none
Редактирование групповой политики пользователем RRS feed

  • Вопрос

  • Доброго времени суток!

    Необходимо пользователю разрешить изменять один параметр, мною созданной групповой политики, со своего рабочего места. Можно ли подобное сделать?

    12 апреля 2017 г. 14:32

Ответы

  • >>права на политику давать НЕЛЬЗЯ - Может ТС хочет делегировать права своему коллеге, например)

    В целом, подход делегировать права на гпо товарищам, не относящимся к обслуживанию AD - идея не самая правильная, это не обсуждается. Чревато это чем угодно, хотя бы тем, что данный персонаж может "промахнуться" в параметре редактируемых политик  и навносить всяких изменений, что ваша терминальная ферма перестанет существовать, или он получит права администратора там, доступ к каким-нибудь документам и будет жить счастливо в другой стране, где всегда солнце и море:)

    Принимая такое решение, стоит понимать, к чему это может привести.

    Хотите править реестр - правьте скриптами, запускаемым откуда-нибудь вручную или по расписанию, который будет брать текст из шары, как уже написал Svolotch.

    Вот вам заготовка в 2 строчки, которую вы можете допилить под свои нужды без труда:

    https://blogs.technet.microsoft.com/heyscriptingguy/2012/03/17/edit-the-registry-on-multiple-remote-computers-with-powershell/


    MCSAnykey


    • Изменено Artem S. Smirnov 13 апреля 2017 г. 13:55
    • Помечено в качестве ответа Rinat Moustafin 13 апреля 2017 г. 14:51
    13 апреля 2017 г. 13:49
  • Задача обучить пользователей читать рассылки - это организационная задача, а не техническая. Если они не читают рассылки - это их проблема, а не проблема it. Ничто не помешает им бездумно жмакать в ОК или закрыть глаза и не читать сообщения, которые вы хотите реализовать таким способом:)

    Установить оснастку просто: запускаете в powershell от администратора: Add-WindowsFeature -Name GPMC


    MCSAnykey

    • Помечено в качестве ответа Rinat Moustafin 13 апреля 2017 г. 14:54
    13 апреля 2017 г. 11:48
  •  Если они не читают рассылки - это их проблема, а не проблема it. 

    Мы в ответе за тех кого приручили. (с) Экзюпери

    мы тут кстати офтопик разводим начатый в другой ветке.. я бы продожил, но вектор ругацца будет :-)

    2ТС: только это спасет мир. проверено белее чем за десятилетнюю практику. как не читали так и читать не будут. можно в австозагрузку скрипт сунуть, лочащий все и вся пока не согласятся, но имхо лучше, если специально обученный человек соберет все подписи под нормальной докой составленной юристом и запугает юзверей в ноль... да и то будет работать примерно месяца полтора...

    у вас стандартная проблема перегрузки юзверей всякой мутотой которую они уже привыкли не читать? это не решается it методами.

    по факту, as is если этого сильно хотит начальство - скрипт в автозагрузку который читает текст в шаре и выводит пользователям, обученному челу даем права на шару и пермишены редактировать текст.
    --------------

    права на политику давать НЕЛЬЗЯ БЛ***

    я могу обьективно обьяснить предыдущюу строчку, но там пару статей надо написать, а мне лень.

    • Помечено в качестве ответа Rinat Moustafin 13 апреля 2017 г. 14:50
    13 апреля 2017 г. 12:24

Все ответы

  • Вы можете делегировать права на изменение объекта групповой политики целиком, на отдельный параметр нельзя.


    MCSAnykey

    12 апреля 2017 г. 14:37
  • Задайте нужное значение непостредственно в реестре с помощью GPP выставив Run once.
    12 апреля 2017 г. 14:47
  • Задайте нужное значение непостредственно в реестре с помощью GPP выставив Run once.
    Что то не понял. Необходимо чтобы пользователь постоянно изменял параметр в объекте групповой политики. Каждый день.
    12 апреля 2017 г. 17:09
  • Вы можете делегировать права на изменение объекта групповой политики целиком, на отдельный параметр нельзя.


    MCSAnykey

    Пусть будет на весь объект, но как установить эту оснастку на клиентский ПК?
    12 апреля 2017 г. 17:11
  • Указали бы операционку на клиенте)

    MCSAnykey

    12 апреля 2017 г. 17:17
  • это ОЧЕНЬ ПЛОХАЯ ИДЕЯ давать ***** пойми кому права на редактирование политик.

    скажите что конкретно вам надо, давайте поищем обходные пути


    13 апреля 2017 г. 8:49
  • ну ёжкин-кошкин, ну чем тя садово-огородная культура не устроила?

    я все понимаю, но этаж блин уже эфемизм

    взял и запикал, терь все подумают что там слово *** написал:-)

    13 апреля 2017 г. 9:44
  • У нас ферма терминалов, порядка 1200 пользователей.

    Вот тут описаны интересные параметры реестра:

    legalnoticecaption (REG_SZ) under HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: This entry can be used to specify the title of your message (Example” Welcome to [Company Name] Network”).

    • Legalnoticetext (REG_SZ) under HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: This entry can be used to specify the text of your message (Example: Please note that your data will automatically be removed from this computer if you do not use it for 30 days. Thank you.)

    Проверил, работает. Начальство решило с помощью этого функционала доводить до сведения пользователей важные события, требующее обязательного прочтения. Все что запускается автозагрузкой и массовые почтовые рассылки 50% пользователей игнорирует, проверено.

    13 апреля 2017 г. 11:18
  • Я понимаю что это можно реализовать массой способов, выбрал самый очевидный, но похоже не самый правильный.
    13 апреля 2017 г. 11:22
  • Указали бы операционку на клиенте)

    MCSAnykey

    Пользователи работают из под терминала Windows 2008 R2, но там оснастки управления групповой политикой я не нашел.
    13 апреля 2017 г. 11:24
  • Задача обучить пользователей читать рассылки - это организационная задача, а не техническая. Если они не читают рассылки - это их проблема, а не проблема it. Ничто не помешает им бездумно жмакать в ОК или закрыть глаза и не читать сообщения, которые вы хотите реализовать таким способом:)

    Установить оснастку просто: запускаете в powershell от администратора: Add-WindowsFeature -Name GPMC


    MCSAnykey

    • Помечено в качестве ответа Rinat Moustafin 13 апреля 2017 г. 14:54
    13 апреля 2017 г. 11:48
  •  Если они не читают рассылки - это их проблема, а не проблема it. 

    Мы в ответе за тех кого приручили. (с) Экзюпери

    мы тут кстати офтопик разводим начатый в другой ветке.. я бы продожил, но вектор ругацца будет :-)

    2ТС: только это спасет мир. проверено белее чем за десятилетнюю практику. как не читали так и читать не будут. можно в австозагрузку скрипт сунуть, лочащий все и вся пока не согласятся, но имхо лучше, если специально обученный человек соберет все подписи под нормальной докой составленной юристом и запугает юзверей в ноль... да и то будет работать примерно месяца полтора...

    у вас стандартная проблема перегрузки юзверей всякой мутотой которую они уже привыкли не читать? это не решается it методами.

    по факту, as is если этого сильно хотит начальство - скрипт в автозагрузку который читает текст в шаре и выводит пользователям, обученному челу даем права на шару и пермишены редактировать текст.
    --------------

    права на политику давать НЕЛЬЗЯ БЛ***

    я могу обьективно обьяснить предыдущюу строчку, но там пару статей надо написать, а мне лень.

    • Помечено в качестве ответа Rinat Moustafin 13 апреля 2017 г. 14:50
    13 апреля 2017 г. 12:24
  • >>права на политику давать НЕЛЬЗЯ - Может ТС хочет делегировать права своему коллеге, например)

    В целом, подход делегировать права на гпо товарищам, не относящимся к обслуживанию AD - идея не самая правильная, это не обсуждается. Чревато это чем угодно, хотя бы тем, что данный персонаж может "промахнуться" в параметре редактируемых политик  и навносить всяких изменений, что ваша терминальная ферма перестанет существовать, или он получит права администратора там, доступ к каким-нибудь документам и будет жить счастливо в другой стране, где всегда солнце и море:)

    Принимая такое решение, стоит понимать, к чему это может привести.

    Хотите править реестр - правьте скриптами, запускаемым откуда-нибудь вручную или по расписанию, который будет брать текст из шары, как уже написал Svolotch.

    Вот вам заготовка в 2 строчки, которую вы можете допилить под свои нужды без труда:

    https://blogs.technet.microsoft.com/heyscriptingguy/2012/03/17/edit-the-registry-on-multiple-remote-computers-with-powershell/


    MCSAnykey


    • Изменено Artem S. Smirnov 13 апреля 2017 г. 13:55
    • Помечено в качестве ответа Rinat Moustafin 13 апреля 2017 г. 14:51
    13 апреля 2017 г. 13:49
  • .asS Sмотри в другой теме цитату из маленького принца.

    не глупо, просто нельзя! но возможность существует... ну как возможность сунуть палец под стотонный пресс.

    тем более делегировать товарищу! (ТОТ ТУТ НУЖЕН АРГУМЕНТ)

    поверь блин, лучше не надо. Я в свое время доумничался и дал обезьяне гранату(Рома эт я не про тебя, хотя кого я обманываю)

    паранойя должна быть присуща админам, а обоснованная паранойя базируется на общеизвестных методах взлома. тут должно быть мое экспрессивное мнение(там без мата только "ты", "сучка","в"), поэтому представьте эту сроку просто вот так :"***********************************************************......  вот именно по этому я предпочитаю молчать в тряпочку IRL

    ========================

    баг  чо шрифтом не чинят, just used it like feature

    13 апреля 2017 г. 14:33
  • ок, я понял, сделаю через шару
    13 апреля 2017 г. 14:49
  • та идея, что я сказал - была самая простая

    https://ru.wikipedia.org/wiki/KISS_(%D0%BF%D1%80%D0%B8%D0%BD%D1%86%D0%B8%D0%BF)

    13 апреля 2017 г. 15:29