none
GPO vytvoreni sablony pro uzivatele - TEMPLATE USER

    Dotaz

  • Dobry den,
    nevite nekdo jak jednoduchym a elegantnim zpusobem vytvorit cestovni profil pro cca. 100 lidicek, kteri budou mit stejnou plochu, upravenou nabidku start - pridane zastupce pro spusteni. Pouzivam Win 2008 server a klienty Win XP Prof.
    Nedela se to tak, ze si vytvorim v AD nejaky ucet, pridam ho do ADMINISTRATORS, nastavim mu cestvni profil (home path: \\server\profiles$\%username%, home folder:\\server\folder$\%username% ) pak se prihlasim na serveru, nastavim plochu, upravim nabidku start, atd.


    Dale bych potreboval kde v GPO nastavit hromadne, aby uzivatele co se mi budou prihlasovat na klientske pocitace meli pravo jen jako POWER USERS. Proste aby mi nerozhodili stanici.

    Dekuju moc za prispevky.
    Mejte se hezky.
    20. října 2009 5:38

Odpovědi

  • Brr, domain users a full control .. .. :-P Nemoh sem si prominout, omlouvam se.

    1) je u politiky nastaveno ze se aplikuje zakum ? (ze je na kontejneru, to pisete, jeste na stejne zalozce dole je, kdo na ni ma pristup.. .. Ale predpokladam ze to bude OK
    2) zmente LOCATION jen na DESKTOP. ALL USERS by nemeli mit moznost ovlivnovat a implicitne nemaji (v souborovem systemu)

    Pak nevidim problem a pokud uzivatel je prihlasen, melo by to jet

    Zkuste gpresult /h c:\vysledek.htm
    Co vam to hodi ? Provede se to GPO ?

    23. října 2009 8:03

Všechny reakce

  • - prvni nejdulezitejsi otazka..
          cestovni = ROAM nebo MANDATORY profil ?
          Co z toho potrebujes ?

    - Tak jak to pises to je nesmysl.

    Ad powerusers)
    to nedoporucuju, to neni dobra vec
    1) Uzivatele v domene nech ve skupine domain users
    2) tim ze sou v domain users, jsou na stanici standardne v lokalni skupine USERS
    3) netyka se to GPO toto, ale vlastnosti uzivatele, ve ktere je skupine

    Pokud urcita sorta lidi by MUSELA byt z nakeho duvodu POWER useri, tak rekni, poradim ti jak pomoci GPO tohoto dosahnout. Ale myslim ze to neni potreba, viz vyse. Pripadne pisni co proc potrebujes.
    20. října 2009 6:50
  • Je to ROAMING PROFILE, ale pomoci GPO jsem nastavil pri odhlaseni smazat profil z lokalniho PC --- Delete cached copies of roaming profiles. Takze je to na serveru.

    Ad) PowerUsers - nechci aby mi klienti, nastavovali treba nastaveni IE, menili plochu, tiskarny, apod. 

    Mam studenti a ty vyucuji na pocitacich, chci aby mi nemenili nastaveni klientskych PC. Studenti jsou takovy rejpavy.

    20. října 2009 7:05
  • Do  lokalnich skupin zaradis uzivatele pomoci Restricted Groups politiky. Nicmene vetsinu (control panel, desktop ....) toho zakazes take pres GP a to lepe nez pres clenstvi ve skupinach

    MP
    20. října 2009 7:26
    Moderátor
  • Cdik, chapu to tak, ze musim bezet na pocitac a tam to nastavit a take v GPO? Popis mi navod.
    20. října 2009 7:56
  • Na jaky pocitac? Proste pridas do (zajiste stavajici) domenove politiky. To muzes udelat na jakemkoliv pocitaci v domene kde jsi prihlasen s prislusnymi pravy a mas k dispozici dsa.msc/gpmc.msc

    MP
    20. října 2009 8:00
    Moderátor
  • 1) pokud jde o studenty, UDELEJ TO JAK RIKAM (sem spravce site na skole, mam to zazite z letite praxe problemy co popisujes). Nech je v uctu ve skupine DOMAIN USERS. Na power users ZAPOMEN, nepotrebujes to k nicemu. Tim ti odpadne nake RESTRICTED GROUPS, to u studentu resit NEMUSIS.
    2) jak rika Mira, zbytek (aby nemohli do ovladacich panelu a spol) vyres pomoci GPO - sekce KONFIGURACE UZIVATELE.

    Ad 2) jeste predpoklada samozrejme spravnou strukturu organizacnich slozek, to je velmu dulezite pro cileni GPO a take rozumne vytvorene skupiny uzivatelu (studenti,ucitele,vedeni,spravci,ucetni, ..)

    20. října 2009 8:03
  • Ahoj Miro, mel byh dotazek. Jak se resi to, kdyz mam nejaky program, ktery bych chtel mit pristupny na klientskych stanicich, kde bych mel zastupce na plose a na serveru bych mel nainstalovanej hlavni program. Musim tedy to nainstalovat na serveru, treba nsdilet sitovy disk a klientum pomoci GPO nastavit na plochu nebo do start menu zastupce?

    Dekuju
    21. října 2009 7:16
  • Pokud to ten program umoznuje - tak presne tak.
    Zastupce kazdopadne nemusi byt resen pres GPO (ale muze), staci ho mit v mandatory profilu.
    U roam profilu je to GPO samozrejme lepsi.. ..
    Pouzivam Oboje.

    Kazdopadne pozor na to, ne vse tak jde udelat - nektere programy musi mit zaznamy v HKLM, ci mit spesl knihovny ci zapisy primo v systemu, pak to pouzit nejde.

    Honza
    21. října 2009 8:16
  • Jeste zpek tem zastupcum na plochu,  u uzivatelu ROAMING. Mam win 2008 server standart stanici win xp prof. + SP3. Vytvoril jsem si GPO politiku, zeditoval v ceste USER CONFIGURATION/PREFERENCES/WINDOWS SETTINGS/SHORTCUTS. Zde jsem vytvoril zastupce:
    Name: MAPA
    Target type: FILE SYSTEM OBJECT
    LOCATION: ALL USERS DESKTOP
    Target Path: \\server01\bakalari$\obrazek.bmp
    Ostatni policka prazdny a v zalozce COMMON je zaskrtnuto RUN IN LOGGED-ON ...

    Slozka na serveru \\server01\bakalari$\obrazek.bmp je nasdilena pro DOMAIN USERS - FULL CONTROL.

    Politika je aplikovana na OU zaci, ktery maji samozrejme pristup do slozky. Nemaji ji po prihlaseni pripojenou jako sitovou jednotku, jestli to vadi...
    Ale zkousel jsem i ten adresar  pripojit jako sitovou jednotku S: a pak upravit politiku a pak dat GPUPDATE / FORCE, problem vsak pretrvava.

    Tak nevim v kde je chybicka.
    Jestli Vas neco napadne budu jen rad.
    Diky moc.

    23. října 2009 7:54
  • Brr, domain users a full control .. .. :-P Nemoh sem si prominout, omlouvam se.

    1) je u politiky nastaveno ze se aplikuje zakum ? (ze je na kontejneru, to pisete, jeste na stejne zalozce dole je, kdo na ni ma pristup.. .. Ale predpokladam ze to bude OK
    2) zmente LOCATION jen na DESKTOP. ALL USERS by nemeli mit moznost ovlivnovat a implicitne nemaji (v souborovem systemu)

    Pak nevidim problem a pokud uzivatel je prihlasen, melo by to jet

    Zkuste gpresult /h c:\vysledek.htm
    Co vam to hodi ? Provede se to GPO ?

    23. října 2009 8:03
  • gpresult /h c:\vysledek.htm => nehodi nic.
    Ten FULL CONTROL jsem dal, pac jsem nevedel jestli je to pravy, ale to je jedno.

    GPO se provede, napise hlasku, ze aplikace GPO probehla v poradku. Tak uz nevim.
    23. října 2009 8:17
  • "nehodi nic" .. to znamena co ?

    Ze gpresult zadny soubor nevygeneruje ? Pokdu ano, zmente cestu souboru tam, kde ma prava zapisu ten uzivatel ktereho testujete..
    23. října 2009 8:20
  • Ano, nevygeneruje. Prava zapisu uzivatel ma na Cecko.
    23. října 2009 8:26
  • je ten prikaz spravne?
    23. října 2009 8:30
  • ano je..
    23. října 2009 8:36
  • napada me jeste, maj ty XP vsechny zaplaty z update.microsoft.com ?
    23. října 2009 8:37
  • po prikazu GPRESULT >c:\vysledek.txt s tim prepinacem /H to nejde. Ano mam zaplaty nainstalovany, dokonce jsem to zkousel na VISTAch, kde mam take zaplaty.


    **************VYSLEDEK ZACATEK***********************

    N stroj Microsoft (R) Windows (R) XP Operating System Group Policy Result verze 2.0
    Copyright (C) Microsoft Corp. 1981-2001

    Vytvoýeno na 23.10.2009 ve 10:38:09


    Věsledky RSOP pro GYMCK\sablonaj na POCITAC02 : Re§im pýihlaçov nˇ
    -------------------------------------------------------------------

    Typ OS:                      Syst‚m Microsoft Windows XP Professional
    Konfigurace OS:              ¬lensk  pracovnˇ stanice
    Verze OS:                    5.1.2600
    N zev dom‚ny:                GYMCK
    Typ dom‚ny:                  Windows 2000
    N zev sˇtŘ:                  Default-First-Site-Name
    Cestovnˇ profil:             \\server01\profiles$\sablonaj
    Mˇstnˇ profil:               C:\Documents and Settings\sablonaj.GYMCK
    Pýipojit pomalou linkou?: Ne


    NASTAVENÖ PO¬ÖTA¬E
    -------------------
        CN=POCITAC02,CN=Computers,DC=gymck,DC=local
        Doba poslednˇho pou§itˇ z sady skupiny:   23.10.2009 at 10:27:52
        Z sada skupiny bylo pou§ita z:            server01.gymck.local
        Pr h pomal‚ho pýipojenˇ z sady skupiny:   500 kbps

        Pou§it‚ objekty z sad skupiny
        ------------------------------
            Default Domain Policy
            Mˇstnˇ z sady skupiny

        Poźˇtaź je souź stˇ n sledujˇcˇch skupin zabezpeźenˇ:
        -----------------------------------------------------
            BUILTIN\Administrators
            Everyone
            BUILTIN\Users
            NT AUTHORITY\NETWORK
            NT AUTHORITY\Authenticated Users
            POCITAC02$
            Domain Computers
           

    NASTAVENÖ U¦IVATELE
    --------------------
        CN=jan sablona,OU=zaci,DC=gymck,DC=local
        Doba poslednˇho pou§itˇ z sady skupiny:   23.10.2009 at 10:27:57
        Z sada skupiny bylo pou§ita z:            server01.gymck.local
        Pr h pomal‚ho pýipojenˇ z sady skupiny:   500 kbps

        Pou§it‚ objekty z sad skupiny
        ------------------------------
            zastupci
            Default Domain Policy

        N sledujˇcˇ objekty z sad skupiny nebyly pou§ity, proto§e byly vyfiltrov ny.
        -----------------------------------------------------------------------------
            Mˇstnˇ z sady skupiny
                Filtrov nˇ:  Nepou§ito (pr zdn‚)

        U§ivatel je souź stˇ n sledujˇcˇch skupin zabezpeźenˇ:
        ------------------------------------------------------
            Domain Users
            Everyone
            BUILTIN\Administrators
            BUILTIN\Users
            NT AUTHORITY\INTERACTIVE
            NT AUTHORITY\Authenticated Users
            LOCAL
            Domain Admins
            Denied RODC Password Replication Group
    ********************************VYSLEDEK KONEC***********************************************       

    23. října 2009 8:40
  • Pritom, politika na presmerovani slozek uzivatelum funguje.
    23. října 2009 8:46
  • Zapomnel jsem ze mate CP, tam tento parametr neni, omlouvam se. (samo vyse pak uz je)
    No hlavne ze mame vysledek :)
    Tudiz sablona se opravdu aplikuje.

    Pise se neco v eventlogu na stanici ?
    23. října 2009 8:55
  • Napadaji me 2 veci

    1) pokud je plocha presmerovana, ma ji uzivatel pro zapis povolenou ?

    2) pokud zastupce ukazuje na soubor na sitovem disku (treba Z:) , nesmi tam byt napsano Z:\soubor.exe ale \\server\share\soubor.exe

    23. října 2009 8:59
  • Zadne zavazne chyby:


    Jen tohle:
    Systém Windows zjistil, že u sdílené položky Cestovní profil je zapnuto offline ukládání do mezipaměti. Chcete-li zabránit možnému poškození profilu, je nutné vypnout offline ukládání do mezipaměti u sdílených položek, ve kterých jsou uloženy cestovní profily uživatelů.

    a

    tohle:

    Zásady zabezpečení obsažené v objektech zásad skupin byly úspěšně použity.

    Nic vic se nepise na klientske stanici.

    Nechapu to.

    Co postup, zkusime ho?

     

    23. října 2009 9:03
  • Takze zadnou chyba se zastupci  to nehlasi.
    Mate ve vlastnostech toho zastupce v GPO dano ze se ma VYTVORIT (create) ? Implicitne myslim je aktualizovat.

    Pripadne muzeme skusit postup.
    Ale pripadne drive mi poslete na mejla screeny nastaveni toho zastupce v GPO ( janecek at vos-sps-jicin.cz)
    23. října 2009 9:24
  • Ano CREATE tam mam. Mejla poslu.
    23. října 2009 9:29
  • Mas tam email. dikes
    23. října 2009 9:35
  • Na obrazku koukam ze tam mas LOCATION - START MENU .. .. .. a ne plochu .. ..
    To je cilem ? Pokud jde o to to mit na plose, dej tam DESKTOP.
    H.
    23. října 2009 10:17
  • To je prece jedno, ja to prehazoval, pac jsem  to zkousel. Podstatne je to, ze to ma fungovat.
    Nemyslis...
    23. října 2009 10:39
  • Jo tak, ja abysme to nehledali na plose a nebyl tam preklep :)
    No podle tohohle v pohode, vse je jak ma byt.
    Jelikoz to nikde (hlavne v eventlogu toho pocitace kde se prihlasuje) chybu nehlasi, zkus mrknout jak mas nastavenou v GPO presmerovani plochy .. ..
    To je jedine co me ted napada..
    23. října 2009 11:16
  • Zkousel jsem si udelat noveho uzivatele a tam zadne presmerovani nenastavuji, ani cestovni profil, je v OU ucitele a na ni aplikuji politiku zastupce na plochu. Ale nic. Porad marne.
    23. října 2009 12:57
  • Ahoj, a nebmuze byt chyba napr. v tom, ze stanice je WIN XP PROF CZ a server je Anglicka verze? Jestli to v politikach nevadi nebo se nema neco doinstalovat.
    26. října 2009 6:33
  • Ne, to nema vliv.. Zvlast kdyz rikas, ze nemas v prohlizeci udalosti na stanici zadne chyby tykajici se GPO politik .. ..
    Doinstalovat .. .. jedine co se musi doinstalovat, je lokalni cast politik , aby to fungovalo. A u me funguje skleroza, pac ti nereknu jak se to presne jmenuje, chjo .. .. (nejake rozsireni je v nazvu)
    Ale kazdopadne to je soucast zaplat, takze pokud update.microsoft.com ti nehlasi nic ze by ti chybelo, mas to nainstalovane.
    1) Zkontroluj jeste jednou co ti hlasi prohlizec udalosti na stanici (pripadne mi ho posli)
    2) vypni ukladani do mezipameti u vsech sdileni (ve vlastnostech sdileni te slozky to najdes)
    26. října 2009 7:53
  • Ahoj, neco jsem nasel. v EVENTlogu na stanici mi to pise: Windows cannot access the file gpt.ini for GPO CN=...

    nasel jsem reseni,ale pro Windows Small Business Server 2003, ted nevim jestli to mam pouzit?

    http://support.microsoft.com/kb/888943/en-us
    27. října 2009 10:27
  • Ahoj,
    no, me to pripada podle tech screenu, ze mozna je spatne zabezpecen SYSVOL a neni do nej pristup. Zkontroloval bych opravneni na sysvol a zda je ze stanic uzivatelum dostupna.

    Zkus osefovat toto a pripadne pote smaz na stanici data z aplikacniho a systemoveho logu, restart, prihlas se na nasimulovani chyby a pote oba protokoly uloz a posli mi je mejlem, je to rychlejsi nez obrazky.

    H.
    27. října 2009 10:43
  • Himbajs, sem to rikal :-)  (23. října 2009 8:37)
    Jen sem si nemohl vzpoenout jak se ta zaplata presne jmenuje.. :/ No pro priste. ...
    Takze uz to jede ty zastupci ?
    29. října 2009 8:16
  • Ahoj, jasne uz to funguje. Apropos, kdy jsi mi to rikal, resp. psal, nemuzu si vzpomenout.  Je to zaplata ne standartni, ale volitelna. Dik Mej se.
    29. října 2009 8:21
  • Vsak datum jsem psal vyse .. .. bylo to 23. října 2009 8:37
    Ale to je nepodstatne, kdy jsem to rikal.
    Ad ty zaplaty - je to tak, nektere i dulezite veci jsou treba i ve volitelnych (ne vsichni je potrebuji).
    Nejlepsi je toto poresit pomoci instalace a konfigurace WSUS.
    Pak vse delas jednou, co se tyka zaplat a mas to pod kontrolou.
    29. října 2009 8:37
  • Ja myslel pod pojmen "vsechny zaplaty" zaplaty STANDARTNI/EXPRESS, cili nevolitelne. Promin, ze jsem nepochopil, ze myslis i ve volitelnych .
    29. října 2009 10:35