none
Помощь при применении политики RRS feed

  • Вопрос

  •  Приветствую,

    Просьба помочь, если можно, разобраться с применением групповой политики.
    Вопрос стоит так: "Имеется ОС Windows Server 2003, сеть,  домен, плюс несколько групп пользователей в домене ( в Active Directory - Domains and Users). Возможно ли сконфигурировать групповую политику для хранителя экрана (в частности включение экранной заставки, через заданный промежуток времени, с "запороливанием" рабочего места) для одного определённого компьютера домена (и соответственно для всех пользователей, которые есть на этом рабочем месте), а не для всех.

    Может быть делается что-то не так. Порядок действий такой:
    1).Открываю: Администрирование -> Active Directory - Пользователи и Компьютеры, создаю новое подразделение (допустим Center). Добавляю туда имя компьютера (не пользователя!), к которому должна применяться политика.

    2).Открываю: Администрирование -> Group Policy Management, далее Forest -> Domains -> Имя домена... -> Group Policy Objects. Кликаю правой кнопкой и создаю новую политику, допустим Screen Off.
    Здесь первый вопрос: после создания, когда выбираем эту политику, надо ли добавлять в закладке Scope, в пункте Security Filtering помимо установленных по умолчанию "пользователей прошедших проверку" ещё кого-нибудь?

    3).Далее кликаю правой кнопкой на созданной политике и выбираю Edit. Открывается окно Group Policy Object Editor. Открываю: Конфигурация пользователя -> Административные шаблоны -> Control Panel -> Display.
    -Состояние параметров ScreenSaver и Password Protect меняю на Enabled (Включен).
    -В параметре Screen Saver Timeout выставляю время, до появления заставки.
    -В параметре Screen Saver Executable Name прописываю путь к файлу *.scr, допустим:  %systemroot%\system32\ssmarque.scr (хотя, полагаю, что это и не обязательно).

    4).Далее щёлкаю в дереве домена на контейнере Center (который здесь появляется, после его создания в Active Directory), выбираю из меню пункт Link an Existing GPO, и связываю этот контейнер с созданной политикой Screen Off.

    5).Так как в домене, по умолчанию ко всем подразделениям применяются ещё две политики, ставлю галочку Block Inheritance (блокировать наследие), чтобы настройки политик по умолчанию "не подхватывались".

    6).На компьютере, к которому применяю политику, обновляю данные с помощью командной строки... >gpupdate. Но в свойствах экрана никаких изменений не происходит.

    Также пробовал создавать политику с помощью Group Policy Modeling Wizard, но опять ничего не помогает.

    [b]Примечания по политике Screen Off:[/b]
    -Закладка  Scope:
         Location - Center (Enforced - No, Link Enabled - Yes, Path - имя домена/Center)
         Security Filtering - Прошедшие проверку (ps: также добавлял других пользователей, но безрезультатно)

    -Закладка Details: в пункте GPO Status выбрано Enabled.

    -В закладке Settings поля User Configuration и Computer Configuration помечены как Enabled.

    -В закладке Delegation внесены все нужные пользователи.


    [b]Примечания контейнеру Center, к которому применяем политику:[/b]
    -Закладка Linked Group Policy Object:
         Link Order - 1
         GPO - Screen Off
         Enforced - No
         Link Enabled - Yes
         WMI Filter - none
         Domain - имя домена

    -Закладка Group Policy Inheritance
         Precedence - 1
         GPO - Screen Off
         Location - Center
         GPO Status - Enabled
         WMI Filter - none

    -В закладке Delegation находятся пользователи.

    p.s.: возможно ли сделать установку политики экрана через конфигурацию компьютера а не через конфигурацию пользователя?

    5 февраля 2009 г. 11:11

Ответы

  • у вас есть OU, к которому вы применили групповую политику.
    В групповой политике настроили Конфигурацию пользователя
    В OU находится аккаунт компьютера.. поэтому пользователи зашедшие на комп не получат настройки с данной групповой политики..
    В Конфигурации компьютера настроек скрин-сэйвера нет.
    Я это имел ввиду...

    Да можно настроить локальную групповую политику.

    А так если хотите это сконфигурировать с помощью доменных групповых политик, то:
    1) создаете gpo
    2) настраиваете так как вы делали (в Конфигурации пользователя)
    3) применяете политику к домену или к OU в котором у вас находятся пользователи
    4) применяете фильт wmi (например: select * from Win32_ComputerSystem where Name='COMPNAME')
    5) ну и если необходимо приоритеты различные расставить...
    • Предложено в качестве ответа Gennady Efimov - ge][ 9 февраля 2009 г. 3:40
    • Помечено в качестве ответа alfred cro 10 февраля 2009 г. 14:02
    9 февраля 2009 г. 3:30
  • alfred cro написал:

    Это, как я понял редактирование свойств Групповой политики в политике Локального Компьютера (через gpedit.msc)?

    Это подходит как вариант, но хотелось бы найти решение с помощью применения групповой политики  к этому компьютеру на сервере домена.



    Для решения подобных задач существует режим замыкания (loopback processing): http://support.microsoft.com/kb/231287/ru
    War is peace, freedom is slavery, ignorance is power
    • Предложено в качестве ответа M.V.V. _ 9 февраля 2009 г. 13:43
    • Помечено в качестве ответа alfred cro 10 февраля 2009 г. 14:02
    9 февраля 2009 г. 13:42

Все ответы

  •  В вашем случае нужно отредактировать локальную политику на компьютере в конфигурации пользователя
    5 февраля 2009 г. 11:25
    Отвечающий
  • Это, как я понял редактирование свойств Групповой политики в политике Локального Компьютера (через gpedit.msc)?

    Это подходит как вариант, но хотелось бы найти решение с помощью применения групповой политики  к этому компьютеру на сервере домена.
    5 февраля 2009 г. 11:52
  • Зачем применять групповую политику, чтобы настроить один компьютер. При этом ломая себе и другим моск?

    5 февраля 2009 г. 12:00
    Отвечающий
  • А зачем вы выбираете Конфигурация пользователя, если вы хотите чтобы настройки применялись к Компьютеру - настраивайте Конфигурацию компьютера.

    Фильтрацию в данном случае не нужно настраивать.
    Блокирование наследования тоже необязательно, потому как нижние уровни являются приоритетными.
    Совет еще отключить конфигурацию пользователя вообще для более быстрой обработки политики.

    Если нужно чтобы эти настройки переопределяли настройки пользователей, которые будут входить на настроенные компьютеры, то необходимо сконфигурировать замыкание.

    Хотя честно говоря я не видел настроек скрин-сэйвера для компа :)
    6 февраля 2009 г. 8:28
  •  
    ge][ написал:

    А зачем вы выбираете Конфигурация пользователя, если вы хотите чтобы настройки применялись к Компьютеру - настраивайте Конфигурацию компьютера.

    В том то и дело, что в настройках "Конфигурации компьютера" и слова нету о применении скринсейвера :)
    Эта опция доступна только в конфигурации компьютера.

    ge][ написал:
    Хотя честно говоря я не видел настроек скрин-сэйвера для компа :)

    Выбираете групповую политику локального компьютера (gpedit). Далее смотрите как описано в пункте 3.
    Сконфигурировать эту политику на машине не проблема. Я хочу сделать политику на сервере, и применить её к рабочей машине.

    ge][ написал:


    Если нужно чтобы эти настройки переопределяли настройки пользователей, которые будут входить на настроенные компьютеры, то необходимо сконфигурировать замыкание.

    Надо чтобы для любого пользователя, которые будут входить на рабочее место, применялась одна и та же политика.

    6 февраля 2009 г. 12:29
  • у вас есть OU, к которому вы применили групповую политику.
    В групповой политике настроили Конфигурацию пользователя
    В OU находится аккаунт компьютера.. поэтому пользователи зашедшие на комп не получат настройки с данной групповой политики..
    В Конфигурации компьютера настроек скрин-сэйвера нет.
    Я это имел ввиду...

    Да можно настроить локальную групповую политику.

    А так если хотите это сконфигурировать с помощью доменных групповых политик, то:
    1) создаете gpo
    2) настраиваете так как вы делали (в Конфигурации пользователя)
    3) применяете политику к домену или к OU в котором у вас находятся пользователи
    4) применяете фильт wmi (например: select * from Win32_ComputerSystem where Name='COMPNAME')
    5) ну и если необходимо приоритеты различные расставить...
    • Предложено в качестве ответа Gennady Efimov - ge][ 9 февраля 2009 г. 3:40
    • Помечено в качестве ответа alfred cro 10 февраля 2009 г. 14:02
    9 февраля 2009 г. 3:30
  • alfred cro написал:

    Это, как я понял редактирование свойств Групповой политики в политике Локального Компьютера (через gpedit.msc)?

    Это подходит как вариант, но хотелось бы найти решение с помощью применения групповой политики  к этому компьютеру на сервере домена.



    Для решения подобных задач существует режим замыкания (loopback processing): http://support.microsoft.com/kb/231287/ru
    War is peace, freedom is slavery, ignorance is power
    • Предложено в качестве ответа M.V.V. _ 9 февраля 2009 г. 13:43
    • Помечено в качестве ответа alfred cro 10 февраля 2009 г. 14:02
    9 февраля 2009 г. 13:42
  • vanchello написал:

    Зачем применять групповую политику, чтобы настроить один компьютер. При этом ломая себе и другим моск?



    Например, если этот компьютер - сервер терминалов (сейчас - один, в будующем - часть фермы, а потому локальной политикой пользоваться неудобно).

    War is peace, freedom is slavery, ignorance is power
    9 февраля 2009 г. 13:43
  • M.V.V. написал:


    Для решения подобных задач существует режим замыкания (loopback processing): http://support.microsoft.com/kb/231287/ru
    War is peace, freedom is slavery, ignorance is power


    В данном случае она не нужна. Не чем переопределять пользовательские настройки.
    10 февраля 2009 г. 2:57
  •  
    M.V.V., данный метод пробовал раньше, к сожалению ничего не получилось.


    ge][ написал:

    А так если хотите это сконфигурировать с помощью доменных групповых политик, то:
    1) создаете gpo
    2) настраиваете так как вы делали (в Конфигурации пользователя)
    3) применяете политику к домену или к OU в котором у вас находятся пользователи
    4) применяете фильт wmi (например: select * from Win32_ComputerSystem where Name='COMPNAME')
    5) ну и если необходимо приоритеты различные расставить...

    Это уже ближе к решению :) ХОтя ещё и не работает.

    Правда, вопросец есть:
    -Когда в GPM создаём WMI-фильтр, в поле пространства имён (Namespace) надо оставлять значение root/CIMV2? Вроде бы в нём находится большинство параметров, которые относятся к WMI-машине.

    Как я понял, после применения фильтра к политике, онная будет выполняться только есть значение фильтра будет true? 
    10 февраля 2009 г. 8:49
  • да,  данный класс и его экзампляры находятся в пространстве имен root/cimv2

    да, будет применятся если вернет значение
    10 февраля 2009 г. 9:46
  •  Всё заработало!!! :-)

    Работает, почему-то, если применяю два действия, рекомеднованные M.V.V. и ge][.

    Блокирование наследия, как было сказано, можно убрать.

    Без "замыкания" политика не применяется, т.е. надо на сервере в GP Management отредоктировать политику: Конфигурация компьютера -> Административные шаблоны -> System -> Group Policy , параметр  User Group Policy Loopback Processing Mode надо включить, и выбрать merge, если необходимо слияние политик, или Replace, полная замена (в данном случае, сработало с merge).

    Если ещё в свойствах политики применить фильтр, то можно назначить её только к одному компьютеру.

    Спасибо за помощь )

    10 февраля 2009 г. 14:02
  •  Ещё одна заметка, вроде бы, необходимо чтобы к компьютеру, к которому применяем политику, были запущены службы:
    Локатор удалённого вызова процедур (RPC) и Расширения драйверов WMI (была отключена).
    10 февраля 2009 г. 14:15
  • даже и не знаю.. замыкание здесь вообще ни какой роли не должно играть..

    11 февраля 2009 г. 2:53