который является локальным админом на терминале, и только на терминале. В домене он пользователь.
К OU в котором терминал применяется  3 политики для  
1. ПК (только машинная часть и включена заглушка)
2. АДминская (доменные  как я понял ибо о локальных доменное GPO не знает?)
3. ПОльзовательская
очередность применения соотв.
 
есть пользователь который входит в ЛОкальные админы терминала, НО!!! к нему всё равно применяются политики пользователей.
Как сделать чтобы применялись политики админов ?
 
я внес пользователя в список  
закладка Delegation (gpmc.msc) политики ПОльзователей.
Дал юзеру права DENY для apply policy
Поскольку права запрета приоритетны, то всё должно сработать даже несмотря на наличие ПрошедшихПроверку в списке.
Убрать ПРошедших проверку проблемно потому что она включает остальных к кому надо применить политику.
Но увы.... политика срабатывает... ПРошу помочь!!!
Всего записей: 271 | Зарегистр. 03-09-2004 | Отправлено: 03:13 18-09-2012 | Исправлено: XAN, 12:44 18-09-2012
anton04



Silver Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
XAN
 

Цитата:
К OU в котором терминал применяется  3 политики для  
 1. ПК (только машинная часть и включена заглушка)  
 2. АДминская (доменные  как я понял ибо о локальных доменное GPO не знает?)  
 3. ПОльзовательская  
 очередность применения соотв.

 
Надеюсь вы понимаете что в OU где находятся ПК, политика пользователей не применяется.
 
1. заглушка это блокировать наследование политики?
2. не совсем понятно в связи со сказанным мной в самом начале.
3. аналогично пункту 2.
 
Применение доменной политики происходит с низу в верх (это разъяснение на всякий случай).  
 
Исходя из вышесказанного, вопрос: вы применяете WMI фильтры в GPO?
Всего записей: 2856 | Зарегистр. 14-06-2006 | Отправлено: 13:04 18-09-2012
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » КАК применить политику именно к нужной группе? (GPO)


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.Board
© Ru.B0ard 2000-2026

LiteCoin: LgY72v35StJhV2xbt8CpxbQ9gFY6jwZ67r

Рейтинг.ru