lynx Advanced lynx Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Групповые политики (Group Policy) Групповые политики Active Directory Структура объекта групповой политик Group Policy Administrative Templates Catalog http://www.gpanswers.com/   Windows Server Group Policy Home См. также Общие вопросы по Active Directory (AD) FAQ Не работают групповые политики Безопасность Восстановление политик Групповые политики + Internet Explorer (IE) Windows Vista & Windows Server 2008 Другие вопросы по групповым политикам Документация Англоязычная: Русскоязычная: Пост подготовлен: G14 Всего записей: 11712 | Зарегистр. 08-05-2001 | Отправлено: 19:33 13-12-2004 | Исправлено: Paromshick, 20:16 03-06-2020

torchock Junior Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору vicwanderer Попробую, но ни один ie8 не может загрузить этот элемент ActiveX, а ie6, мозилы могут.. ie7 не проверял..   И еще такой вопрос - почему в ie6 под учеткой админимстратора домена я могу менять настройки хоть и хватает их на 1 сеанс а в ie8 под той же учеткой в win 7 так не выходит, т.е. вообще нельзя никак изменить настройки?   Пробовал запуск от имени Администратора - не помогает.. Всего записей: 78 | Зарегистр. 23-08-2006 | Отправлено: 12:30 30-11-2009

niichavo Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору salavatwest скрипты то есть. вот, например через psexec @complist.txt ... запускай на компах Всего записей: 836 | Зарегистр. 14-09-2005 | Отправлено: 23:29 02-12-2009 | Исправлено: niichavo, 23:32 02-12-2009

monsoon Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Задача есть компы, к примеру, с с01 по с25 и пользователи u01 - u25 каждый пользователь имеет право входа только на свой компьютер, т.е. u01 на c01 и т.д., что задается в свойствах каждой учетной записи в "Вход на". Еще есть пользователь с правами админа, назовем ac25, которому в учетной был прописан вход на все компьютеры c01-c25. Но число компов, которыми он управляет превысило 64 и тут сюрприз - больше 64 ввести нельзя. Прочитал, что можно через GPO. В корне домена в Active Directory создаю подразделение Department. В нем создаю две группы: компьютеров GR_C, в которую добавляю нужные компьютеры из контейнера Computers   и админов GR_AC, в которую пока добавляю одного пользователя ac25 из контейнера Users. В свойствах для подразделения Department создаю групповую политику, например, GPO_ac.   Конфигурация компьютера - Конфигурация Windows - Параметры безопасности - Локальные политики - Назначение прав пользователя и открываем "Локальный вход в систему". Выбираю "Определить указанные ниже политики" и добавляю группу Администраторов домена, Администраторов и созданные GR_C и GR_AC. Или нужно только GR_AC?   А где задавать право чтения для примера, ссылка на который была в шапке какой-то из тем по AD или GPO. Цитата: право чтения политики даешь для HR_computers (удалив Authenticated Users) Также из версии для печати этой темы: Цитата: Теперь для того, чтобы "GPO MineGrouppen" применялось только к группе "MineGrouppen", нужно в Group Policy Management в политике "GPO MineGrouppen" - Security Filtering указать только группу MineGrouppen. Это где задается для rus сервера? В свойствах для подразделения Department - Групповая политика - Свойства GPO_ac - Вкладка "Безопасность"?   Для админа ac25 после этого можно полностью очищать "Вход на" в учетной записи? Право входа только на свой компьютер, т.е. u01 на c01 и т.д. сохраняется?   Всего записей: 1255 | Зарегистр. 30-01-2003 | Отправлено: 14:30 04-12-2009 | Исправлено: monsoon, 14:51 04-12-2009

niichavo Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору monsoon Цитата: Или нужно только GR_AC? GR_C не нужно. Оставь только GR_AC. Цитата: А где задавать право чтения Цитата: В свойствах для подразделения Department - Групповая политика - Свойства GPO_ac - Вкладка "Безопасность"? Нет. Установи Group Policy Management Console там ты и найдёшь Security Filtering. Цитата: Для админа ac25 после этого можно полностью очищать "Вход на" в учетной записи? Да Цитата: Право входа только на свой компьютер, т.е. u01 на c01 и т.д. сохраняется? Сохранится, если не будешь убирать "Вход на" в учетной записи у пользователей u01 - u25. Всего записей: 836 | Зарегистр. 14-09-2005 | Отправлено: 15:06 06-12-2009

bio2008 Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору У меня Win XP и не могу войти под логином Admin пишет эту ошибку "интерактивный вход в систему на данном компе запрещен локальной политикой" как это произошло не знаю сам ни чего не менял. Вошел под другим логином не администратором пробовал запустить как тут http://support.microsoft.com/kb/313222/ru написано но утилита не запускается из за прав доступа и secedit /configure /cfg %windir%\repair\secsetup.inf /db secsetup.sdb /verbose тоже не запускается. Пробовал эту строку вставить в текстовый файл и запустить загрузившись с диска из консоли восстановления но это ни чего не дало. Это secpol.msc тоже из за допуска не запускается. Подскажите что можно сделать? Всего записей: 352 | Зарегистр. 08-11-2008 | Отправлено: 16:35 08-12-2009 | Исправлено: bio2008, 17:07 08-12-2009

niichavo Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору bio2008 Цитата: У меня Win XP и не могу войти под логином Admin пишет эту ошибку как это произошло не знаю сам ни чего не менял... Элементарно. Выполни эту инструкцию тогда поможет.   ЗЫ. Надеюсь, что моё сообщение было полезным и информативным. Всего записей: 836 | Зарегистр. 14-09-2005 | Отправлено: 16:55 08-12-2009

bio2008 Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору niichavo какую эту? Всего записей: 352 | Зарегистр. 08-11-2008 | Отправлено: 16:57 08-12-2009 | Исправлено: bio2008, 16:58 08-12-2009

niichavo Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору bio2008 Цитата: niichavo какую эту? Какой вопрос такой и ответ. Ты своё сообщение читал? Прочти. Какой-то поток сознания. Что у тебя в самом начале написано "...пишет эту ошибку как это произошло не знаю сам ни чего не менял"? Какую эту ошибку? Хочешь быть понятым - приложи усилия. Всего записей: 836 | Зарегистр. 14-09-2005 | Отправлено: 17:05 08-12-2009 | Исправлено: niichavo, 17:08 08-12-2009

bio2008 Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору niichavo извиняюсь исправил. Как теперь для админа включить возможность интерактивного входа? Всего записей: 352 | Зарегистр. 08-11-2008 | Отправлено: 17:09 08-12-2009 | Исправлено: bio2008, 18:58 08-12-2009

niichavo Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору bio2008 - это рабочий комп? в домене? если "да" - то вопросы к вашему админу. - если нет и ты ничего не трогал, то возможно это вирус, проверь на вирусы. - сколько учёток с правами администратора? - в локальной политике безопасности, в "отклонить локальный вход" и "локальный вход в систему" что у тебя? Всего записей: 836 | Зарегистр. 14-09-2005 | Отправлено: 21:29 08-12-2009 | Исправлено: niichavo, 21:35 08-12-2009

bio2008 Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Посмотреть я не могу так как вошел под обычной учетной записью и не открывается эта локальная политика. Одна утечка с правами администратора. Прочитал что для win2000 можно сделать вот так Код: copy c:\winnt\repair\security c:\winnt\system32\config\security если я изменю на   Код: copy c:\windows\repair\security c:\windows\system32\config\security   это может помочь или хуже только будет?   Если не поможет то я загружусь с ERD Commander и попробую восстановить предыдущию точку восстановления. Это ведь поможет? Всего записей: 352 | Зарегистр. 08-11-2008 | Отправлено: 01:41 09-12-2009 | Исправлено: bio2008, 01:42 09-12-2009

monsoon Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору niichavo   Цитата: Установи Group Policy Management Console там ты и найдёшь Security Filtering Установил, попутно был запрос на MSXML, тоже установил. Filtering нашел. Но сколько я не тыкался так доступа для админа ac25 на тестируемый комп из GR_C  не получил. Прежде чем описывать заново (т.к. для подразделения Department  в свойствах уже нет групповых политик все перекочевало в gpmc) м.б. можно сократить количество групп для моей задачи? Т.е. для подразделения Department содать одну группу, в которую включить  пользователя ac25 и компьютеры с01 по с25? Также пока не вычищал у пользователя ac25 в свойствах учетной записи "Вход на", т.к. как-то стремно удалять не убедившись, что все работает через ГП. Всего записей: 1255 | Зарегистр. 30-01-2003 | Отправлено: 11:36 09-12-2009

niichavo Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору monsoon Цитата: Но сколько я не тыкался так доступа для админа ac25 на тестируемый комп из GR_C  не получил Цитата: Также пока не вычищал у пользователя ac25 в свойствах учетной записи "Вход на", т.к. как-то стремно удалять не убедившись, что все работает через ГП. Я так и не понял, получается у тебя админом заходить или нет. И вообще что работает а что нет.   После применения политики - пользователи из u01 - u25 могут заходить только на свои компы? - член группы GR_AC может заходить на любой из компов u01 - u25?   Для проверки работы политики, сделай через эту же оснастку результирующую политику для обычного пользователя, у которого имеются ограничения на вход и для админа. И смотри что мешает.   зы. зачем тебе компьютеры в списке групп локального входа? ты же не сетевой вход, с какого-нить компьютера. какую роль они здесь играют? лучше убрать.   Добавлено: Цитата: м.б. можно сократить количество групп для моей задачи? Как я понимаю. Нужно: - если нужно чтобы политика применялась только для некоторых компов, то создаём группу компов GR_C - группа пользователей (админов) GR_AC, которые могут входить на любой комп из заданного списка компьютеров GR_C   вроде всё. Всего записей: 836 | Зарегистр. 14-09-2005 | Отправлено: 13:12 09-12-2009 | Исправлено: niichavo, 13:16 09-12-2009

monsoon Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору niichavo, спасибо за помощь. Цитата: - пользователи из u01 - u25 могут заходить только на свои компы?   могут т.к. не убирал "Вход на" в учетной записи у пользователей u01 - u25 на соответсвующий компьютер. Цитата: - член группы GR_AC может заходить на любой из компов u01 - u25?   ac25 (член группы GR_AC) входит на любой из этих компов, т.к. тоже его учетную запись я не трогал. Но в группу GR_C я добавил свой комп, назовем MyComp, чтобы для проверки не бегать к другим компам  И пользователем ac25 я не могу войти в домен со своего компьютера.   Цитата: Для проверки работы политики, сделай через эту же оснастку результирующую политику для обычного пользователя, у которого имеются ограничения на вход и для админа. И смотри что мешает.   Сори за ламерский вопрос. Что значит результирующая политика и как посмотреть, что мешает?   Цитата: зачем тебе компьютеры в списке групп локального входа? ты же не сетевой вход, с какого-нить компьютера. какую роль они здесь играют? лучше убрать. бр... кажется начинаю запутываться. А как тогда указать, что ac25 имеет право входить в домен с моего компьютера, если его нигде не указывать? И похоже мне нужно было использовать "Доступ к компьютеру из сети"? Всего записей: 1255 | Зарегистр. 30-01-2003 | Отправлено: 13:44 09-12-2009

niichavo Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: ac25 (член группы GR_AC) входит на любой из этих компов, т.к. тоже его учетную запись я не трогал Ну так попробуй убрать "разрешения на вход" с учётки. Повторяю, что группа компов нужна только в том случае, если ты собираешься ограничивать применение этой групповой политики группой компов. Ну а если эти компы из группы находятся в OU, где есть и другие компы, к которым не нужно такую политику применять, то тут уже нужно задействовать Security Filtering Цитата: Что значит результирующая политика Group Policy Results. То что в итоге, с учётом всех политик применяется на компе и/или пользователе. Цитата: А как тогда указать, что ac25 имеет право входить в домен с моего компьютера Что такое в домен? Как это со своего компьютера? Ты входишь используя доменную аутентификацию на компьютер, не важно какой. Ты не со своего же компьютера подключаешься к другому компьютеру. Ты входишь на комп, который в домене, используя свою доменную пользовательскую учётку. Или что?   Вообще, мне не всё до конца понятно. С пользователями, которые должны заходить на свои компы вроде всё понятно. А вот с тем, кто может заходить на любой комп тех самых пользователей, не очень. Этот "админ" не должен иметь возможность заходить на другие компы, которые не в группе GR_C? Если не должен, то можно просто создать другую политику, которая применяется к остальным компам, где прописать кому "отклонить локальный вход". Если этот пользователь должен заходить на любой комп, даже тот который не в группе GR_C. То тут вообще ничего делать не нужно. Всего записей: 836 | Зарегистр. 14-09-2005 | Отправлено: 14:04 09-12-2009 | Исправлено: niichavo, 14:07 09-12-2009

monsoon Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору niichavo Цитата: Ты входишь используя доменную аутентификацию на компьютер, не важно какой.   ... Ты входишь на комп, который в домене, используя свою доменную пользовательскую учётку. да ты прав, именно так.   Цитата: Этот "админ" не должен иметь возможность заходить на другие компы, которые не в группе GR_C тоже все верно.   Цитата: Если не должен, то можно просто создать другую политику, которая применяется к остальным компам, где прописать кому "отклонить локальный вход". Нет, лучше через "Локальный вход в систему", т.к. компов, куда он входить не должен гораздо... больше.   Цитата: Ну так попробуй убрать "разрешения на вход" с учётки. для выбора дается только "на все компьютеры" и "только указанные компьютеры", т.е. выбрать первый? Одновременно ограничения в учетной и ГП не могут работать?   Не заметил сразу, что ты дописал: Цитата: - если нужно чтобы политика применялась только для некоторых компов, то создаём группу компов GR_C   - группа пользователей (админов) GR_AC, которые могут входить на любой комп из заданного списка компьютеров GR_C Вроде ж так и сделал, кроме очистки входа в учетной ac25. Всего записей: 1255 | Зарегистр. 30-01-2003 | Отправлено: 14:33 09-12-2009

niichavo Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору monsoon Цитата: для выбора дается только "на все компьютеры" и "только указанные компьютеры", т.е. выбрать первый? Одновременно ограничения в учетной и ГП не могут работать? Выбери на "на все компьютеры". Какие одновременные ограничения?   Итак, чтобы ac25 мог заходить на компы GR_C нужно, чтобы ничего не мешало ему ни в "локальный вход в систему" ни в "отклонить локальный вход". Чтобы этот пользователь/группа не могла заходить на другие компы, для этих компов нужно либо убрать (через другую групповую политику, например) этого пользователя из "локальный вход в систему" или прописать в "отклонить локальный вход". Всё. В итого пользователь сможет заходить только на компы из GR_C.   Т.е. достаточно создать только одну политику, в которой этому пользователю не разрешат вход. Всего записей: 836 | Зарегистр. 14-09-2005 | Отправлено: 15:11 09-12-2009

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Групповые политики (Group Policy, GPO): документация, ссылки

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование