Перейти из форума на сайт.


Система IP-видеонаблюдения "Линия". Скачать бесплатную демо-версию для 16 камер. НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Групповые политики (Group Policy, GPO): документация, ссылки

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116

Открыть новую тему     Написать ответ в эту тему

lynx



Advanced lynx
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Групповые политики (Group Policy)


  • Групповые политики Active Directory
  • Структура объекта групповой политик
  • http://www.gpanswers.com/  
  • Windows Server Group Policy Home

    См. также Общие вопросы по Active Directory (AD)

    FAQ

  • Не работают групповые политики
  • Безопасность
  • Восстановление политик
  • Групповые политики + Internet Explorer (IE)
  • Windows Vista & Windows Server 2008
  • Другие вопросы по групповым политикам

    Документация

  • Англоязычная:
  • Русскоязычная:


    Пост подготовлен: G14

  • Всего записей: 11712 | Зарегистр. 08-05-2001 | Отправлено: 19:33 13-12-2004 | Исправлено: Paromshick, 10:25 23-09-2016
    GREENcode

    Full Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

     
    Здесь написано: Конфигурация пользователя. Какого именно пользователя? На компьютере их может быть несколько.

    Всего записей: 455 | Зарегистр. 03-10-2015 | Отправлено: 17:47 28-06-2016
    Alexandr0112

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    GREENcode
    Для локальных политик:
    Если запускать оснастку через выполнить->gpedit.msc, то политики применятся ко всем пользователям. Если сначала запустить mmc и добавить оснастку "Редактор объектов групповой политики", то используя кнопку "обзор"можно будет выбрать конкретного пользователя или группу, к которым применить политики. При этом локальные политики могут быть переопределены политиками домена.
    Для политик домена:
    Список пользователей, к которым применяется политика, определяется через фильтры безопасности на вкладке область.

    Всего записей: 12 | Зарегистр. 03-11-2012 | Отправлено: 21:36 28-06-2016 | Исправлено: Alexandr0112, 21:49 28-06-2016
    GREENcode

    Full Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Alexandr0112

    Цитата:
    Если запускать оснастку через выполнить->gpedit.msc, то политики применятся ко всем пользователям.

    То есть и к Администратору, и к Гостю, и ко всем пользователям, которые создаются после изменения настроек в gpedit.msc?

    Всего записей: 455 | Зарегистр. 03-10-2015 | Отправлено: 18:32 30-06-2016
    Alexandr0112

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    То есть и к Администратору, и к Гостю, и ко всем пользователям, которые создаются после изменения настроек в gpedit.msc?

    Да, политика применится к любой учётке в момент её входа в систему.

    Всего записей: 12 | Зарегистр. 03-11-2012 | Отправлено: 15:31 02-07-2016
    Hunt0rr

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    Коллеги всем привет, выручайте.  
    Какие то чудеса происходят при вводе компа в домен.
    В общем при вводе компа (win7_x32_pro) в домен (Win 2003) подумав выдает следующую ошибку -  
    Не удалось изменить DNS-имя основного контроллера домена на "" для этого компьютера. Будет использоваться прежнее имя "domain.local ". Ошибка:
    Указанный сервер не может выполнить требуемую операцию.
     
    Нажимаю ОК. Пишет добро пожаловать в домен. Перезагрузитесь.
    Перезагружаюсь, машина без всяких проблем просит доменную учетку, все нормально заходит, сеть видит, домен видит, вобщем с виду все ОК. Только есть одно НО! Не применяются 2 политики с домена, точнее по результатам команды gpresult /r этих политик как будто бы и не существует. Команда показывает что часть политик применяется, часть не применяется.  
    Сразу скажу что домен существует давно, разные машины и XP и семерки, проблем никогда не было. На других машинах все отрабатывает как часы.  
    Пробовал: выводить/вводить в домен, удалять учетку в домене, пробовал зайти под другими учетками.
     
    На что грешу, но не знаю куда копать..
    1. На указанную ошибку при вводе в домен.
    2. На то, что это была экспериментальная винда, в плане того, что развернул ранее созданный образ свежеустановленной машины в другом месте. Провел процедуру sysprep для очистки от всех признаков привязки к старому железу. Ранее данная установка в данном домене не разворачивалась. Все настроил как мне нужно, активировал и ввел в домен. Винда лицензия.
     
    В общем уже не знаю куда копать, может кто сталкивался....

     
    В продолжении своей проблемы... вот значит к чему пришел.
    Решил поставить чистую винду. Сразу же ввел ее в домен. Вошла без проблем, все политики применились как надо. Обрадовался,  начал ставить обновления к винде. Не подумав решил поставить сразу пачку обновлений. В общем пришел к тому с чего и начинал - часть политик перестала применяться.
    Получается есть какое то обновление нехорошее, которое непонятным образом портит жизнь. Может кто сталкивался с этим?

    Всего записей: 33 | Зарегистр. 18-09-2009 | Отправлено: 09:11 06-07-2016
    vertex4



    Gold Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Hunt0rr
    оно?

    Всего записей: 9831 | Зарегистр. 29-01-2006 | Отправлено: 09:20 06-07-2016
    Hunt0rr

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    Hunt0rr
    оно?

     
    Спасибо тебе vertex4, оно
     
    Мне конечно уже писал  про это обновление borin

    Цитата:
    это не стоит? kb3163622

     
    Только вот забыл упомянуть что у данного обновления для различных ОС разный номер KB.
     
     
    Выдержка с хабра..

    Цитата:
    «Виновником» такого поведения стало обновление безопасности из статьи KB3163622 (бюллетень безопасности MS16-072, номер KB для различных ОС: KB3159398, KB3163017, KB3163018, KB3163016)

     
    В моем случае этого обновления не было KB3163622, а вот виновником стало - KB3159398.
     
    В общем всем спасибо за помощь.

    Всего записей: 33 | Зарегистр. 18-09-2009 | Отправлено: 10:46 06-07-2016 | Исправлено: Hunt0rr, 10:52 06-07-2016
    Paromshick



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    onedigger

    Цитата:
    Доброго всем дня, коллеги! Беда такая случилась, не приложу умища куда копать. Хочу настроить PDC Windows server 2008R2 как сервер времени в домене. Создаю политику. При настройке синхронизации времени и нажатии применить в GPO появляется такая ошибка:
     
    Необрабатываемое исключение в компоненте приложения. При нажатии кнопки "продолжить" приложение проигнорирует ошибку и попытается продолжить работу.  
    Подробнее:  
     
    Подробная информация об использовании оперативной  
    (JIT) отладки вместо данного диалогового  
    окна содержится в конце этого сообщения.

     
    Добавлено:
       

    Вы с другого компьютера пробовали запустить оснастку?
    Что если создать пустую политику?

    ----------
    Материя - есть устойчивое состояние энергии.

    Всего записей: 1420 | Зарегистр. 12-04-2013 | Отправлено: 13:22 22-09-2016 | Исправлено: Paromshick, 13:29 22-09-2016
    onedigger

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Приветствую всех! Искал свою проблему, но поиск не дал результатов. Может быть здесь светлые головы найдутся? Проблема такая: при изменении параметров групповой политики появляется окошко с ошибкой: и политика не изменяется. В частности пытаюсь настроить простейшее и основное - синхронизацию времени всех компов с контроллером домена.  
    Подробнее здесь Подробная информация об использовании оперативной   (JIT) отладки вместо данного диалогового   окна содержится в конце этого сообщения.
    С другого компа запустить пока нет возможности, запускаю с самого контроллера домена. Пустые политики создаются, но при изменении параметров снова возникает эта ошибка.

    Всего записей: 28 | Зарегистр. 26-05-2014 | Отправлено: 07:46 23-09-2016
    Paromshick



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    onedigger
    Возможно, кто-то поковырял схему и сделал

    Цитата:
    7.Paste the following string into the value to remove write permissions for domain administrators so that only enterprise administrators would have write permissions:
    То есть создать объект можно, но когда он поучит разрешения от схемы

    Цитата:
    When a new Active Directory object is created, the permissions that are specified in the DefaultSecurityDescriptor attribute of its classSchema object in the schema are applied to it. Because of this, when a GPO is created, its groupPolicyContainer object receives its ACL from the DefaultSecurityDescriptor attribute in the CN=Group-Policy-Container,CN=Schema,CN=Configuration,DC=forestroot... object. The Group Policy editor also applies these permissions to the folder, subfolders and files in the Group Policy's template (SYSVOL\Policies\{GPO_GUID}).
    то модифицировать его нельзя.
    Проверьте, что с разрешениями в данной папке. Не правьте их руками, если что, они опять съедут. Правьте через ADSEdit, но придется слегка вникнуть в Security Descriptor Definition Language. На самом деле, видимо просто вставить GUID Domain Admins в соответствующи запрос.
    Источник цитат How to change the default permissions on GPOs in Windows Server 2008 R2, Windows Server 2008, Windows Server 2003, and Windows 2000 Server
    И еще. МС МСом, но не проще ли добавлять себя в нужную группу, на время правки GPO? И удалять после. И правка возможна, и повышенная секьюреность цела...

    ----------
    Материя - есть устойчивое состояние энергии.

    Всего записей: 1420 | Зарегистр. 12-04-2013 | Отправлено: 08:17 23-09-2016
    onedigger

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    [/q]
    [q]Цитата:
    7.Paste the following string into the value to remove write permissions for domain administrators so that only enterprise administrators would have write permissions:
    То есть создать объект можно, но когда он поучит разрешения от схемы  
     
    Цитата:
    When a new Active Directory object is created, the permissions that are specified in the DefaultSecurityDescriptor attribute of its classSchema object in the schema are applied to it. Because of this, when a GPO is created, its groupPolicyContainer object receives its ACL from the DefaultSecurityDescriptor attribute in the CN=Group-Policy-Container,CN=Schema,CN=Configuration,DC=forestroot... object. The Group Policy editor also applies these permissions to the folder, subfolders and files in the Group Policy's template (SYSVOL\Policies\{GPO_GUID}).
    то модифицировать его нельзя.  
    Проверьте, что с разрешениями в данной папке. Не правьте их руками, если что, они опять съедут. Правьте через ADSEdit, но придется слегка вникнуть в Security Descriptor Definition Language. На самом деле, видимо просто вставить GUID Domain Admins в соответствующи запрос.  
    Источник цитат How to change the default permissions on GPOs in Windows Server 2008 R2, Windows Server 2008, Windows Server 2003, and Windows 2000 Server  
    И еще. МС МСом, но не проще ли добавлять себя в нужную группу, на время правки GPO? И удалять после. И правка возможна, и повышенная секьюреность цела...

     
    Редактирование и создание всех политик доступно, остальные я могу изменять, добавлять и удаять. Думаю что дело тут не в доступе. В любом случае спасибо за ответ, я почитаю, попробую.
     
    Кстати, я на PDC под пользователем из группы Администратор схемы. Все права уж точно должны быть

    Всего записей: 28 | Зарегистр. 26-05-2014 | Отправлено: 09:00 23-09-2016 | Исправлено: onedigger, 09:05 23-09-2016
    Paromshick



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    onedigger

    Цитата:
    остальные я могу изменять, добавлять и удаять

    Видимо я не так понял это

    Цитата:
    Пустые политики создаются, но при изменении параметров снова возникает эта ошибка.




    Цитата:
    Все права уж точно должны быть

    Не факт. Мало ли там кто и где порылся. Так например в статье рассматривается разнесение прав Enterprise Admins и Domain Admins на редактирование GPO
    Shema Admins вообще другая песня. Они могут править схему, но при этом не быть админами предприятия или домена. Если я ничего незнаемого не забыл


    Бэкап старой версии шапки под [#]
     


    ----------
    Материя - есть устойчивое состояние энергии.

    Всего записей: 1420 | Зарегистр. 12-04-2013 | Отправлено: 10:32 23-09-2016 | Исправлено: Paromshick, 10:35 23-09-2016
    Xrobak

    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    AD на Windows Server 2012 R2 Standard. В Default Domain Policy по пути Конфигурация компьютера ->  
    Конфигурация Windows -> Параметры безопасности -> Политики учетных записей/Политика паролей
    для политики Максимальный срок действия пароля установлено значение 300 дней. В результирующей политике на компах домена показывает тоже цифру 300 дней, но в реальности каждый месяц юзерам выскакивает сообщение о смене пароля. Как такое может быть?
    Политика домена применяется без проблем.
     
    PS: через net user username так же видно, что пароль приблизительно "живет" целый год, т.е. политики корректно работают.. мистика какая-то.

    Всего записей: 915 | Зарегистр. 16-08-2004 | Отправлено: 15:25 04-10-2016 | Исправлено: Xrobak, 15:48 04-10-2016
    vacs8

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Здравсвуйте.
    Домены lom25, lom26, lom27 и т. д являются дочерними домена «master.local» и объединены в сайт «Lombard policy». В домене «master.local» создана групповая политика с параметрами компьютера и пользователя и применена к сайту «Lombard policy». Компьютер находящийся в домене lom25 игнорирует все настройки и групповые политики не применяются.

    Всего записей: 12 | Зарегистр. 04-09-2013 | Отправлено: 09:20 05-10-2016
    Nand



    Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Xrobak
    vacs8
    GPRESULT /H GPReport.html c проблемных машин в студию...

    Всего записей: 208 | Зарегистр. 27-03-2004 | Отправлено: 07:05 07-10-2016
    vacs8

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    получается что не пк проблемные а что то в домене в настройках, так как gpo которые применены к доменам работают нормально, а вот с сайтом не хотят.
     
     
     
     
     
     
    Программа формирования отчета групповой политики операционной системы
    Microsoft (R) Windows (R) XP версии 2.0
    (С) Корпорация Майкрософт, 1981-2001
     
    Создано на 07.10.2016 в 15:54:00
     
     
     
    RSOP-результаты для LOM25\lom25kassa1 на TEMPGPO : Режим журналирования
    ------------------------------------------------------------------------
     
    Тип ОС:                     Microsoft Windows XP Professional
    Конфигурация ОС:            Рядовая рабочая станция
    Версия ОС:                  5.1.2600
    Имя домена:                 LOM25
    Тип домена:                 Windows 2000
    Имя сайта:                  Lombard-first
    Перемещаемый профиль:                      
    Локальный профиль:          C:\Documents and Settings\lom25kassa1
    Подключение по медленному каналу?:        Нет
     
     
    Конфигурация компьютера
    ------------------------
        CN=TEMPGPO,OU=testgpo,DC=lom25,DC=master,DC=local
        Последнее применение групповой политики:  07.10.2016 at 15:52:07
        Групповая политика была применена с:      lom25dc1.lom25.master.local
        Порог медленной связи групповой политики: 500 kbps
     
        Примененные объекты групповой политики
        ---------------------------------------
            Н/Д
     
        Следующие политики GPO не были приняты, поскольку они отфильтрованы
        --------------------------------------------------------------------
            Политика локальной группы
                Фильтрация:  Не применяется (пусто)
     
        Компьютер является членом следующих групп безопасности:
        -------------------------------------------------------
            Администраторы
            Все
            Пользователи
            СЕТЬ
            Прошедшие проверку
            TEMPGPO$
            Компьютеры домена
             
     
    Конфигурация пользователя
    --------------------------
        CN=Волжский\, Мира 74А,OU=lom25_user,DC=lom25,DC=master,DC=local
        Последнее применение групповой политики:  07.10.2016 at 15:52:07
        Групповая политика была применена с:      lom25dc1.lom25.master.local
        Порог медленной связи групповой политики: 500 kbps
     
        Примененные объекты групповой политики
        ---------------------------------------
            Default Domain Policy
     
        Следующие политики GPO не были приняты, поскольку они отфильтрованы
        --------------------------------------------------------------------
            Политика локальной группы
                Фильтрация:  Не применяется (пусто)
     
        Пользователь является членом следующих групп безопасности:
        ----------------------------------------------------------
            Пользователи домена
            Все
            Пользователи
            ИНТЕРАКТИВНЫЕ
            Прошедшие проверку
            ЛОКАЛЬНЫЕ
            Пользователи терминала 1
            Все Пользователи1
            Пользователи терминала 1-2
           

    Всего записей: 12 | Зарегистр. 04-09-2013 | Отправлено: 15:38 07-10-2016 | Исправлено: vacs8, 16:09 07-10-2016
    obtim



    Gold Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Как настроитьMicrosoft Outlook 2010 так, чтобы в рамках домена подхватывал данные из AD в качестве адресной книги по определенному шаблону для новых пользователей?

    ----------
    Дьявол коварен - он может явиться к нам просто в образе дьявола

    Всего записей: 7781 | Зарегистр. 03-03-2002 | Отправлено: 10:25 10-10-2016
    obtim



    Gold Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Настраиваю FrontmotionFirefox. Политика применяется к машине. Изменения видны, но они доступны для редактирования пользователем. Почему?

    Всего записей: 7781 | Зарегистр. 03-03-2002 | Отправлено: 11:34 11-10-2016
    drsmoll



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    obtim, все верно, в admx прописана область действия class=machine

    Всего записей: 218 | Зарегистр. 13-04-2006 | Отправлено: 16:13 11-10-2016
    obtim



    Gold Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    drsmoll
    Просто на тестовой машине через gpedit на локальной машине, у пользователя нет прав для редактирования настроек Frontmotion, после их применения. А вот если применять через доменные, то тогда есть возможность редактировать.

    Всего записей: 7781 | Зарегистр. 03-03-2002 | Отправлено: 16:20 11-10-2016
    Открыть новую тему     Написать ответ в эту тему

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Групповые политики (Group Policy, GPO): документация, ссылки

    Имя:
    Пароль:
    Сообщение

    Для вставки имени, кликните на нем.

    Опции сообщенияДобавить свою подпись
    Подписаться на получение ответов по e-mail
    Добавить тему в личные закладки
    Разрешить смайлики?
    Запретить коды


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.Board
    © Ru.Board 2000-2017

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru