0 / 0 / 0
Регистрация: 02.05.2012
Сообщений: 15
|
|
1 | |
Server 2008 Групповая политика, для пользователей Active Directory03.05.2012, 06:39. Показов 23277. Ответов 14
Метки нет (Все метки)
Все привет!
Подскажите как мне сделать запреты и разрешения для пользователей Active Directory? Пользователей я то завел и все тип топ, но вот мне интересно, как для определенного юзера запретить флешку.
0
|
03.05.2012, 06:39 | |
Ответы с готовыми решениями:
14
Есть задача: смена пароля пользователей в Active Directory Как настроить Active directory так чтобы там фиксировалось время работы пользователей в сети Групповая политика в домене Не применяется групповая политика |
Почетный модератор
|
|
03.05.2012, 10:38 | 2 |
0
|
0 / 0 / 0
Регистрация: 02.05.2012
Сообщений: 15
|
|
03.05.2012, 11:07 [ТС] | 3 |
На сколько я понял это делаеться для всех пользователей.
А для определенного пользователя, который заведен в AD?
0
|
Почетный модератор
|
|
03.05.2012, 11:20 | 4 |
хм... ИМХО создавать для него OU отделное и политику навешивать на OU...
как то так, извини сервера под рукой нет... ну или как вариант использовать сторонний софт типа device lock... юзал, удобная вещь...
0
|
0 / 0 / 0
Регистрация: 02.05.2012
Сообщений: 15
|
|
03.05.2012, 11:27 [ТС] | 5 |
Я пока решил проблему так, закрыл доступ чисто к флешке, через реестр, и завел юзера в домен, а там ему и запрет на изменение реестра и на установку и удаление программ, но это не интересно.
Мне бы сделать так, стандартными средствами Вин, чтобы взять и залочить, а потом появилась необходимость и разлочил... Вооо как хочу
0
|
3 / 3 / 1
Регистрация: 01.05.2012
Сообщений: 44
|
|
03.05.2012, 15:50 | 6 |
Создать группу AD, создать политику (обязательно пустую в начале) на уровне домена. В свойствах\безопасность политики установить созданной группы чтение и "применение групповой политики". Для доменных пользователей чтение (больше ничего). Для других групп, присутствующих там, проверить, что снята галка с "применение групповой политики". Настроить политику. Пользователей, к которым нужно применить политику добавлять в группу. С которых надо снять действие политики - тех исключать из группы.
1
|
0 / 0 / 0
Регистрация: 02.05.2012
Сообщений: 15
|
|
03.05.2012, 16:19 [ТС] | 7 |
Как создать политику на уровне домена?
0
|
3 / 3 / 1
Регистрация: 01.05.2012
Сообщений: 44
|
|
03.05.2012, 16:30 | 8 |
Запускаете Active directory users and computers щелкаете правой кнопкой по имени домена. Выбираете свойства. Переходите на закладку групповая политика. Если видите в списке политик defaul domain policy, значит попали куда надо. Дальше все как обычно. Но нужно создавать и назначать политики на этот уровень с осторожностью. Действие политик отсюда легко может распространится на всех пользователей домена.
0
|
0 / 0 / 0
Регистрация: 02.05.2012
Сообщений: 15
|
|
04.05.2012, 07:20 [ТС] | 9 |
Вот то что у меня показывает.
Заходил и автором и просто так, групповую политику не показывает. Может что-то добавить надо? Оснастку какую-нибудь?
0
|
3 / 3 / 1
Регистрация: 01.05.2012
Сообщений: 44
|
|
04.05.2012, 10:17 | 10 |
Тогда запускаете GPMC.MSC, нажав правой кнопкой по имени домена выбираете "Создать объект GPO в этом домене и связать его". Выбрав вновь созданную GPO раздаете права на закладках "Область" и "Делегирование". В "Делегировании" - чтение, а в "Области" - группы добавленные в фильтры безопастности получают право на исполнение политики.
Свей специально группе на "Делегировании" устанавливайте "чтение (с учетом параметров фильтрации безопастности).", и на "Области" добавляйте в "фильтры безопастности". Убедитесь, что в "фильтрах безопастности" нет никаких других групп. Все остальное оставляете по умолчанию.
0
|
0 / 0 / 0
Регистрация: 02.05.2012
Сообщений: 15
|
|
08.05.2012, 07:45 [ТС] | 11 |
т.е. я создал объект групповой политики и добавил в "облать" пользователя(точно также как я понял добавляется и группа) 1.jpg
затем в "Делегирование" добавил того же пользователя 2.jpg Так вот вопрос, в чем разница между делегированием и областью? Зачем пользователя добавлять в обе вкладки? А по ГПО, получаеться, пользователя добавил а потом его и режу по ГПО, так?
0
|
3 / 3 / 1
Регистрация: 01.05.2012
Сообщений: 44
|
|
08.05.2012, 10:34 | 12 |
Делегирование - это право на исполнение политики. Зачем оно теперь в отдельном окне - не знаю. Может для большей очевидности?
0
|
0 / 0 / 0
Регистрация: 02.05.2012
Сообщений: 15
|
|
08.05.2012, 10:48 [ТС] | 13 |
Ну пользователя, группу или компьютер обязательно нужно добавлять и в область и в делегирование, так?
А по ГПО, получается, пользователя добавил а потом его и режу по ГПО, так?
0
|
3 / 3 / 1
Регистрация: 01.05.2012
Сообщений: 44
|
|
11.05.2012, 13:46 | 14 |
Да, это так. Тот, кто имеет право читать и исполнять политику, на того распространится то, что в политике прописано.
Только в прошлом посте ошибся - право на исполнение - это в фильтрах. сорри, смотрел на даче, с мобильника. А в делегировании - право на чтение.
0
|
0 / 0 / 0
Регистрация: 02.05.2012
Сообщений: 15
|
|
21.05.2012, 13:08 [ТС] | 15 |
спасибо, попробую потом отпишусь о результатах
0
|
21.05.2012, 13:08 | |
21.05.2012, 13:08 | |
Помогаю со студенческими работами здесь
15
На win 8.1 не применяется групповая политика Групповая политика на домене Windows 2008 R2 Групповая политика рабочего компьютера, присоединенного к домену Windows Server 2008 R2 Active Directory: Добавить LOGON-скрипт для OU Искать еще темы с ответами Или воспользуйтесь поиском по форуму: |