Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Групповые политики (Group Policy, GPO): документация, ссылки

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123

Открыть новую тему     Написать ответ в эту тему

lynx



Advanced lynx
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Групповые политики (Group Policy)


  • Групповые политики Active Directory
  • Структура объекта групповой политик
  • Group Policy Administrative Templates Catalog
  • http://www.gpanswers.com/  
  • Windows Server Group Policy Home

    См. также Общие вопросы по Active Directory (AD)

    FAQ

  • Не работают групповые политики
  • Безопасность
  • Восстановление политик
  • Групповые политики + Internet Explorer (IE)
  • Windows Vista & Windows Server 2008
  • Другие вопросы по групповым политикам

    Документация

  • Англоязычная:
  • Русскоязычная:


    Пост подготовлен: G14

  • Всего записей: 11712 | Зарегистр. 08-05-2001 | Отправлено: 19:33 13-12-2004 | Исправлено: Paromshick, 20:16 03-06-2020
    Lovec



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Как запретить пользователям добавлять учетные записи в группу локальных администраторов?
     
    Подробнее.
    Локальный пользователь имея права локального администратора, может добавить доменого пользователя в группу локаных администраторов, т.к. при добавлении нового пользователя в админы, после ввода учетки и пароля доменого пользователя, доступ дается на просмотр существующих в домене учеток и групп (объекты, места). Где надо закрыть доступ, чтобы при указании доменой учетки пользователя, для просмотра списка объектов, пользователю был запрет на просмотр или добавление в группу локальных админов всех, кроме админа домена?

    Всего записей: 1013 | Зарегистр. 29-10-2002 | Отправлено: 11:39 18-11-2010
    PhoenixUA

    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    Где надо закрыть доступ


    Цитата:
    Локальный пользователь имея права локального администратора

    Иначе, имхо, не выйдет...

    Всего записей: 2177 | Зарегистр. 17-11-2005 | Отправлено: 12:34 18-11-2010
    BVV63



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Lovec
    Могу предложить альтернативный "экстремальный" метод .
    1. Для Виндуз не выше XP и 2K3. Запускаете редактор реестра в контексте безопасности локальной системы:

    Код:
    AT <Ближайшее_Время> /Interactive RegEdit.Exe

    Сейчас можно править [HKLM\Security]. Удаляете ключ [HKLM\Security\SAM\Domains\Builtin\Aliases\00000220] (предварительно экспортировав его для возможности восстановления).
    2. Для всех NT-базирующихся Виндуз. Создаёте батник

    Код:
    Reg Export "HKLM\Security\SAM\Domains\Builtin\Aliases\00000220" <Reg-файл>
    Reg Delete /V "HKLM\Security\SAM\Domains\Builtin\Aliases\00000220" /F /VA

    Шедулите задание, запускающее его, затем командой

    Код:
    SchTasks /Change /TN <Имя_задания> /Ru System

    указываете, что оно должно выполняться в контексте безопасности локальной системы. Ну и запускаете задание.
    Или, как альтернативный вариант, эти две команды можно выполнить опять же посредством AT.
    После этого группа администраторов как бы существует на компе, но не отображается в графической оснастке. Через

    Код:
    Net LocalGroup

    она отображается, но добавить в неё также никого не получится.
     
    Добавлено:
    Кстати, батник можно запускать при помощи "PSExec" (из "Sysinternals Suite") с ключом -S. В этом случае "PSExec" запустит его на указанных удалённых компах в контексте локальной системы. Это позволит централизованно "нейтрализовать" группу локальных админов.
     
    Добавлено:
    Да, интересно также поиграться в групповой политике с "Restricted Groups". Но тут имеются непонятки. Когда добавленный в админы доменный пользователь будет логиниться, политика отработает, и он будет удалён из админов. Вот только успеет ли он получить админские привилегии или система сразу его пошлёт куда подальше? Поэкспериментируйте.

    Всего записей: 3542 | Зарегистр. 17-08-2009 | Отправлено: 08:10 19-11-2010 | Исправлено: BVV63, 08:45 19-11-2010
    DIAEclipse

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Здравствуйте. Поискал на форуме особо ничего не нашел. В данном разделе точных советов тоже не нашел. Есть WinSerever 2008R2 и парк машин на Win7 Prof. На сервере поднят терминальный сервак и все там работают. Вопрос, как заблокировать рабочие станции при простое в 5 минут, но не блокировать сам терминальный сеанс, чтобы не вводить два раза пароль разблокировки. На сам терминальный сервер накатывается своя политика, сами машины (сервера) вынесены из области действия DefaultDomainPolicy, но в последней указано блокирование по средствам скринсейвера с паролем. Получается что когда пользователь подключается к терминалу то забирает настройки политики с собой по части пользователя и терминальный сеанс также блокируется через время как и локальная машина пользователя, как это исключить. Совет по отмене политики считаю неприемлемым. В политике распространяющейся на терминал время включения скринсейвера не прописано.

    Всего записей: 81 | Зарегистр. 30-12-2009 | Отправлено: 10:46 25-11-2010 | Исправлено: DIAEclipse, 10:49 25-11-2010
    RemComm



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    DIAEclipse
    Как мне известно, эта проблема уже долгое время не имеет красивого решения. Политика пользователя будет применяться на любой рабочей станции или сервере, куда пользователь выполняет логин. Для политики невозможно создать сложный критерий применения (пользователь + компьютер). Возможно, ситуацию на w2008 + w7 как-то может исправить SSO.

    Всего записей: 756 | Зарегистр. 30-09-2003 | Отправлено: 11:08 25-11-2010 | Исправлено: RemComm, 11:09 25-11-2010
    DIAEclipse

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    я пока не разобрался, домен один и это ооочень гадит, когда по два раза пароль вводить надо для разблокировки. Либо компы тогда не блокируются а это не есть гуд По поводу SSO. Не прокатит, потому как без авторизации терминальный сервер ну не как не могу оставить. Так тчо это отпадает

    Всего записей: 81 | Зарегистр. 30-12-2009 | Отправлено: 11:14 25-11-2010 | Исправлено: DIAEclipse, 11:16 25-11-2010
    fedmun

    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    DIAEclipse
    Все давно и красиво решено.
    loopback policy Режим замыкания при обработке групповой политики

    Пример со скринсейвером

    Всего записей: 1355 | Зарегистр. 13-06-2002 | Отправлено: 11:59 25-11-2010
    DIAEclipse

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    fedmun, возможно ты не понял мне надо чтобы только параметр скринсейвера не передавался, потому как остальные политики пользователя должны работать. Вот в чем беда

    Всего записей: 81 | Зарегистр. 30-12-2009 | Отправлено: 12:12 25-11-2010
    fedmun

    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    DIAEclipse
    У меня станции блокируются через 15 минут.
    Терминальные сессии - не блокируются.
    Все реализовано через loopback policy

    Всего записей: 1355 | Зарегистр. 13-06-2002 | Отправлено: 12:14 25-11-2010
    DIAEclipse

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    fedmun
    А у тебя политика сама то применяется на терминалку . По-моему так нет, ты ее откидываешь, и если у тебя заданы на пользователя параметры размещения pst файла outlook то ты их в терминале в итоге не применяешь и многое другое. А дублировать политику пользователя на терминалы я не хочу, потому как половина работает так половина локально и у всех всегда должно быть одинаково . Либо придется отслеживать все параметры в двух политиках а енто неудобно
     
    Добавлено:
    Хотя блокировку можно вынести в отдельную политику . Чет я туплю не по детски

    Всего записей: 81 | Зарегистр. 30-12-2009 | Отправлено: 12:17 25-11-2010 | Исправлено: DIAEclipse, 12:18 25-11-2010
    fedmun

    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    DIAEclipse
    Почитайте все-таки ,что это такое - loopback policy.
    Нигде ничего не откидывается.
    Политика переопределяется при входе пользователя на компьютер, на который применяется политика с режимом замыкания.
    Поставите там запрет скринсейвера - не будет применяться.

    Всего записей: 1355 | Зарегистр. 13-06-2002 | Отправлено: 12:21 25-11-2010
    DIAEclipse

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    fedmun
    На сколько я понял из прочитанного все параметры будут замыкаться, так что если надо какой то один параметр замкнуть, то надо выносить его в отдельную политику, иначе полностью все параметры замкнешь
     
    Добавлено:
    fedmun
    Поправь меня, если я не прав, что создавать группу безопасности дополнительно в которую ты вносишь опять группы (или участников подразделения) немного глупо. Проще сразу указать в фильтре безопасности политики необходимые группы (организационные еденицы) на которые ты хочешь распространять политику, удалив при этом "Прошедшие проверку"

    Всего записей: 81 | Зарегистр. 30-12-2009 | Отправлено: 12:25 25-11-2010
    Refugee

    Full Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    DIAEclipse
    как применять политику только на сервере

    Всего записей: 512 | Зарегистр. 31-03-2004 | Отправлено: 12:49 25-11-2010
    fedmun

    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    DIAEclipse

    Цитата:
    На сколько я понял из прочитанного все параметры будут замыкаться

    По умолчанию все параметры политики имеют статус "Не задана"
    Сервер в OU, политику к нему и в ней указать режим замыкания и скринсейвер - запретить.

    Всего записей: 1355 | Зарегистр. 13-06-2002 | Отправлено: 12:55 25-11-2010
    DIAEclipse

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Refugee
    Спасибо, конечно, но у меня немного другая задача. И вопрос о применении политики только на сервере не стоит. И чтобы было более понятно по иерархии (OU) у меня сервера стоят на уровне с рабочими станциями.
     
    Добавлено:
    fedmun
    Давай я скрин кину своей иерархии, тогда может проще будет. Просто у меня смысла замыкания особо и нет, потому как разнесены в разные OU сервера и станции, и по иерархии на одном уровне и DefaultDomainPolicy распределяется только на рабочие станции и пользователей домена прошедших проверку. А в политике на терминалы стоит запрет на запуск скринсейверов, но не прокатывает

    Всего записей: 81 | Зарегистр. 30-12-2009 | Отправлено: 13:00 25-11-2010
    fedmun

    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    А в политике на терминалы стоит запрет на запуск скринсейверов, но не прокатывает

    В ней стоит режим замыкания?

    Всего записей: 1355 | Зарегистр. 13-06-2002 | Отправлено: 13:11 25-11-2010
    DIAEclipse

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    да, только для группы "терминалы". Прошедшие проверку удалены

    Всего записей: 81 | Зарегистр. 30-12-2009 | Отправлено: 13:17 25-11-2010 | Исправлено: DIAEclipse, 13:17 25-11-2010
    fedmun

    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    В режиме замыкания эта политика применится последней.
    Для "прошедших проверку" это означает, что скринсейвер отключиться.
    Так что их как-раз включить и надо.

    Всего записей: 1355 | Зарегистр. 13-06-2002 | Отправлено: 13:20 25-11-2010
    Refugee

    Full Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    DIAEclipse
    сделаейте в OU пользователей две политики, одну с блокированием экрана и WMI фильтром только для workstation, другую без блокирования с фильтром для серверов.

    Всего записей: 512 | Зарегистр. 31-03-2004 | Отправлено: 13:24 25-11-2010
    DIAEclipse

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    fedmun
    Чет я запутался уже. У меня стоит запрет на включение заставки в политике она распространяется на только на OU Терминалы, в данном подразделении находятся несколько серверов и никаких пользователей. В фильтре безопасности политике у меня указаны только сервера - итог заставка включается. менял на Прошедших проверку -  с чтением и применением политики - итог заставка включается
    Кажется догнал в чем дело...щас попробую

    Всего записей: 81 | Зарегистр. 30-12-2009 | Отправлено: 13:28 25-11-2010 | Исправлено: DIAEclipse, 13:36 25-11-2010
    Открыть новую тему     Написать ответ в эту тему

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Групповые политики (Group Policy, GPO): документация, ссылки

    Имя:
    Пароль:
    Сообщение

    Для вставки имени, кликните на нем.

    Опции сообщенияДобавить свою подпись
    Подписаться на получение ответов по e-mail
    Добавить тему в личные закладки
    Разрешить смайлики?
    Запретить коды


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.Board
    © Ru.Board 2000-2020

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru