Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Групповые политики (Group Policy, GPO): документация, ссылки

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123

Открыть новую тему     Написать ответ в эту тему

lynx



Advanced lynx
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Групповые политики (Group Policy)


  • Групповые политики Active Directory
  • Структура объекта групповой политик
  • Group Policy Administrative Templates Catalog
  • http://www.gpanswers.com/  
  • Windows Server Group Policy Home

    См. также Общие вопросы по Active Directory (AD)

    FAQ

  • Не работают групповые политики
  • Безопасность
  • Восстановление политик
  • Групповые политики + Internet Explorer (IE)
  • Windows Vista & Windows Server 2008
  • Другие вопросы по групповым политикам

    Документация

  • Англоязычная:
  • Русскоязычная:


    Пост подготовлен: G14

  • Всего записей: 11712 | Зарегистр. 08-05-2001 | Отправлено: 19:33 13-12-2004 | Исправлено: Paromshick, 20:16 03-06-2020
    VovaMozg



    Advanced Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Potapka смотрите шапку

    Цитата:
    Статья по ADM и ADMX  

    http://technet.microsoft.com/ru-ru/magazine/2008.01.layout.aspx
     


    ----------
    В конце концов причина причин оказалась в начале начал...

    Всего записей: 761 | Зарегистр. 02-06-2005 | Отправлено: 13:51 29-01-2010
    taravasya



    Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Здравтсвуйте. У меня такой вопрос.
    Система Win7 x64
    Я создал ftp сайт средствами IIS7. Мне нужно сделать так, что-бы пользователи знающие адрес и один на всех логин и пароль могли бы создавать и добавлять файлы и папки. Но не могли бы их удалять или переименовывать.
    Те средства что есть в панели диспетчера служб IIS7 не дают никакого толку. Там только чтение и запись. Если я отключаю запись то пользователь не может создать папку или слить файл. Если включаю запись, то он может спокойненько грохнуть не касающиеся его файлы.
    Я создал группу FTP Users, учетную запись "заказчик" и добавил её в группу FTP Users. Соответственно логином для моих посетителей сделал "заказчик" а паролем - пароль для учетки "заказчик". То-есть по идее они должны авторизироваться как локальный пользователь "заказчик" - так? Попробовал поиграться с разрешениями в свойствах папки в которую они перенаправляются автоматически после авторизации. Там есть подходящие мне разрешения. В частности я отключил - изменение. Но это почему то не срабатывает. Пользователь "заказчик" по-прежнему может удалить файлы и папки не им созданные.
    Как можно реализовать нужный мне набор разрешений?

    Всего записей: 247 | Зарегистр. 16-11-2007 | Отправлено: 21:31 29-01-2010 | Исправлено: taravasya, 21:34 29-01-2010
    denisdenis



    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    У меня домен на Windows 2003, рабочие станции XP pro. подключал сетевой диск политикой user\scripts\logon net use. На Windows 7 ultimate эта политика не подключает диск. gpresult пишет, что политика применена.
    Что сделать, чтобы подключался сетевой диск?
     
    Если запустить тотал от имени администратора, то диск есть. Но политика же применяется к текущему пользователю.

    Всего записей: 149 | Зарегистр. 21-11-2003 | Отправлено: 14:16 01-02-2010 | Исправлено: denisdenis, 16:53 01-02-2010
    alex_party



    Advanced Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Здравствуйте!
    искал ответ на свой вопрос во многих топиках.. конкретно ничего не сказано
    проблема такая. есть отдельная машина без домена с Windows XP Pro, сама по себе, ранее у юзера с правами пользователя был нормальный доступ к дискам С и Д. сейчас почему то нет прав на запись и там и там, при попытке создать файл какой либо, ошибка: отказано в доступе. если дать админовские права ему - все нормально. но надо только чтоб он под бесправным юзером работал. все этого надо добиться только средствами ХР. когда комп в домене, все понятно и просто, проблем нет, а без.. тыкался так и не нашел (домена нет вообще, только рабочая группа, организация маленькая, компьютеров мало) . можно конечно еще NTFS перегнать в FAT32, затем обратно, но это через одно место, гемора больше.

    Всего записей: 1549 | Зарегистр. 24-08-2008 | Отправлено: 08:13 02-02-2010 | Исправлено: alex_party, 08:22 02-02-2010
    NeBabNik

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Ребята!
    Прошу помощи
     
    Есть домен
    Есть компы которые введены в домен
     
    Как запретить доступ к сети (расшаренным папкам) для компьютеров не введенных в домен даже если известен логин и пароль!
     
    По умолчанию, если с компьютера не введенного в домен, попробовать в войти в сеть появляется запрос логина и пароля, и при их знании можно "бродить" по сети.
     
    Как бы это запретить компам не в домене!????

    Всего записей: 84 | Зарегистр. 06-02-2004 | Отправлено: 17:30 02-02-2010
    alex_party



    Advanced Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

    Цитата:
    при попытке создать файл какой либо, ошибка: отказано в доступе...  

    ждал ждал ответа.. так никто и не подсказал ничего. Только Denn29 подсказал, после того как я ему в почту написал за что спасибо ему несказанное! вот решение: "Откройте окно Свойства папки (как это сделать см. выше). На вкладке Вид снимите галочку "Использовать простой общий доступ к файлам и папкам". Теперь щёлкните правой кнопкой на проблемном файле/папке и выберите Свойства. На вкладке Безопасность нажмите Дополнительно..." с первых слов все понятно практически. решение то простое... домен со своими политиками только с толку сбил меня )

    Всего записей: 1549 | Зарегистр. 24-08-2008 | Отправлено: 15:13 04-02-2010 | Исправлено: alex_party, 15:15 04-02-2010
    soulthiefer

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    вопрос к гуру :
    как через гпо выключить все шары которые есть на раб станциях?
    ситуация: в домене с ад на машинках содано просто миллион расшареных папок , создан общий диск который мапится им при логоне но они упорно юзают свои шары ! вот собственно как им поубивать все эти шары ? чтоб папки и доки в них все остались просто с папок снялась шара !

    Всего записей: 40 | Зарегистр. 11-07-2006 | Отправлено: 23:06 05-02-2010
    niichavo



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    soulthiefer

    Цитата:
    как через гпо выключить все шары которые есть на раб станциях?

    В ЖЭПЭО непосредственно нет такой возможности. В нужной ЖЭПЭО используй скрипт в автозагрузке. Например, такой:

    Код:
     
    On Error Resume Next
    strComputer = "."
       
    Set objWMI = GetObject("winmgmts:{impersonationLevel=impersonate}!\\" & strComputer & "\root\cimv2")
    Set colShares = objWMI.ExecQuery("Select * from Win32_Share")
    For Each objShare In colShares
        Select Case UCase(objShare.Name)
            Case "IPC$", "C$", "ADMIN$", "D$", "E$" 'можешь добавить сюда шары, которые не нужно удалять
                'ничего не делаем
            Case Else
                objShare.Delete
        End Select
    Next
     

    или такой:

    Код:
     
    On Error Resume Next
    strComputer = "."
       
    Set objWMI = GetObject("winmgmts:{impersonationLevel=impersonate}!\\" & strComputer & "\root\cimv2")
    Set colShares = objWMI.ExecQuery("Select * from Win32_Share")
    For Each objShare In colShares
        'или можно просто проверь objShare.Type на -2147483648 (C$,D$, ...,ADMIN$), -2147483645 (IPC$).
        If objShare.Type <> -2147483648 And objShare.Type <> -2147483645 then
            objShare.Delete
        End if
    Next
     

    Всего записей: 836 | Зарегистр. 14-09-2005 | Отправлено: 13:36 06-02-2010 | Исправлено: niichavo, 13:42 06-02-2010
    morfiymorfiy

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Подскажите,
     
    есть AD, для пользователей, что работают в Win2003R2SP2 IE6, надо в GPO  
    добавить ряд сайтов в "надежные узы"  
    ---------------  
    gpedit: Конф.польз-Админ.шаблоны-КомпонентыWin.-IE-Панель упр.-Страница безопасности-Список назн.зоны безопасности.  
    Создаю список с номером 2  
    (параметр - http://contoso.com значение - 2), применяю политику, у пользователя исчезает список адресов microsoft, что был ранее, и не добавляется адрес http://contoso.com)  
     
    где рыть ошибку?

    Всего записей: 15 | Зарегистр. 13-11-2008 | Отправлено: 14:32 09-02-2010 | Исправлено: morfiymorfiy, 14:37 09-02-2010
    JekaRus

    Advanced Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Предидущий админ создал в политике административный шаблон по отключению флешек

    CLASS MACHINE
    CATEGORY !!category
     CATEGORY !!categoryname
      POLICY !!policynameusb
       KEYNAME "SYSTEM\CurrentControlSet\Services\USBSTOR"
       EXPLAIN !!explaintextusb
         PART !!labeltextusb DROPDOWNLIST REQUIRED
            VALUENAME "Start"
           ITEMLIST
            NAME !!Disabled VALUE NUMERIC 3 DEFAULT
            NAME !!Enabled VALUE NUMERIC 4
           END ITEMLIST
         END PART
       END POLICY
      END CATEGORY
    END CATEGORY

     
    В результирующей политике написано

    Примечание: этот параметр реестра не хранится в  
    разделе политики и поэтому имеет более высокий  
    приоритет. Если объект групповой политики,  
    использующий этот параметр, будет удален, сам  
    параметр сохранится.

     
    Как корректно удалить применение данного параметра? Простое удаление шаблона не помогает. При комманде gpupdate /force все равно происходит запись в реестр.

    Всего записей: 1021 | Зарегистр. 10-08-2005 | Отправлено: 13:15 12-02-2010 | Исправлено: JekaRus, 15:09 12-02-2010
    virusx1

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Здраствуйте. Подскажите в чем может быть проблема?
    Иероглифы

    Всего записей: 1 | Зарегистр. 25-02-2007 | Отправлено: 10:22 16-02-2010 | Исправлено: virusx1, 10:24 16-02-2010
    niichavo



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    JekaRus
    подключи шаблон, установи в Disabled и будет флешки подключаться.
    другой способ, это скриптом изменить на компах параметр реестра HKLM\SYSTEM\CurrentControlSet\Services\USBSTOR, установить Start в 3
     
    Добавлено:
    virusx1

    Цитата:
    в чем может быть проблема?  

    В шаблоне "Application Error Reporting". Это он у тебя на разных языках повторяется

    Всего записей: 836 | Зарегистр. 14-09-2005 | Отправлено: 13:16 16-02-2010
    MagistrAnatol



    Advanced Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Господа,помогите решить проблему,возможно она уже подымалась, но надо срочно решить, перестали открыватся груповые политики.
    Сделал кое какие изминения, выполнил( в принцыпе и без выполнения тоже самое) gpupdate и после перезагрузки имею ошибку
     
    Тип события:    Ошибка
    Источник события:    Userenv
    Категория события:    Отсутствует
    Код события:    1058
    Дата:        17.02.2010
    Время:        16:08:31
    Пользователь:        NT AUTHORITY\SYSTEM
    Компьютер:    SERVER
    Описание:
    Windows не удалось получить доступ к файлу GPT.INI для объекта групповой политики CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=???,DC=org. Этот файл должен находиться в <\\???.org\sysvol\???.org\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini>. (Не удалось получить данные о конфигурации от контроллера домена. Либо он отключен, либо к нему нет доступа. ). Обработка групповой политики прекращена.  
     
    Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".

    как решить ету проблему???
    Заранее благодарен всем ответившим

    Всего записей: 1963 | Зарегистр. 09-04-2003 | Отправлено: 18:11 17-02-2010 | Исправлено: MagistrAnatol, 18:13 17-02-2010
    Grems



    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    MagistrAnatol,только что такое было тоже, прошло само после завершения репликации.
     
    Во первых проверь, есть ли файл по указанному пути. Может контроллеры еще не успели репликацию провести(сомневаюсь что он 1 у тебя )

    Всего записей: 161 | Зарегистр. 12-04-2005 | Отправлено: 22:17 18-02-2010
    uhi

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Подскажите пожалуйста.
    Нужно пользователю дать доступ к альтернативным устройствам ввода(панель управления -> специальные возможности -> закладка общие )
    галка напротив альтернативных устройств ввода не активна даже у опытного пользователя.. где в GP на локальном компьютере добавить прав(win 2003)?
     

    Всего записей: 37 | Зарегистр. 27-02-2008 | Отправлено: 15:54 19-02-2010 | Исправлено: uhi, 19:29 19-02-2010
    samx

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Помогите разобраться.
    Есть группа пользователей - Per, в ней же расположены ПК этой группы пользователей.
    К этой группе применяются GPO: AllowPC_Per ( Локальный вход в ПК для группы пользователей) и Share_Per( Линк на общую папку).
    Также есть корневые GPO для всех пользователей домена: Inet, Device_Lock, Disable_Firewall.
     
    Необходимо разрешить локальный вход в ПК1 ( OU Per) только одному пользователю из группы Per, - чтобы остальные пользователи из группы Per не смогли зайти на этот компьютер.)  
     
    Создал подразделение NoLocalPC в группе Per, перенес ПК1 туда.
    В закладке Безопасность  NoLocalPC оставил оставил только системные и того пользователя кому нужно заходить локально на этот ПК
     
    Но по прежнему все пользователи из группы AllowPC заходят на этот компьютер.

    Всего записей: 1 | Зарегистр. 06-02-2007 | Отправлено: 11:10 19-03-2010
    re3erw

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Подскажите. кто знает?
     
    Есть домен поднят на 2х Win2003 R2, а так же есть парк машина Win7 профессиональная!
    Раньше когда в парке основными были Win2000 и WinXP - политика заменяющая Настройки соединения в IE заменяла проксю и блокировала доступ в Интернет, а сейчас нет..win7 такая умная...чтов се равно видит прокси - кто-нибудь сталкивался с таким и как победить? как с помощью групповой заблокировать?  
     
    Групповая политика(GP) которая отвечала за подмену настройек IE лежит в корне дерева домена...но почему-то если смотреть по gpresult сначала применяется Default Domein policy, затем созданная и снова Default....по приоритету стоит наша GP первой...и вроде как должна перебивать все другие для конкретных пользователей! Так же в применении этой GP указаны только 3 пользователя - на чтение и запись....а для прошедших проверку ничего не стоит....для WinXp этовсе работает на ура....а вот для Win7 нет....
     

    Всего записей: 4 | Зарегистр. 21-03-2006 | Отправлено: 09:22 23-03-2010
    SHRIKE74



    Advanced Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    re3erw
    переходи на серв 2008

    Всего записей: 983 | Зарегистр. 10-09-2006 | Отправлено: 16:16 23-03-2010
    anton04



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    re3erw
     
    Для того что бы полноценно управлять GPO на машинах с Win7 нужен домен на Windows Server 2008R2.

    Всего записей: 2744 | Зарегистр. 14-06-2006 | Отправлено: 16:38 23-03-2010 | Исправлено: anton04, 16:38 23-03-2010
    azzg



    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    контроллер домена  - win 2003
    комп - win vista
    хочу добавить пользователю домена доступ локального админа
    добавляю через и через менеджер учетных записей и через гпо - доступа админского не появляется
    в чем может быть проблема?

    Всего записей: 28 | Зарегистр. 18-04-2007 | Отправлено: 12:55 24-03-2010
    Открыть новую тему     Написать ответ в эту тему

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Групповые политики (Group Policy, GPO): документация, ссылки

    Имя:
    Пароль:
    Сообщение

    Для вставки имени, кликните на нем.

    Опции сообщенияДобавить свою подпись
    Подписаться на получение ответов по e-mail
    Добавить тему в личные закладки
    Разрешить смайлики?
    Запретить коды


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.Board
    © Ru.Board 2000-2020

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru