none
Объясните логику применения групповых политик! RRS feed

  • Общие обсуждения

  • Итак, описываю, что есть и что хочется в итоге.

    Имеем обычный локальный домен с рабочими станциями win XP и контроллер домена на Win srv 2008 R2.  Имеем групповую политику Default Domain Policy, в которой настраиваются те или иные правила для рабочих станций. Настройки, которые задаются в этой политике применяются нормально. А дальше появились несколько проблем:

    Проблема 1. Настроил я сервер WSUS. И понадобилось на всех компьютерах домена установить виндовс апдэйт агента, а также настроить службу обновления, чтоб она тянула обновления с моего сервера. Для этого, я создал отдельную групповую политику, в которой сделал настройку в админинстративных шаблонах для службы обновлений. Политику эту я привязал к домену, а в фильтре безопасности указал группу "компьютеры домена" Также, я написал вот такой скриптик:

    reg add "HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor" /v DisableUNCCheck /t REG_DWORD /d 1 /f
    "\\192.168.1.200\UpdateServicesPackages\WindowsUpdateAgent\wusetup.exe" /quiet

    Который при загрузке компа должен втихоря обновить update agent. Дак вот, этот скрипт я пробовал вставлять и в сценарий автозапуска пользователя и в сценарий автозапуска компьютера. И всё равно этот скрипт не запускался на рабочих станциях при загрузке. Вручную скрипт прекрасно запускается и работает.

    Проблема 2. На некоторых рабочих станциях мне надо, чтобы при загрузке компьютера (а точнее, при начале пользовательского сеанса любого пользователя) загружалась программа aida64. Для этого, я сделал следующее:

    - создал глобальную группу безопасности и занёс в неё несколько нужных мне компов

    - создал отдельную групповую политику с названием for_golova, связал её с доменом, а в фильтре безопасности указал вышеобозначенную группу из нескольких компов..

    - Написал скриптик:

    \\192.168.199.202\Everest\aida64.exe /ACCEPTBG /SILENT

    И поместил его в сценарий входа пользователя. Тем не менее, скрипт этот не запускается. Вручную, опять же, работает. Для интереса, я попробовал засунуть его в политику Default Domain Policy. И вот в этой политике он сработал при логине пользователя! Как так? А почему он тогда в другой политике не срабатывает? Мне надо, чтоб aida загружалась лишь на нескольких компах, а политика Default Domain Policy применяется ко всем абсолютно.

     Проблема 3. Мне нужно, чтоб некоторые пользователи не могли использовать флэшки. Для этого я сделал следующее:

     - создал глобальную группу безопасности и занёс в неё несколько нужных мне пользователей

     - создал отдельную групповую политику с названием noUSB, связал её с доменом, а в фильтре безопасности указал вышеобозначенную группу из нескольких пользователей...

    - написал скрипт, который вносит специальные изменения в реестр, чтоб USB-носитель не работал:

    reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR /v "Start" /t reg_dword /d 00000004 /f

    И опять же поместил его в сценарий входа пользователя. И опять же, он не срабатывает при загрузке. И опять же, вручную работает и если его засунуть в Default Domain Policy, то он тоже работает! Почему он в другой политике не срабатывает?

    Политики у меня применяются вот в таком порядке:





    31 января 2012 г. 6:19

Все ответы

  • 1а. Исправлять встроенные доменные политики не следует. Делайте свой объект политик и редактируйте его. Давайте ему читабельное и понятное название.

    1б. Для выставления ключа реестра воспользуйтесь секцией Group Policy Preferences групповых политик. Для чего вы делаете фильтрацию безопасности, неясно. К ней прибегают в ИСКЛЮЧИТЕЛЬНЫХ ситуациях, когда НЕТ другого выхода.

    1в. Вставлять подобные команды в сценарий входа пользователя бесполезно, у пользователя недостаточно привилегий для подобного рода операций. Будет ли это работать в сценарии загрузки системы, вопрос дискутируемый — раз это не сработало, допускаю, что либо при загрузке не все компоненты системы успели загрузиться, либо мешает ненужная фильтрация безопасности.

    2. Причина в той же ненужной фильтрации. Пристыкуйте политику к нужному подразделению, а фильтрацию оставьте в покое.

    3. Это решается не так. В политиках, конфигурация пользователя имеются параметры доступа к съёмным носителям.


    MCITP: Enterprise Administrator; MCT; Microsoft Security Trusted Advisor; CCNA; CCSI
    31 января 2012 г. 7:22
    Отвечающий
  • 2. Причина в той же ненужной фильтрации. Пристыкуйте политику к нужному подразделению, а фильтрацию оставьте в покое.

    Я пробовал и по подразделениям компы раскидывать, всё равно, батник

    \\192.168.199.202\Everest\aida64.exe /ACCEPTBG /SILENT

     не запускается при логине пользователя. А если этот батник вставить в политику Default Domain Policy, то он запускается при логине пользователя. Почему так? Если причина именно в фильтрации, то каким ещё способом можно сделать так, чтобы отдельно взятая политика срабатывала только на определённую группу рабочих станций?

    Повторюсь, что по подразделениям тоже пробовал компы раскидывать.

    31 января 2012 г. 10:24
  • Сценарий входа указывается в политике пользователя и ориентируется на пользователя, не рабочую станцию.

    Вам таки нужно тогда привязать его в политике пользователя, которую пристыковать к подразделению компьютеров, но чтобы это заработало, включить режим обработки политики Loopback Processing Mode. Этот режим как раз предусмотрен для создания такого рода исключительных ситуаций, когда пользователю нужно что-то настроить или исполнить, но не везде, а только на некоторых машинах.


    MCITP: Enterprise Administrator; MCT; Microsoft Security Trusted Advisor; CCNA; CCSI
    31 января 2012 г. 10:28
    Отвечающий
  • 3. Это решается не так. В политиках, конфигурация пользователя имеются параметры доступа к съёмным носителям.
    MCITP: Enterprise Administrator; MCT; Microsoft Security Trusted Advisor; CCNA; CCSI
    Нашёл. Но опять же, а как сделать, чтоб эти запрты действовали лишь на определённую группу пользователей?
    2 февраля 2012 г. 6:44
  • Ну вот тут уже потребуется Security Filtering.
    MCITP: Enterprise Administrator; MCT; Microsoft Security Trusted Advisor; CCNA; CCSI
    2 февраля 2012 г. 8:44
    Отвечающий
  • И ещё один вопрос возник... Я тут глянул, политика "Доступ к съёмным запоминающим устройствам" есть только на 2008 сервере. На 2003 её нет. Будет ли эта политика срабатывать на рабочих станциях win XP ?
    2 февраля 2012 г. 9:45
  • добавил я этот шаблон:

    http://support.microsoft.com/kb/555324

    только чего-то пока изменений не наблюдаю никаких... Там что и где должно появиться?


    2 февраля 2012 г. 10:33
  • появился пункт custom policy settings, а в нём restrict drivers. Но внутри пусто -- ни одной настроки нет.
    2 февраля 2012 г. 10:41