Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Групповые политики (Group Policy, GPO): документация, ссылки

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124

Открыть новую тему     Написать ответ в эту тему

lynx



Advanced lynx
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Групповые политики (Group Policy)


  • Групповые политики Active Directory
  • Структура объекта групповой политик
  • Group Policy Administrative Templates Catalog
  • http://www.gpanswers.com/  
  • Windows Server Group Policy Home

    См. также Общие вопросы по Active Directory (AD)

    FAQ

  • Не работают групповые политики
  • Безопасность
  • Восстановление политик
  • Групповые политики + Internet Explorer (IE)
  • Windows Vista & Windows Server 2008
  • Другие вопросы по групповым политикам

    Документация

  • Англоязычная:
  • Русскоязычная:


    Пост подготовлен: G14

  • Всего записей: 11712 | Зарегистр. 08-05-2001 | Отправлено: 19:33 13-12-2004 | Исправлено: Paromshick, 20:16 03-06-2020
    monsoon



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    niichavo

    Цитата:
    Какие одновременные ограничения?  

    т.е. тогда имел ввиду, если к примеру в ГП будут заданы компы с01-с25, куда ac25 входить не может и в свойствах учетной записи "Вход на" компы с26-с30, ac25 не сможет войти на c01-c30?  
     
     
    Начал все сначала. Для ac25 в свойствах учетной записи задал вход на все компьютеры.
    Снес созданную политику и группы для Department. Для подразделения Department заново создаю две группы:  
    компьютеров GR_DC, в которую добавляю компьютеры из контейнера Computers, на которые ac25 входить не должен.  
    и админов GR_AC, в которой один пользователь ac25 из контейнера Users. Сразу вопрос, когда я вхожу в Cвойства подразделения Department и обеих вновь созданных групп в вкладке "Безопасность" нужно добавлять GR_AC и назначать какие-либо права?
     
    Перехожу в GPM. Для Department в Delegation нужно кого-то добавлять? Там есть группы Администраторы, System. Создаю политику GP_ac. В Delegation для политики есть группы Администраторы, System, "Прошедшие проверку", последнюю удаляю.  
    Когда во вкладке Scope я в Filtering добавляю GR_DC, она добавляется и в Delegation.
    Далее назначаю  в gp Конфигурация компьютера - Конфигурация Windows - Параметры безопасности - Локальные политики - Назначение прав пользователя и для "Отклонить локальный вход" указываю GR_AC
     
    Вообщем, все равно что-то не получается.
    Сначала включил свой комп в GR_DC. При логине c ac25 пишет, что интерактивный вход в систему запрещен локальной политикой. Все правильно.  
    Но когда я удалил свой комп из GR_DC все равно тоже самое. На всякий случай выполнял на сервере команду gpupdate /force - не помогло.
     
    Также со списком компьютеров, в которые нельзя входить менее удобно работать, по крайней мере мне, т.к. трудно определить, если  на какие-то из них давался временный доступ и нужно его убрать.

    Всего записей: 1251 | Зарегистр. 30-01-2003 | Отправлено: 18:15 09-12-2009 | Исправлено: monsoon, 18:45 09-12-2009
    niichavo



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    monsoon

    Цитата:
    Сразу вопрос, когда я вхожу в Cвойства подразделения Department и обеих вновь созданных групп в вкладке "Безопасность" нужно добавлять GR_AC и назначать какие-либо права?

    Не нужно. Зачем? Что ты этим хочешь сделать?

    Цитата:
    Для Department в Delegation нужно кого-то добавлять?

    Не нужно. Зачем? Что ты этим хочешь сделать? Ты читал что такое Delegation?
    Дальше, имхо, опять идут какие-то мало осмысленные действия...
     
    Давай сначала и по порядку.
     
    Задача:
    1. сделать так, чтобы некоторые пользователи могли заходить только на свои компы.
    2. сделать так, чтобы некоторая группа пользователей могла заходить на любой комп из п. 1, но не могла на оставшиеся компы.
     
    Решение:
    1. в св-вах учётки пользователя добавляем его комп. чтоб он мог заходить только на свой. Это ты уже делал успешно, как я понимаю.
     
    Для информации. Групповая политика некоторой OU действует только на те объекты (учётки пользователей и компьютеров, группы не считаются), которые находятся в этой OU (организационной единице). Т.е. если в OU у тебя нет компьютеров, то политика работать не будет. Ей не на что будет действовать.
     
    2. а) Простой подход без всяких Security Filtering. Создаём группу для админов GR_AC (где эта группа будет лежать не важно). Кидаем в эту группу пользователя "админа". Создаём OU "Test". Кладём в эту OU учётки компов, на которые не должен заходить никто из группы GR_AC. Создаём групповую политику gpo_test, привязываем эту политику к OU "Test". Редактируем политику, в "отклонить локальный вход" указываем группу GR_AC.
     
    2. б) Усложнённый вариант. Похоже по реализации на простой вариант, только задача усложняется тем, что в OU "Test" лежат как компы, на который члены группы GR_AC могут заходить, так и те компы на которые не могут. Значит нам нужно применить запрещающую политику избирательно только на определённые компы. Для этого будем использовать Security Filtering. Создаём группу GR_C, в которую положим компы, на которые члены GR_AC заходить не могут. Выделяем групповую политику gpo_test, добавляем GR_C в Security Filtering, а Authenticated Users удаляем.
     
    ВСЁ!

    Всего записей: 836 | Зарегистр. 14-09-2005 | Отправлено: 00:08 10-12-2009 | Исправлено: niichavo, 00:10 10-12-2009
    rkhodjaev



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Народ,
    не подскажите, как быть.
    1. Надо сделать так, чтобы компы пользователей после не активного действия (через n-минут) блокировались бы. А то некоторые уходят с места, забывая о том, что надо блокировать. А приходят кто-то что то сделал и стрелки нам. В GPO поискал, надо через Screen Saver timeout сделать или есть другой вариант?
     
    2. Надо создать учетную запись, который будет сидеть на DC и просматривать только логи. Достаточно ли будет дать Manage audit logs and events? Ему другие привилегии не надо.
     
    Кстати, есть ли книжка или статейка, где описаны меры безопасности в домене через GPO и в общем. Кое что настроено у меня, но хочу по больше. Чтобы бизнес не пострадал от злодеев и при проблемах, ИТ не был крайним.
     
    Спасибо заранее.
     

    Всего записей: 1002 | Зарегистр. 05-05-2006 | Отправлено: 07:16 10-12-2009
    snayper7



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    rkhodjaev
    1. да через заставку пароль и все

    ----------
    2Pac

    Всего записей: 1088 | Зарегистр. 18-07-2006 | Отправлено: 08:47 10-12-2009
    monsoon



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    фу...    кажется, заработало.
    у меня действовала еще локальная политика на компе, к которому должна применяться доменная GP_ac, запрещающая локальный вход всем, кроме админов (ac25 к ним не относится) + не всегда перегружал комп, а лишь завершал сеанс. Полистал версию для печати, попробую команду secedit для w2k.
    Также могло оказывать влияние то, что когда открывается редактор объектов ГП он относится к основному контроллеру домена, а подсоединение идет к вторичному. Раньше замечал, что репликация каких-либо изменений на одном из контроллеров не сразу происходит на другом.
    Сделал пока без групп, но позже попробую и с ними, в теме вроде понятно написано.
    Но, вообще, когда все компы в контейнере Computers, а юзеры в Users как-то удобнее, чем искать их потом по OU.
    niichavo, спасибо за помощь.    

    Всего записей: 1251 | Зарегистр. 30-01-2003 | Отправлено: 15:34 10-12-2009 | Исправлено: monsoon, 15:41 10-12-2009
    niichavo



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    monsoon
    Ну и ладушки!

    Цитата:
    Сделал пока без групп, но позже попробую и с ними

    Можно использовать одновременно как Security Filtering, так и Delegation для более тонкой настройки, если это, конечно, необходимо.

    Цитата:
    Но, вообще, когда все компы в контейнере Computers, а юзеры в Users как-то удобнее, чем искать их потом по OU

    Кому как. niichavo, например, считает, что OU на то и нужны, чтобы всё структурировать по какой-нибудь схеме. Например, по отделам.

    Всего записей: 836 | Зарегистр. 14-09-2005 | Отправлено: 16:17 10-12-2009
    monsoon



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    niichavo

    Цитата:
    OU на то и нужны, чтобы всё структурировать по какой-нибудь схеме. Например, по отделам.

    Созданная ГП выбивается из схемы по отделам. Компы, которые ac25 (не)может админить находятся в разных отделах, для простоты написал с01-с25, и сам ac25 тоже ни одному из тех отделов не принадлежит.  И если появятся подобные схемы, разобраться в этом "лесе" будет сложно.

    Всего записей: 1251 | Зарегистр. 30-01-2003 | Отправлено: 17:18 10-12-2009
    niichavo



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    monsoon

    Цитата:
    Созданная ГП выбивается из схемы по отделам. Компы, которые ac25 (не)может админить находятся в разных отделах

    Если "вырастить" дерево (OU "ЗАО 'рога и копыта' - корень, далее обрастает отделами как ветками), то всё это не имеет никакого значения. Всегда накрайняк можно применить GPO к корню. Что в свою очередь затронет всё дерево. Ну и использовать Security Filtering и/или Delegation чтоб для всех не применялась.

    Всего записей: 836 | Зарегистр. 14-09-2005 | Отправлено: 20:57 10-12-2009
    JekaRus

    Advanced Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    У меня при перезагрузке не все политики применяются. Применение всех заданных политик происходит только через комманду gpupdate /force Как сделать чтоб все политики применялись при загрузке системы.
     
    Добавлено:
    При выполнении комманды gpupdate /force меняется значение ключа реестра. В результирующей политике прописано что выполнялся административный шаблон. Как он мог применяться если я все шаблоны удалил? Где еще могут быть прописаны административные шаблоны?
     
    Добавлено:
    В результирующей политике в разделе административные шаблоны у этой записи написано

    Цитата:
    Этот параметр реестра не соответствует  
    административным шаблонам политик (например, он не  
    задается в ADM-файлах). Возможно, он был определен  
    другой оснасткой.  
     
    Примечание: этот параметр реестра не хранится в  
    разделе политики и поэтому имеет более высокий  
    приоритет. Если объект групповой политики,  
    использующий этот параметр, будет удален, сам  
    параметр сохранится.

     
    Как этот параметр был создан и как его удалить?

    Всего записей: 1021 | Зарегистр. 10-08-2005 | Отправлено: 14:02 16-12-2009
    djrust

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Есть виртуальная машина на ней домен + обычный компьютер win xp pro(sp3 IE8) в домене
     
    1.Набираю mmc
    2.добавляю оснастку - выбираю редактор групповых политик - потом default domain policy
    3.Конфигур.пользователя - конфиг windows -настройки IE
    4.Там задаю прокси или другие настройки
    5 Но они не появляются на win xp pro
     
    Что я делаю не так?
     
    Update:заработало
     
    НО
     
    1.Набираю mmc
    2.добавляю оснастку - выбираю редактор групповых политик - потом default domain policy
    3.Конфигур.Компьютера - конфиг программ -добавляю пакет
    4.Все на это этапе ГУД
    Но
    5.При добавлении административного шаблона(firefox.adm).На всех машинах не появляются параметры прокси(Хотя они заданы
     
    Сдесь прокся не прописывается(((

    Всего записей: 6 | Зарегистр. 30-04-2009 | Отправлено: 16:08 26-12-2009 | Исправлено: djrust, 16:16 26-12-2009
    artemk

    Full Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    доброго времени суток,
     
    можно ли как нибудь отключить локальных администраторов на компьютерах, чтоб пока компьютер в домене, в группу локальные админы входили только члены группы администраторы домена?
     
    в каком месте можно разрешить пользователям домена создавать и использовать подключения к интернету?  

    Всего записей: 593 | Зарегистр. 02-02-2006 | Отправлено: 11:09 13-01-2010
    anton04



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    можно ли как нибудь отключить локальных администраторов на компьютерах

     
    Можно, см. Конфигурация компьютера-Конфигурация Windows-Параметры безопасности-Локальные политики-Параметры безопасности-Учетные записи:Состояние учетной записи "Администратор"

    Всего записей: 2752 | Зарегистр. 14-06-2006 | Отправлено: 12:08 13-01-2010
    FeedEl_Kastro

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Прив.
    впервые за winserv 2008 r2 и возник вопрос. во вкладке свойств юзера (в AD) нет групповых политик. А в gpm возможно оздать политику, но нет административных шиблонов. Подскажите, в какую сторону копать?

    Всего записей: 1 | Зарегистр. 20-01-2010 | Отправлено: 14:49 20-01-2010
    alexsht

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Нужен совет. Есть домен на WS2008. Есть компы и сервера в группе по умолчанию "Компьютеры домена". Хочется чтобы на часть компов в том числе и все новые которые вводятся в домен политиками устанавливались программы и задавался сервер обновлений, на серваки задавался только сервер обновлений, а на "иностранную(нерускую)" часть компов вообще ничего не задавалось.  
    Так сделать можно: создать группы "Сервера домена" переместить в нее сервера, также для иностранцев, а для оставшихся создать политику с фильтром безопасности "Компьютеры домена" в которой задаются установка программ и WSUS? Сервера переносить из группы "Компьютеры домена" безопасно?

    Всего записей: 69 | Зарегистр. 08-08-2007 | Отправлено: 15:50 20-01-2010
    anton04



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    alexsht
     

    Цитата:
    Хочется чтобы на часть компов в том числе и все новые которые вводятся в домен политиками устанавливались программы и  

     
    Делается так, создаётся организационная единица и помещается туда необходимые компы и на организационную единицу навешиваешь GP с нужными параметрами.

    Всего записей: 2752 | Зарегистр. 14-06-2006 | Отправлено: 23:16 20-01-2010
    alexsht

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    Делается так, создаётся организационная единица и помещается туда необходимые компы и на организационную единицу навешиваешь GP с нужными параметрами.

    Хорошо, но я хочу чтобы на новые компы которые в будущем введу в домен сразу применялись политики. Или можно сделать так чтобы новые компы автоматом вводились в какую-то OU, а не в группу "Компьютеры домена?"

    Всего записей: 69 | Зарегистр. 08-08-2007 | Отправлено: 11:05 21-01-2010
    Karlik

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    Хорошо, но я хочу чтобы на новые компы которые в будущем введу в домен сразу применялись политики.

    После ввода компа в домен и его перезагрузки зайти с этого компа через удаленный рабочий стол на контроллер домена и перебросить в нужное OU. Далее или опять перегрузить комп или gpupdate.

    Цитата:
    Или можно сделать так чтобы новые компы автоматом вводились в какую-то OU, а не в группу "Компьютеры домена?"

    Написать или найти на просторах инета скрипт для ввода компа в домен. Можно поискать здесь.

    Всего записей: 79 | Зарегистр. 22-03-2003 | Отправлено: 13:57 21-01-2010
    niichavo



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    alexsht

    Цитата:
    можно сделать так чтобы новые компы автоматом вводились в какую-то OU, а не в группу "Компьютеры домена?"

    Заранее, перед вводом в домен, создай учётку компа в нужной OU

    Всего записей: 836 | Зарегистр. 14-09-2005 | Отправлено: 15:53 21-01-2010
    PhoenixUA

    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    alexsht
    Redirecting the users and computers containers in Active Directory domains
    http://support.microsoft.com/kb/324949
     

    Цитата:
    The target domain must be configured to run in the Windows Server 2003 domain functional level or higher

    Всего записей: 2179 | Зарегистр. 17-11-2005 | Отправлено: 16:17 21-01-2010
    Potapka



    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Доброго всем времени суток)
    Помогите плиз! Завезли недавно нам win7, а домен у нас на win2k3. Есть ли какая-нибудь приблуда для управления всеми политиками win7 с моего dc? Например, я немогу нормально отконфигурить семёрошный файрвол, хотя настроек у него оооч. много))

    Всего записей: 14 | Зарегистр. 01-07-2008 | Отправлено: 23:27 21-01-2010
    Открыть новую тему     Написать ответ в эту тему

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Групповые политики (Group Policy, GPO): документация, ссылки


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.Board
    © Ru.Board 2000-2020

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru