Групповая политика
 

Ситуация следующая. Я попытался разобрать в настройках групповой политики. И поставил ветку реестра HKEY_CLASSES_ROOT только для чтения одним пользователем. Зачем это я сделал ? Сам не знаю. И естественно, что нормально Windows не загружается. Кто-нибудь может посоветовать как это убрать. Я предположил что если убрать групповую политику с контейнера к которому относился этот компьютер, то вернется все обратно. Но этого не произошло. Кто-нибудь знает что делать?

Попробуй загрузиться с дискеты с программой chntpswd от Peter Nordhal,
там есть редактор реестра, загружается в Сислинукс.Найти эту прогу легко, пользуйся поиском, адрес что-то вроде ----home.eunet---/pnordahl---
Удачи!
ЗЫ Или есть диск ЕРД Коммандер с редактором реестра,только не уверен,что он может редактировать эту ветку реестра.

или offline nt password recovery, вроде так называется
пользовался - работает...

Group Policy на домене с Active Directory
 

Ситуация такая :
У нас на работе сеть, юзвери (в том числе я) логинятся на домен (на всех машинах - 2К), откуда и прилепляется Group Plocy Object (GPO), ограничивающий в правах. Есть юзер, по недосмотру забытый админом, у которого админские привелегии. Через него можно запустить mmc и редактировать GP как угодно.. но! невозможно редактировать конкретных юзверей на домене! А редактировать GP для всей группы низзя - заметят.
Знаю, что можно это сделать через adminpak.msi, но эта гадость не ставится без установочного диска 2k. CD-Rom'ов нет . Причём, что обидно - ставится почти полностью, но под самый конец (при копировании какого-то DLL) просит засунуть диск и ни в какую.. Я уже пробовал на этом этапе через task manager вырубить процесс установки - хрена с два, ничего в итоге не ставится. По идее, результатом установки должны стать новые фичеры в mmc > add/remove snap in, и один из них - редактирование юзверей, т.е. мне с определённого юзверя надо убрать гнусный GPO, который в правах ограничивает. Названия DLL, на котором всё затыкается, сейчас не припомню, но была у меня мысль просто засунуть его в system32, куда все они засандаливаются, дык в гугле я его не нашёл..

Есть у кого соображения? Заранее признателен!

Попробуй найти программу hyena версии пятой или Pointdev Ideal Administration. Эти проги позволяют удаленно админить контроллер домена, или любой другой компьютер домена. Тудой можно управлять политиками безопасности домена и контроллера домена.

Идея возможно глупая, но все же: если есть админовские права, то можно попробовать на сервере зайти на зашаренные админские ресурсы C$, D$. Может чего интересного там лежит, например, дистрибутив винды.

Гиена как раз страстно просит доставить ей Админпак, что бы хорошо рулить доменом. НО! Я грузил его с мелкософта свежий, и при установке он у меня ничего не требовал - самодостаточный вполне. Теперь ухо нужно держать востро - проще отредактировать политики домена, чем своей локальной машины (которые не перекрываются доменными, естественно).

ну а я о чём..

Всем спасибо, уже неактуально - админы обнаружили вышеуказаного юзверя и сменили ему пароль :(
Так что до следующего раза..

Проблема с Group Policy
 

Приветствую! Возникла небольшая проблема - при попытке вызвать Group Policy (win+r - gpedit.msc) - появляется окно с надписью:
Snap-in Creation failed
The snap-in is not created? it may not be installed properly
Name: Group Policy
CLSID: {8FC0B734-A0E1-11D1-A7D3-0000F87571E3}
Чё с этим делать???? Система - WinXP Pro Eng SP1
После установки системы я вызывал Group Policy, после за не надобностью не пользовался.... Антивири ничего не видят, система вообще-то работает нормально и стабильно, но вот эта ошибка не нравится... :confused:

Ka.Hoona
Сервиспак перенакати... Должно помочь...

Такое бывает, когда "кривой" дистрибутив или ставишь новую ось поверх старой.

Вариант №1:
http://support.microsoft.com/default...&Product=winxp

Вариант №2:
1. Запусти mmc.exe;
2. Зайди в Console -> Add\Remove Snap-in;
3. Найди snap-in без иконки и удали;
4. Сохрани изменения.

Не помогло...
:(


Тоже не помогло, та же беда вылазит... :(
Дистр вроде нормальный, скока не ставил - всё гуд.
Переставлять пока не охота.
Ща попробую вариант №1

политики или?
 

Такой вопрос. Может кто подскажет в какую сторону рыть...
Есть одноранговая сетка. 8 машин вперемешку хр и w2k.
Адреса статические.
Все друг друга в окружении видят. Все замечательно. Казалось бы..
Одна машина под хр не пускает никого из стандартного сетевого окружения.
Однако фаром и + еще если тупо прописать \\gorod\blablabla\
заходим.
В лок. политике включил все. и гостя, и разрешил гостевой вход, и конкретных юзеров прописал.
Не-а. на некоторые папки, где были разрешения юзерам - САМ на себя по сети тоже не заходит.
Даже под админом. Что за ересь? Делал сетку не я, а разбираться что наворочено - нет никакой
возможности. Более никаких данных, увы, предоставить не могу.
Если из этого сумбура кто-то что-нить понял - укажите вектор..

служба.

ok. master-browser

trubey
Проверь TCP/IP настройки у проблемной машины.
Проверь если есть ошибки в Event Log.

не все так просто. вот что помогло:
==
Симптомы:
Все пингуется, инет работает, однако в сетевом окружении ничего не видно, либо при входе в сетевое окружение выдает ошибку
Либо, в большой сети, разделенной на подсети, в сетевом окружении видно не все компьютеры, однако по \\192.168.1.10\ зайти на компьютер в другой подсети можно.

Решение:
Для корректной работы службы броузинга (система в сети Майкрософт, отвечающая за просмотр списков компьютеров в сетевом окружении, регистрацию в этих списках новых компьютеров, корректного завершения работы компьютера с удалением себя из этого списка) в каждой подсети должно работать максимум два-три компьютера с включенной службой браузинга. Один из них становится активным локальным мастер бразуером сети, остальные бэкапными локальными мастер браузерами сети. Распределение ролей происходит в результате выборов, решающими факторами являются - является ли сервер контроллером домена, старшинство операционной системы (т.е. ХР prof выиграет у 2000 Prof, однако 2000 Server выиграет у них обоих), в последнюю очередь при прочих равных условиях также играет роль время аптайма сервера.
Для того, чтобы список компьютеров в сетевом окружении корректно работал в сети, состоящей из несколько широковещательных доменов (т.е. несколько подсетей, разделенных маршрутизаторами) необходимо, чтобы был в наличии Доменный мастер браузер (он есть только на контроллерах домена) и средство связи между локальными мастер браузерами и доменным мастер браузером - WINS сервер, в котором прописываются адреса всех броузеров.
==
Более подробно описано на hттp://forum.sysadmins.ru/5/49026/

Групповая политика и разрешенные сайты.
 

В общем задача такая есть группа пользователей которым нужно
разрешить доступ только к определенным сайтам(60 шт).

Возможно ли такое с помощью групповых политик?

Если да то как?


домен на вин 2000 сервер прокси нету все ходят через cisco pix(шлюз) в нет, на шлюзе это сделать я не могу (нет доступа+указка сверху сделать все в винде).

попробовал такой вариант задавать несуществующий прокси и в настройках прописать сайты которым ходить без прокси, НО сайтов 60 штук и все они в одну гп не влазиют создаю две одинаковые с разным набором сайтов не пашет.

мужики помогите задача очень срочная.

Попробуй поставить фаэрвол, в котором разреши обращение только на определенные ip сайтов.
В принципе, если настроен нат, то можно тоже самое сделать в через него с помощью фильтра по ip.
Хотя на мой взгляд лучше поставить прокси, и там уже прописать сайты, к которым есть доступ. покраеней мере, можно контролировать время работы и объем трафика.

если юзеры ходят в инет только через эксплорер то можно через
Content Advisor in Content tab-Internet options

да-да...::
[Свойства обозревателя/Содержание/Безопасность] [Надежные узлы]
[Свойства обозревателя/Содержание/Ограничение доступа] [Включить] [Разрешенные узлы]
и импортировать это дело в gpedit.msc:
[Конфигурация пользователя/Конфигурация Windows/Настройка Internet Explorer/Безопастность] [Параметры безопасности и конфиденциальности] :
[Импортировать текущие параметры безопасности и конфиденциальности] и
[Импортировать текущие параметры оценки содержимого]

Group Policy Objects
 

Вопрос - где в настройках GP сделать доступным использование флэш карт. а то читать можно, а записывать нельзя. я просто немогу понять как они вообще называются в терминологии win2k. если removable media то там есть пункт только касательно их отключеения от системы, но это не то...

групповая политика
 

Не могу открыть это окно, набираю в пуск/выполнить gpedit.msc. Вылазит окно с ошибкой, точный текст:" Windows не удалось найти 'gpedit.msc'. Проверьте, что имя было введено правильно, и повторите попытку. Чтобы выполнить поиск файла, нажмите кнопку "Пуск", а затем выберите команду "Найти". Искал поиском найти ничего не удалось, винда стоит Home Edition, лицензионная.

А в Home вообще по умолчанию это дело есть ? Попробуй запустить mmc - если найдешь и через нее добавить оснастку.

В Windows XP Home по-умолчанию нет групповой политики.

Group policy
 

Как запретить назатие правоы кнопки мишки?

С помощью GP, ИМХО, - никак.

jafar, будь вниматильнее. Устное предупреждение за дублирование тем.
Объединяю.

ну почему же.. если надо отменить вызов контестного меню на рабочем столе или виндовом меню, то не вопрос - именно там

Я вот тоже доковырялся и на сервере и на станции у себя. Хотя на сервере прямо добавлял в права на разделы и ветки и "систему" и "администраторов домена" всё равно система "легла боком". На станции WXPSP2 в процессе поиска решения серверной проблемы запускал secadd.exe и что то произошло.
This program is used to remove the Everyone group from a
specified Registry key in the HKEY_LOCAL_MACHINE hive
or add read privleges to a user on a specified registry key.
Usage RegSecAdd -l(Local) KeyName
RegSecAdd -r \\ServerName KeyName to remove the Everyone group.
RegSecAdd -l -a KeyName UserName to add read permissions to a key locally.
RegSecAdd -r -a \\ServerName KeyName UserName to add read permissions to a key remotely.
Example RegSec -l -a software\microsoft Domain\User.
Не запускается профиль. Говорит нет прав доступа. Администраторы локального компьютера (к которому относится и незагружающийся доменный пользователь) имеют доступ ко всему содержимому c:\document and settings\user\.
Натолкните на мысль, пожалуйста.
P.S. в стандартных шаблонах безопасности нет ни одного, чтобы менял права достпа на реестр. Как правильно устанавливать права доступа на ветки реестра, чтобы не было "мучительно больно"?... :молись: :help: :молись: :help: :молись:

Трабл с Локальной политикой безопасности
 

WinXP SP2 Corp Rus
С некоторых пор при попытке открыть в Администрировании -> Локальная политика безопасности ругается. Словами описывать не буду, лучше скрин посмотрите:

Второй скрин - это само окно где по идее я должен настраивать политику юзеров, компа и т.д.

Описание и решение твоей проблемы смотри тут:

http://support.microsoft.com/default...b;en-us;826282 :contract:

Политики ограниченного использования программ в Win2000
 

Подскажите пожалуйста как в Виндовс2000Сервер можно реализовать всё то, что можно сделать в ВинХр вот здесь:-->
Администрирование - Локальная политика безопасности - Политики ограниченного использования программ.
Тоисть:
1.чтобы стал невозможен запуск любых exe файлов кроме тех директорий,
которые я выделил
2.Чтобы пользователь не мог инсталлить свои программы.
Также запрет на запуск конкретного файла.(правило хеша)

Дамы и господа, а кто чем пользуется для создания политик?
Не poledit и не тулза от MS, она лишь под XP и 2003, а у меня W2K.
Проблема в том, что нужно создать несколько десятков политик, а стандартный путь не совсем удобен.

Naharar, ну, стандартный gpedit.msc
и GPMC (Group Policy Management Console) но это уже для 2003

а вообще их же можно и и скопировать, но предварительно инициировать стандартно, поскольку уникальный идентификатор все же генерить нада... а потом еще же есть и наследование (контейнер в контейнер и тп.)...

опиши подробнее что нужно, может что и будет посущественнее... :)

ОК, у меня попросту задача создать несколько десятков вариантов групповых политик для нескольких разных AD.
gpedit.msc известен и используется.
GPMC использовать не могу, т.к. сеть только из W2K, как серверов, так и станций. Миграция на W2003 нежелательна (Сеть рабочая и работающая 24/7/365, посему экспериментировать на ней чревато), но, если GPMC сможет поддержать нижеуказанные требования, буду переходить.

Под разные АРМы есть политики, но проработка каждой чревата временем.
Пока единственным вариантом является работа через виртуальную машину, но это забирает немало времени. Да, все политики хранятся локально и спокойно подвязываются.

Хочется... Хочется странного - возможности редактировать несколько политик с выведением полной информации, что именно эта политика делает (должна делать). Этакий конструктор.

локальные политики безопасности в XP HOME Edition
 

Подскажите пожалуйста, где и как настроить политики для пользователей, не могу найти, понимаю что можно другими средставми, грубо говоря через реестр, но хотелось как то через готовую консоль.

И еще, не могу зайти как администратор, говорит что запрещено политикой безопасности, получается зайти лишь в safe mode, как побороть?

в home - нигде! (это ограничения поставлиные дядей билли -он посчитал что дома это некчиму)
ставь про там все есть

в принципе я так и понял, но тут дело в другом, покупались специально хоме едишины, так как их лицензия дешевле.

Может кто подскжет как можно хотя бы зайти в систему под админом? (кроме как в safe mode)

хм, если я не ошибаюсь, то можно отрубить экран приветствия и входить под тем кем хочешь, вводя соответствующие имена, а еще любой пользователь в хоме обладающий админскими правами=администратор, а не только тот, который кличется Администратором изначально. вроде так:)