Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Групповые политики (Group Policy, GPO): документация, ссылки

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123

Открыть новую тему     Написать ответ в эту тему

lynx



Advanced lynx
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Групповые политики (Group Policy)


  • Групповые политики Active Directory
  • Структура объекта групповой политик
  • Group Policy Administrative Templates Catalog
  • http://www.gpanswers.com/  
  • Windows Server Group Policy Home

    См. также Общие вопросы по Active Directory (AD)

    FAQ

  • Не работают групповые политики
  • Безопасность
  • Восстановление политик
  • Групповые политики + Internet Explorer (IE)
  • Windows Vista & Windows Server 2008
  • Другие вопросы по групповым политикам

    Документация

  • Англоязычная:
  • Русскоязычная:


    Пост подготовлен: G14

  • Всего записей: 11712 | Зарегистр. 08-05-2001 | Отправлено: 19:33 13-12-2004 | Исправлено: Paromshick, 20:16 03-06-2020
    greenfox



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Приветствую!
    Вопрос такого плана - в политиках есть пункты касающиеся Remote assitance, в частности в ветке: Computer configuration – Administrative templates – System – Remote Assistance
    Но там задаётся возможность вкл-я функции приглашения помошника и список кто может помогать ьез запроса уведомления. Но что-то в настройках пользовательских ПК всё равно остаётся возможность отключить ремоут асситанс сняв соот-ю галку (это св-ва мой комп - ремоут - remote assistance) - нельзя ли её залочить окончательно?

    ----------
    Три вещи вечны: смерть, налоги и потеря данных...

    Всего записей: 4139 | Зарегистр. 29-07-2003 | Отправлено: 11:56 10-08-2009
    FL0od13



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Dasky

    Цитата:
    а права на раздел HKCU обрезал для всего раздела?если изменить права только на подраздел ХКЦУ или на елемент...  
    выставить допустим только чтение?без записи?

    Я это делал давно и к сожалению не помню точно какие баги всплыли. Вроде бы при загрузке профиля возникали ошибки. Точно помню, что пришлось делать временно всех пользователей лок. админами, чтобы восстановить права.
     
    Права хотел обрезал следующим способом (нашёл в vbs-скрипте):

    Код:
     
    WSHShell.Run "subinacl.exe /keyreg ""HKEY_CURRENT_USER\Software\Microsoft\Screensavers"" /grant=AL\%USERNAME%=F",1, true
    WSHShell.Run "subinacl.exe /keyreg ""HKEY_CURRENT_USER\Control Panel\Desktop"" /grant=AL\%USERNAME%=F",1, true
     
    WSHShell.Run "regedit.exe /s C:\Settings\DisplaySettings.reg",1, true
    WSHShell.Run "%windir%\System32\RUNDLL32.EXE user32.dll, UpdatePerUserSystemParameters 1 False",1, true
     
    WSHShell.Run "subinacl.exe /keyreg ""HKEY_CURRENT_USER\Software\Microsoft\Screensavers"" /grant=AL\%USERNAME%=R", 1, true
    WSHShell.Run "subinacl.exe /keyreg ""HKEY_CURRENT_USER\Control Panel\Desktop"" /grant=AL\%USERNAME%=R",1, true
     

    Соответственно, после последних "субинаклов" права к веткам у пользователей пропадали насовсем
    Повторно проверять не хочу.

    Всего записей: 693 | Зарегистр. 04-03-2007 | Отправлено: 13:24 10-08-2009 | Исправлено: FL0od13, 13:25 10-08-2009
    Master_Alex



    Full Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    greenfox

    Цитата:
    Но что-то в настройках пользовательских ПК всё равно остаётся возможность отключить ремоут асситанс сняв соот-ю галку (это св-ва мой комп - ремоут - remote assistance)
    как же её залочить если у тебя пользователи имеют права локальных админов на ПК, так или иначе необходимы только знания чтоб её поставить или убрать даже через реестр. Простому пользователю эта настройка не доступна.

    Всего записей: 516 | Зарегистр. 11-09-2003 | Отправлено: 13:40 10-08-2009
    greenfox



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Master_Alex
    но на той же вкладке ниже Remote Desktop залочен же нормально? (у всех)
     

    ----------
    Три вещи вечны: смерть, налоги и потеря данных...

    Всего записей: 4139 | Зарегистр. 29-07-2003 | Отправлено: 14:12 10-08-2009 | Исправлено: greenfox, 15:03 10-08-2009
    Master_Alex



    Full Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    greenfox
    в ХР у меня залочена (простой юзер)... и кнопка дополнительно тоже
    зато в висте тоже залочена (простой юзер), но можно нажать дополнительно и снять уже там галочку разрешения
     
    Добавлено:
    проверь раздел (ХР СП3)
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server
    у юзера туда только запись должна быть...
    и в этом же разделе, политикой например поставить при логоне постоянно прописывать в реестр
    fAllowToGetHelp = 1 (проверил - именно этот пунк - твоя галочка)

    Всего записей: 516 | Зарегистр. 11-09-2003 | Отправлено: 14:48 10-08-2009
    greenfox



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Master_Alex
    Да под простым юзером галка лочится, точнее лочится само окно - галка в зависимости не снимал ли её кто ранее. Просто скажем если админ компа её снял (а под админом окно доступно) то после применения политики заново (после ребута скажем) она почему то не выставляется назад... хотя пункт "Solicited Remote Assistance" в GP выставлен на все ПК в домене... странно
    Цитата:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server
    у юзера туда только запись должна быть...
    и в этом же разделе, политикой например поставить при логоне постоянно прописывать в реестр
    fAllowToGetHelp = 1
    да это так, просто было интересно почему сама политика не срабатывает.


    ----------
    Три вещи вечны: смерть, налоги и потеря данных...

    Всего записей: 4139 | Зарегистр. 29-07-2003 | Отправлено: 15:28 10-08-2009
    norts

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Уважаемые гуру GPO!
    Возможно ли в WinServer 2003 прикрутить "управление групповыми политиками" как в WinServer 2008, интересует в частности появившиеся возможность управления "настройка" -> "параметры панели управления" через GPO?

    Всего записей: 16 | Зарегистр. 01-04-2008 | Отправлено: 09:35 25-08-2009
    violant



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Подскажите.
    2003 Сервер в домене.
    Есть политика с назв "Завершение работы: разрешать завершение работы системы без выполнения входа в систему".
    Если я правильно понял становится активна кнопка "Завершение работы.." в логон окне.
    Вопрос:
    1)Действует ли она на RDP сессии?
    2)Если пользователь залогонился в консоль (удал или локально неважно) можно ли локально нажать кнопку "Завершить работу..." в логон окне?

    Всего записей: 361 | Зарегистр. 08-11-2006 | Отправлено: 10:54 26-08-2009
    Mafia80



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Нужно чтобы компьютер на 7-ке блокировался, скажем, через 20-30 минут простоя.
    Не нашел в политиках по старым названиям, прошерстил все и не увидел такого.
    Привязывать к скринсейверу не хочу т.к. стоит 5 минут отрубание дисплея..
    Может в шедуллер забить? тогда подскажите коммандную строку для этого.
    Пока при уходе или перед сном жать win+L, но как быть, если врубил на ночь фильму и уснул.. надо чтоб, пока я с утра сплю, к компу никто не подходил ))
     
    Сделал через шедуллер, строка запуска блокировки -  RUNDLL32.EXE user32.dll,LockWorkStation

    Всего записей: 1248 | Зарегистр. 13-06-2005 | Отправлено: 15:02 28-08-2009 | Исправлено: Mafia80, 23:33 28-08-2009
    4il



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Пероблема такова: при попытке изменения прав доступа к ключу реестра с помощью Subinacl выдаёться ошибка:  
    "LookupAccountName : HKEY_LOCAL_MACHINE:administrators 1337 Код защиты данных имеет неверную структуру.
    Current object HKEY_LOCAL_MACHINE will not be processed"
    Как с ней бороться?(

    Всего записей: 325 | Зарегистр. 25-06-2007 | Отправлено: 23:21 28-08-2009
    TrustyM

    Full Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Люди, есть задача по групповым политикам на Windows Server 2008.
    Дано: несколько компьютеров, разные группы пользователей которые могут работать на всех компьютерах. Настроен "общий" объект групповой политики, управляющий разделом настроек "Конфигурация пользователя" для всех пользователей заходящих на любой компьютер домена.
    Нужно: При вхождении на определенный (один) компьютер из домена нужно чтобы для "определенной" группы пользователей применялись другие (особенные) настройки раздела "Конфигурация пользователя", отличающиеся от соответствующих настроек "общего" объекта групповой политики. В это же время при вхождении пользователей из этой "определенной" группы на любой другой компьютер из домена к ним должны применяться настройки раздела "Конфигурация пользователя" из "общего" объекта групповой политики.
     
    Как это можно сделать? Перечитал массу литературы в интернете, но так и не понял как это сделать пошагово. Заранее спасибо за помощь!

    Всего записей: 419 | Зарегистр. 02-08-2006 | Отправлено: 16:05 09-09-2009
    ra1n



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Всем доброго утра
     
    Есть OU, в нём компьютеры. На некоторые политика накладывается, на некоторые нет, попадает в отфильтрованные, как так? В чем может быть причина?

    Всего записей: 327 | Зарегистр. 22-12-2006 | Отправлено: 08:53 10-09-2009
    niichavo



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    ra1n

    Цитата:
    В чем может быть причина?

    Например, в Security Filtering в Group Policy Management. Может, в этом фильтре есть группа, в которую входят не все юзвери и/или компы, для которых ты бы желал применить политику. Или просто отсутствует группа Authenticated Users.
     
    А так, уже были вопросы-ответы про выборочное применение политик.

    Всего записей: 836 | Зарегистр. 14-09-2005 | Отправлено: 09:49 10-09-2009 | Исправлено: niichavo, 09:49 10-09-2009
    WildWildUser



    Junior Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    добрейшее время суток. Поскажите, можно ли с помощью групповых политик (домен Windows 2k) заставить клиентские компьютеры под управлением Windows XP автоматом грузиться с Adjust for best performance (Обеспечить наилучшее быстродействие) -> System Properties- Advanced - Perfomance (Свойства системы - Дополнительно - Параметры быстродействия)? Заранее благодарен.

    Всего записей: 81 | Зарегистр. 22-04-2006 | Отправлено: 07:15 11-09-2009
    attaattaatta



    Advanced Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    WildWildUser
     
    Любым доступным способом добавлять ключ в ресстр на клиентские машины
     
    [?\Software\Microsoft\Windows\Curr entVersion\Explorer\VisualEffects]
    "VisualFXSetting"=dword:00000002
     
    Что должно быть вместо вопроса я не знаю, надо теститировать. Это либо HKLM, либо HKCU, ну или любое =)

    Всего записей: 1114 | Зарегистр. 25-09-2007 | Отправлено: 16:53 11-09-2009 | Исправлено: attaattaatta, 16:54 11-09-2009
    WildWildUser



    Junior Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

    Цитата:
    Что должно быть вместо вопроса я не знаю, надо теститировать. Это либо HKLM, либо HKCU, ну или любое =)  

     
    должно быть HKCU

    Всего записей: 81 | Зарегистр. 22-04-2006 | Отправлено: 09:44 14-09-2009
    SHiSHok



    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    После переустановки домена с 2000 на 2003 в локальных политиках стали недоступны для редактирования 3 политики в Local Policies->User Right Assignment:
    1)Access this computer from the network
    2)Allow log on locally
    3)Allow log on through Terminal Services
     
    мне надо правильно раздать права для Локальных пользователей IIS (IUSR_Machine , IWAM_Machine , IIS_WPG ) на сервере входящем в домен.

    Всего записей: 13 | Зарегистр. 24-04-2003 | Отправлено: 18:04 14-09-2009
    Alukardd



    Gold Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Доброго времени суток.
    Нарисовалась проблема следующего типа - не срабатывают парочка политик:
    а именно
    1 - Не применяются настройки для IE User Configuration>Windows Settings>IE Maintenanse>Connection>Automatic Browser Configuration активирую галочку применять и прописал туды путь до *.pac файла.
    2 - воткнул *.adm шаблон по поводу USBSTOR. эффекта 0! пользователи как могли вставлять флэшку так и могут.(((
     
    И еще есть небольшие непонятки. Сам назапрещал 1-ой группе кучу всего, среди прочего как-то запретил им любое взаимодействие с сеткой кроме уже подключенных сетевых дисков. Всё прекрасно пашет я доволен, но тут появилась необходимость еще 1 группе пользователей запретить те же действия и я ни как не могу понять почему у одних запрет висит. а у 2х только часть. Меня щас волнует как запретить просмотр сетки путем строки адреса -
    Код:
    \\192.168.xxx.xxx\public
    такое должно выдаваь как и у первых типо доступ запрещен. Политики двух групп сравнивал кучу раз и из различий нашол только то что 1-ой группе нароч закрыт доступ к панели управления и к диску С. Может ли это влиять на их права просмотр шар?

    Всего записей: 6311 | Зарегистр. 28-08-2008 | Отправлено: 01:03 16-09-2009 | Исправлено: Alukardd, 01:04 16-09-2009
    erve

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Люди. такая проблема.
    IE 7-8 не проигрывает флеш анимацию, хотя флеш плеер стоит.
    Грешу на групповые политики.
    Нашел там кое-что про анимацию - разрешил, без толку.
    Может кто сталкивался/поможет?..

    Всего записей: 81 | Зарегистр. 28-08-2006 | Отправлено: 18:29 16-09-2009
    attaattaatta



    Advanced Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    erve
     
    первым делом сбросьте поностью все настройки по-умолчанию
     


    ----------
    Фрилансю

    Всего записей: 1114 | Зарегистр. 25-09-2007 | Отправлено: 04:43 17-09-2009
    Открыть новую тему     Написать ответ в эту тему

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Групповые политики (Group Policy, GPO): документация, ссылки

    Имя:
    Пароль:
    Сообщение

    Для вставки имени, кликните на нем.

    Опции сообщенияДобавить свою подпись
    Подписаться на получение ответов по e-mail
    Добавить тему в личные закладки
    Разрешить смайлики?
    Запретить коды


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.Board
    © Ru.Board 2000-2020

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru