PDA

Просмотр полной версии : Групповые (group) и локальные (local) политики (policy) операционных систем Windows


Nymph
24.08.2002, 20:02
Задаём вопросы, делимся опытом.
__________________________________________________________
Неск-ко вопросов по Локальным Политикам Безопасности в ХР
1) Назначение прав пользователя-> Отказ в доступе к компьютеру из Сети-> стоит "SUPPORT_338945a0"
Это что за зверь такой?
2) Параметры безопасности->Сетевой доступ: Разрешать анонимный доступ к именнованным каналам:
COMNAP
COMNODE
SQL\QUERY
SPOOLSS
LLSRPC
EPMAPPER
LOCATOR
Что за каналы и нужно ли этот ан.доступ разрешать вообще к чему либо?
3) ~->Сетевой доступ: Разрешать анонимный доступ к общим ресурсам:
COMCFG
DFS$
Что значит $? Где-то слышал что он делает ресурс расшаренным но как бы скрыто....:( Разве так можно?
4) Напомните плз, как сделать чтоб определённый профиль грузился по умолчанию...

Заранее сэнкс всем ответившим!

Dead Man
24.08.2002, 21:28
1. У тебя просто нает прав заходить на удалённый комп.
2. Иначе ничего работать не будет.
3. $ это административный доступ, да действительно можно
4. Не совсем понял твой вопрос ???

Nymph
24.08.2002, 21:40
4) Надо чтоб при загрузке он пропускал экран с выбором пользователей и загружал сразу заданный профиль...
Раньше я так делал а счас убей не помню куда лезтть надо...
2) Т.е. это служебные сервисы и кто тггда ими анонимно пользуется?

Dead Man
24.08.2002, 23:05
Поставь TweakUI for Windows XP, там есть та фитча, да и много других.

MoHaX
14.01.2003, 04:25
Суть проблемы: политику которая была по дефулту я оствили, создал новую и для определённой группы юзерей сделал на неё чтение и выпонение, но вообщем-то нифига она на них не действуюет :баран: В чём мой косяк? :idontnow:

Dead Man
14.01.2003, 06:26
Ты какую из политик обрабатывал, локальную или для домейна ?

Jim7
16.01.2003, 13:44
А какие у тебя клиенты?

MoHaX
17.01.2003, 13:14
Dead Man

Ты какую из политик обрабатывал, локальную или для домейна ?Вроде глобальльную, та которая в Администрирование\AD - пользователи и компютеры, там правой кнопкой на домен, свойства и закладка Политики и чё-то там (не помню точно как называется)


Jim7
А какие у тебя клиенты?
Win2000 Pro

Ghost
17.01.2003, 19:27
Если папки профилей пользователей не удаляются, то политики не вступит в силу. Снеси их (папки).

В редакторе политик нужно указать политики какой группы более важны, т.е. указать последовательность их применения. Посмотри и это.

Лучше все же было настроить политику Default для юзверей и создать отдельную для админов, а не наоборот.

MoHaX
18.01.2003, 05:01
Ghost
Если папки профилей пользователей не удаляются, то политики не вступит в силу. Снеси их (папки).

Ты имеешь ввиду папки юзверей в "Documents and Settings" на клиентах?

Ghost
23.10.2003, 10:23
Подскажите как решить такую проблему:

Стоит Windows Server 2003. На DNS-сервере (не моем - вышестоящем) эта машина прописана как srv.bla-bla-bla.ru. Имя машины ставлю srv.bla-bla-bla.ru, NETBios-имя: SRV. Потом ставлю AD и создаю домен srv.bla-bla-bla.ru. NETBios-имя, естесственно, ставится отличным от имени машины, например, DOM. Во время установки AD был установлен и автоматически настроен локальный DNS-сервер. Больше на сервере ничего не стоит. Какое-то время все работает нормально, но через 20-30 минут групповая политика отваливается напрочь, и достучаться до нее никак нельзя, не перезагрузив машину. При этом в журнал записывается вот такая вот хрень:Тип события: Ошибка
Источник события: Userenv
Время: 8:52:51
Пользователь: NT AUTHORITY\SYSTEM
Компьютер: SRV
Описание:
Не удалось выполнить привязку к домену srv.bla-bla-bla.ru.
(Локальная ошибка). Обработка групповой политики прекращена.

Тип события: Ошибка
Источник события: Userenv
Время: 8:52:51
Пользователь: NT AUTHORITY\SYSTEM
Компьютер: SRV
Описание:
Не удалось запросить данный список объектов групповой политики.
Проверьте в журнале событий наличие сообщений, описывающих причины сбоя.

Dead Man
23.10.2003, 18:02
Ghost
Смени клей ;) (шутка).

Ты забыл указать НОМЕР ошибки ID: ?

Ghost
30.10.2003, 16:24
А без ошибки слабо?

Кстати на Win2k Srv пратически такая же ошибка - код 1000. Текст приводить не буду, скажу лишь, что речь идет о том, что Не удалось запросить данный список объектов групповой политики. Сообщение, описывающее причину, уже было помещено в журнал обработчиком политики.
Не удалось установить подключение к srv.bla-bla-bla.ru (1787).

Dead Man
30.10.2003, 16:46
Ghost
Слабо разобратся самому ? (http://www.eventid.net/display.asp?eventid=1000&source=)

Ghost
31.10.2003, 08:37
Dead Man
Спасибо за ссылку. Будем разбираться.

Dead Man
31.10.2003, 17:05
Удачи.

P.S. ID + Source так будет легче искать.

EnigMan
01.03.2004, 10:27
На домашнем компе под XP работает несколькой пользователей, у каждого своя учетная запись. Имеет ли смысл ограничивать эти учетные записи до уровня ПОЛЬЗОВАТЕЛИ (все равно каждый знает пароль к Администратору), то есть поможет ли это хоть какой-то защите от вредных программулек, при том что винт форматнут на FAT32

AMDman
01.03.2004, 12:31
EnigMan
все равно каждый знает пароль к Администратору
Если так то вряд ли в таком ограничении есть смысл...разве только от каких нибудь случайных ошибок удержит...:biggrin:

maxximik
01.03.2004, 14:42
а смысл??? и мой совет NTFS а не FAT :)
EnigMan:
поможет ли это хоть какой-то защите от вредных программулек, - нет если под админом заходят :(

Shanker
02.03.2004, 10:01
EnigMan
На домашнем компе под XP работает несколькой пользователей, у каждого своя учетная запись. Имеет ли смысл ограничивать эти учетные записи до уровня ПОЛЬЗОВАТЕЛИ (все равно каждый знает пароль к Администратору), то есть поможет ли это хоть какой-то защите от вредных программулек, при том что винт форматнут на FAT32Нет: не имеет и смысла с такой настройкой нет!!!

NoxWell
02.03.2004, 10:09
полюбому пришлось бы в NTFS форматировать...

Dead Man
02.03.2004, 17:24
EnigMan
Нет смысла из за FAT32.
Но можеш конвертнуть в NTFS.

Converts FAT volumes to NTFS.

CONVERT volume /FS:NTFS [/V]

volume Specifies the drive letter (followed by a colon),
mount point, or volume name.
/FS:NTFS Specifies that the volume to be converted to NTFS.
/V Specifies that Convert should be run in verbose mode.

T-ViRus
05.08.2004, 11:17
Ось - winXP, недавно зашел в локальную политику безопасности ---> локальные политики ---> назначение прав пользователя и обнаружил в ключах "вход в качестве пакетного задания", "отказ в доступе компьютеру из сети" и "отклонить локальный вход" вот такой параметр:
*S-1-5-21-854245398-507921405-1343024091-1002...
поискал в реестре - такая запись не обнаружена
что это может быть???
я на всякий случай пока убрал эту запись из "вход в качестве пакетного задания"
какие будут предположения???

Breeze
05.08.2004, 14:08
Да пусть стоит, я так думаю, эти назначенные права пользователя и есть твои права при работе с системой. У меня циферки немного другие, но если всё работает - пусть себе работает.

T-ViRus
05.08.2004, 15:36
я боюсь как бы это не оказалось какой нить дырой в безопасности системы, через которую будут выкачивать инфу с моего компа

pro
05.08.2004, 16:09
T-ViRus
Удаляй смело! Не знаю будет ли польза от этого, но вреда не бдет.
В общем это старые юзвери, которых уже нет... допустим был пользователь user3 - ему запретили локальный вход... так и было прописано в политике безопасности... а потом этого юзера удалили совсем - и вместо него остается эта лажа...

Breeze
07.08.2004, 09:55
По поводу сабжа… Интересная получается картинка: залез я в безопасность некоторых папок и увидел, что иным из них присвоены особые разрешения под именем тех циферок, о которых было сказано выше. Как правило, в Свойствах папки на вкладке Безопасность есть следующие Группы и пользователи:
1.SYSTEM
2. Администраторы(такой-то)
3. Пользователи (такой-то)
4. пользователь (конкретный)
5. Создатель-Владелец
6. Все и т.д.
но в некоторых папках и подпапках вместо п.4 стоят эти непонятные цифры.
Может кто-нибудь объяснить мне, чайнику, что сие значит. Компьютер домашний, локалки нет. 3 подключения к Интернету.
Может, тут бродит кто-нибудь, как у себя дома, а я ни слухом ни духом. Или Backdoors?
User-ов3 не было никогда. :)

P.S. Перечитал и понял, что это бред – не зря дядя Билл это сделал, в смысле безопасности, но, с другой стороны, на fat подобного не было. Пошёл читать мануал.
Но может кто-то из ГУРУ объяснит это популярно?..

intangible
10.08.2004, 19:02
Да не переживай ты так :biggrin:

это не вирь. Скорее всего у тебе стоят/стояли несколько Windows систем. С помощью такого ключа система и определяет юзера. Для каждого он генерируется свой, и хотя в обоих системах имена пользователей могут быть одинаковыми, но их *s-идентификаторы будут разными. Потому и видит одна из систем не:
"4. пользователь (конкретный)", а *S-1-5-21-854....

на съемных дисках с нтфс таких юзверей может быть несколько.

Breeze
10.08.2004, 22:29
Спасибо, успокоил!
Я, вобще-то, думал, что это из-за того, что у меня заблокированы Удалённый помощник (или как-там - забыл) и Гость.

y3k
11.08.2004, 02:16
Seduxen, польхователи, адмнистраторы вообщем то что ты перечеслял - это нормально, винда их ставит всегда, переустанови винду и они опять будут

Breeze
11.08.2004, 15:32
Просьба дурацких советов не давать - WinXP (нынешний вариант) стоит уже больше 1,5 года.

intangible
11.08.2004, 20:14
Спасибо, успокоил!
Я, вобще-то, думал, что это из-за того, что у меня заблокированы Удалённый помощник (или как-там - забыл) и Гость.

в этом случае система определяет блокированых юзеров.
а вообще-то названые тобою юзверы принадлежат к соответствующим им группам, и система устанавливает права доступа к файлам для групп, если только не в ручную сделать иначе.

Interceptor
12.08.2004, 03:14
Seduxen

Как и сказал intangible, это идентификаторы юзеров. Каждый раз устанавливая винду он генерится новый.
Такая запись в разрешениях разделов\дисков появляется, когда ID юзера для прав на раздел установлен, а логин его в системе найти не удаётся (например, после переустановки винды или удалении юзера из системы)

Breeze
13.08.2004, 19:56
Спасибо, усё понял; да, были там "пользователи" - повыгнал :)

AndreEj
28.09.2004, 19:09
Как получить доступ к "локальным политикам безопасности" по сети?
То есть под админскими правами входим и меняем нужные политики.
Для чего я думаю объяснять не надо.

ЗЫ: Домен ставить не буду !!!
Ставить на все машины Радмины и етс не хочется.
Но с удовольствием принимаются варианты типа:
Заходим в управление компьютером --- подключаемя к нужной машине в службах включаем Телнет --- конектимся телнетом и ...
а вот дальше что?

Ghost
29.09.2004, 15:17
AndreEj
Каждая отдельно взятая политика безопасности фактически представляет собой один или несколько ключей реестра. Найти файлы с расширением adm, поковыряйся в них (они имеют достаточно читабельный формат), создай reg-файл с нужными политиками и импортируй его на нужную машину с помощью службы удаленного реестра.
Кроме того, есть такая программка - poledit.exe, которая занималась настройках в NT4-сиситемах. В ней есть возможность подключения к другому компу.
И наконец, можно воспользоваться стандартной консолью win2k: Пуск - Выполнить - mmc.exe - Добавить/удалить оснастку - Добавить оснастки групповой политики для нужных машин - Сохранить в нужном месте (чтобы потом не повторять все действия).

AndreEj
29.09.2004, 16:58
по ммс незя :) недаст :)
поэтому и спрашиваю

_Mylo_
29.09.2004, 17:57
А почему это не даст по mmc? У меня всё настраивается - только нужен логин/пароль админской учётки удалённого компа. Да но это в домене
:rolleyes:

А что нужно настраивать? многое делается через реестр, сетевые настроикй можно менять при помощи netsh

Ghost
29.09.2004, 18:12
AndreEjпо ммс незя :) недаст :)
поэтому и спрашиваюМожно. Без домена. Поэтому и говорю.

AndreEj
01.10.2004, 11:39
Можно через реестр С помощью DameWare но частично
Ветка Security при этом недоступна
В ММС незя или я как то это неправильно делаю
Более подробно можно сказать?

Blackraincoat
15.11.2004, 13:14
Ситуация следующая. Я попытался разобрать в настройках групповой политики. И поставил ветку реестра HKEY_CLASSES_ROOT только для чтения одним пользователем. Зачем это я сделал ? Сам не знаю. И естественно, что нормально Windows не загружается. Кто-нибудь может посоветовать как это убрать. Я предположил что если убрать групповую политику с контейнера к которому относился этот компьютер, то вернется все обратно. Но этого не произошло. Кто-нибудь знает что делать?

frodo
15.11.2004, 13:55
Ситуация следующая. Я попытался разобрать в настройках групповой политики. И поставил ветку реестра HKEY_CLASSES_ROOT только для чтения одним пользователем. Зачем это я сделал ? Сам не знаю. И естественно, что нормально Windows не загружается. Кто-нибудь может посоветовать как это убрать. Я предположил что если убрать групповую политику с контейнера к которому относился этот компьютер, то вернется все обратно. Но этого не произошло. Кто-нибудь знает что делать?

Попробуй загрузиться с дискеты с программой chntpswd от Peter Nordhal,
там есть редактор реестра, загружается в Сислинукс.Найти эту прогу легко, пользуйся поиском, адрес что-то вроде ----home.eunet---/pnordahl---
Удачи!
ЗЫ Или есть диск ЕРД Коммандер с редактором реестра,только не уверен,что он может редактировать эту ветку реестра.

ioka
17.11.2004, 04:10
или offline nt password recovery, вроде так называется
пользовался - работает...

Fabel
18.02.2005, 09:02
Ситуация такая :
У нас на работе сеть, юзвери (в том числе я) логинятся на домен (на всех машинах - 2К), откуда и прилепляется Group Plocy Object (GPO), ограничивающий в правах. Есть юзер, по недосмотру забытый админом, у которого админские привелегии. Через него можно запустить mmc и редактировать GP как угодно.. но! невозможно редактировать конкретных юзверей на домене! А редактировать GP для всей группы низзя - заметят.
Знаю, что можно это сделать через adminpak.msi, но эта гадость не ставится без установочного диска 2k. CD-Rom'ов нет . Причём, что обидно - ставится почти полностью, но под самый конец (при копировании какого-то DLL) просит засунуть диск и ни в какую.. Я уже пробовал на этом этапе через task manager вырубить процесс установки - хрена с два, ничего в итоге не ставится. По идее, результатом установки должны стать новые фичеры в mmc > add/remove snap in, и один из них - редактирование юзверей, т.е. мне с определённого юзверя надо убрать гнусный GPO, который в правах ограничивает. Названия DLL, на котором всё затыкается, сейчас не припомню, но была у меня мысль просто засунуть его в system32, куда все они засандаливаются, дык в гугле я его не нашёл..

Есть у кого соображения? Заранее признателен!

lnik
18.02.2005, 13:51
Попробуй найти программу hyena версии пятой или Pointdev Ideal Administration. Эти проги позволяют удаленно админить контроллер домена, или любой другой компьютер домена. Тудой можно управлять политиками безопасности домена и контроллера домена.

banshee
19.02.2005, 21:05
Идея возможно глупая, но все же: если есть админовские права, то можно попробовать на сервере зайти на зашаренные админские ресурсы C$, D$. Может чего интересного там лежит, например, дистрибутив винды.

SinClaus
21.02.2005, 20:20
Гиена как раз страстно просит доставить ей Админпак, что бы хорошо рулить доменом. НО! Я грузил его с мелкософта свежий, и при установке он у меня ничего не требовал - самодостаточный вполне. Теперь ухо нужно держать востро - проще отредактировать политики домена, чем своей локальной машины (которые не перекрываются доменными, естественно).

Fabel
27.02.2005, 12:46
SinClaus:
проще отредактировать политики домена
ну а я о чём..

Всем спасибо, уже неактуально - админы обнаружили вышеуказаного юзверя и сменили ему пароль :(
Так что до следующего раза..

Ka.Hoona
22.03.2005, 15:13
Приветствую! Возникла небольшая проблема - при попытке вызвать Group Policy (win+r - gpedit.msc) - появляется окно с надписью:
Snap-in Creation failed
The snap-in is not created? it may not be installed properly
Name: Group Policy
CLSID: {8FC0B734-A0E1-11D1-A7D3-0000F87571E3}
Чё с этим делать???? Система - WinXP Pro Eng SP1
После установки системы я вызывал Group Policy, после за не надобностью не пользовался.... Антивири ничего не видят, система вообще-то работает нормально и стабильно, но вот эта ошибка не нравится... :confused:

Borland
22.03.2005, 16:10
Ka.Hoona
Сервиспак перенакати... Должно помочь...

Dr.God
22.03.2005, 18:43
Такое бывает, когда "кривой" дистрибутив или ставишь новую ось поверх старой.

Вариант №1:
http://support.microsoft.com/default.aspx?scid=kb;en-us;826282&Product=winxp

Вариант №2:
1. Запусти mmc.exe;
2. Зайди в Console -> Add\Remove Snap-in;
3. Найди snap-in без иконки и удали;
4. Сохрани изменения.

Ka.Hoona
23.03.2005, 13:43
Ka.Hoona
Сервиспак перенакати... Должно помочь...
Не помогло...
:(


Такое бывает, когда "кривой" дистрибутив или ставишь новую ось поверх старой.

Вариант №2:
1. Запусти mmc.exe;
2. Зайди в Console -> Add\Remove Snap-in;
3. Найди snap-in без иконки и удали;
4. Сохрани изменения.

Тоже не помогло, та же беда вылазит... :(
Дистр вроде нормальный, скока не ставил - всё гуд.
Переставлять пока не охота.
Ща попробую вариант №1

trubey
24.08.2005, 02:30
Такой вопрос. Может кто подскажет в какую сторону рыть...
Есть одноранговая сетка. 8 машин вперемешку хр и w2k.
Адреса статические.
Все друг друга в окружении видят. Все замечательно. Казалось бы..
Одна машина под хр не пускает никого из стандартного сетевого окружения.
Однако фаром и + еще если тупо прописать \\gorod\blablabla\
заходим.
В лок. политике включил все. и гостя, и разрешил гостевой вход, и конкретных юзеров прописал.
Не-а. на некоторые папки, где были разрешения юзерам - САМ на себя по сети тоже не заходит.
Даже под админом. Что за ересь? Делал сетку не я, а разбираться что наворочено - нет никакой
возможности. Более никаких данных, увы, предоставить не могу.
Если из этого сумбура кто-то что-нить понял - укажите вектор..

KocmonpaB
25.08.2005, 00:14
служба.

trubey
25.08.2005, 01:24
ok. master-browser

Vick Vega
25.08.2005, 02:31
trubey
Проверь TCP/IP настройки у проблемной машины.
Проверь если есть ошибки в Event Log.

trubey
25.08.2005, 03:42
Vick Vega:
Проверь TCP/IP настройки у проблемной машины
не все так просто. вот что помогло:
==
Симптомы:
Все пингуется, инет работает, однако в сетевом окружении ничего не видно, либо при входе в сетевое окружение выдает ошибку
Либо, в большой сети, разделенной на подсети, в сетевом окружении видно не все компьютеры, однако по \\192.168.1.10\ зайти на компьютер в другой подсети можно.

Решение:
Для корректной работы службы броузинга (система в сети Майкрософт, отвечающая за просмотр списков компьютеров в сетевом окружении, регистрацию в этих списках новых компьютеров, корректного завершения работы компьютера с удалением себя из этого списка) в каждой подсети должно работать максимум два-три компьютера с включенной службой браузинга. Один из них становится активным локальным мастер бразуером сети, остальные бэкапными локальными мастер браузерами сети. Распределение ролей происходит в результате выборов, решающими факторами являются - является ли сервер контроллером домена, старшинство операционной системы (т.е. ХР prof выиграет у 2000 Prof, однако 2000 Server выиграет у них обоих), в последнюю очередь при прочих равных условиях также играет роль время аптайма сервера.
Для того, чтобы список компьютеров в сетевом окружении корректно работал в сети, состоящей из несколько широковещательных доменов (т.е. несколько подсетей, разделенных маршрутизаторами) необходимо, чтобы был в наличии Доменный мастер браузер (он есть только на контроллерах домена) и средство связи между локальными мастер браузерами и доменным мастер браузером - WINS сервер, в котором прописываются адреса всех броузеров.
==
Более подробно описано на hттp://forum.sysadmins.ru/5/49026/

xaoc79
25.08.2005, 09:26
В общем задача такая есть группа пользователей которым нужно
разрешить доступ только к определенным сайтам(60 шт).

Возможно ли такое с помощью групповых политик?

Если да то как?


домен на вин 2000 сервер прокси нету все ходят через cisco pix(шлюз) в нет, на шлюзе это сделать я не могу (нет доступа+указка сверху сделать все в винде).

попробовал такой вариант задавать несуществующий прокси и в настройках прописать сайты которым ходить без прокси, НО сайтов 60 штук и все они в одну гп не влазиют создаю две одинаковые с разным набором сайтов не пашет.

мужики помогите задача очень срочная.

ac2on
26.08.2005, 16:27
Попробуй поставить фаэрвол, в котором разреши обращение только на определенные ip сайтов.
В принципе, если настроен нат, то можно тоже самое сделать в через него с помощью фильтра по ip.
Хотя на мой взгляд лучше поставить прокси, и там уже прописать сайты, к которым есть доступ. покраеней мере, можно контролировать время работы и объем трафика.

DobermanS
27.08.2005, 17:05
если юзеры ходят в инет только через эксплорер то можно через
Content Advisor in Content tab-Internet options

ioka
28.08.2005, 02:57
Content Advisor in Content tab-Internet options
да-да...::
[Свойства обозревателя/Содержание/Безопасность] [Надежные узлы]
[Свойства обозревателя/Содержание/Ограничение доступа] [Включить] [Разрешенные узлы]
и импортировать это дело в gpedit.msc:
[Конфигурация пользователя/Конфигурация Windows/Настройка Internet Explorer/Безопастность] [Параметры безопасности и конфиденциальности] :
[Импортировать текущие параметры безопасности и конфиденциальности] и
[Импортировать текущие параметры оценки содержимого]

knack
29.09.2005, 15:38
Вопрос - где в настройках GP сделать доступным использование флэш карт. а то читать можно, а записывать нельзя. я просто немогу понять как они вообще называются в терминологии win2k. если removable media то там есть пункт только касательно их отключеения от системы, но это не то...

robinzon
03.11.2005, 11:56
Не могу открыть это окно, набираю в пуск/выполнить gpedit.msc. Вылазит окно с ошибкой, точный текст:" Windows не удалось найти 'gpedit.msc'. Проверьте, что имя было введено правильно, и повторите попытку. Чтобы выполнить поиск файла, нажмите кнопку "Пуск", а затем выберите команду "Найти". Искал поиском найти ничего не удалось, винда стоит Home Edition, лицензионная.

KomatoZo
03.11.2005, 12:37
А в Home вообще по умолчанию это дело есть ? Попробуй запустить mmc - если найдешь и через нее добавить оснастку.

FantomIL
03.11.2005, 12:55
В Windows XP Home по-умолчанию нет групповой политики.

jafar
20.11.2005, 13:01
Как запретить назатие правоы кнопки мишки?

cmy
20.11.2005, 23:07
С помощью GP, ИМХО, - никак.

Cartman
21.11.2005, 12:00
jafar, будь вниматильнее. Устное предупреждение за дублирование тем.
Объединяю (http://www.imho.ws/showthread.php?t=73588&goto=lastpost).

ioka
23.11.2005, 20:27
cmy:
С помощью GP, ИМХО, - никак.ну почему же.. если надо отменить вызов контестного меню на рабочем столе или виндовом меню, то не вопрос - именно там

AndreyN
29.11.2005, 05:35
Ситуация следующая. Я попытался разобрать в настройках групповой политики. И поставил ветку реестра HKEY_CLASSES_ROOT только для чтения одним пользователем. Зачем это я сделал ? Сам не знаю. И естественно, что нормально Windows не загружается. Кто-нибудь может посоветовать как это убрать. Я предположил что если убрать групповую политику с контейнера к которому относился этот компьютер, то вернется все обратно. Но этого не произошло. Кто-нибудь знает что делать?
Я вот тоже доковырялся и на сервере и на станции у себя. Хотя на сервере прямо добавлял в права на разделы и ветки и "систему" и "администраторов домена" всё равно система "легла боком". На станции WXPSP2 в процессе поиска решения серверной проблемы запускал secadd.exe и что то произошло.
This program is used to remove the Everyone group from a
specified Registry key in the HKEY_LOCAL_MACHINE hive
or add read privleges to a user on a specified registry key.
Usage RegSecAdd -l(Local) KeyName
RegSecAdd -r \\ServerName KeyName to remove the Everyone group.
RegSecAdd -l -a KeyName UserName to add read permissions to a key locally.
RegSecAdd -r -a \\ServerName KeyName UserName to add read permissions to a key remotely.
Example RegSec -l -a software\microsoft Domain\User.
Не запускается профиль. Говорит нет прав доступа. Администраторы локального компьютера (к которому относится и незагружающийся доменный пользователь) имеют доступ ко всему содержимому c:\document and settings\user\.
Натолкните на мысль, пожалуйста.
P.S. в стандартных шаблонах безопасности нет ни одного, чтобы менял права достпа на реестр. Как правильно устанавливать права доступа на ветки реестра, чтобы не было "мучительно больно"?... :молись: :help: :молись: :help: :молись:

anakarn
28.01.2006, 14:01
WinXP SP2 Corp Rus
С некоторых пор при попытке открыть в Администрировании -> Локальная политика безопасности ругается. Словами описывать не буду, лучше скрин посмотрите:

Второй скрин - это само окно где по идее я должен настраивать политику юзеров, компа и т.д.

nemur
28.01.2006, 14:34
Описание и решение твоей проблемы смотри тут:

http://support.microsoft.com/default.aspx?scid=kb;en-us;826282 :contract:

Vovs
09.03.2006, 15:26
Подскажите пожалуйста как в Виндовс2000Сервер можно реализовать всё то, что можно сделать в ВинХр вот здесь:-->
Администрирование - Локальная политика безопасности - Политики ограниченного использования программ.
Тоисть:
1.чтобы стал невозможен запуск любых exe файлов кроме тех директорий,
которые я выделил
2.Чтобы пользователь не мог инсталлить свои программы.
Также запрет на запуск конкретного файла.(правило хеша)

Naharar
17.03.2006, 16:39
Дамы и господа, а кто чем пользуется для создания политик?
Не poledit и не тулза от MS, она лишь под XP и 2003, а у меня W2K.
Проблема в том, что нужно создать несколько десятков политик, а стандартный путь не совсем удобен.

ioka
18.03.2006, 23:06
Naharar, ну, стандартный gpedit.msc
и GPMC (Group Policy Management Console) но это уже для 2003

а вообще их же можно и и скопировать, но предварительно инициировать стандартно, поскольку уникальный идентификатор все же генерить нада... а потом еще же есть и наследование (контейнер в контейнер и тп.)...

опиши подробнее что нужно, может что и будет посущественнее... :)

Naharar
24.03.2006, 16:37
Skipped.

ОК, у меня попросту задача создать несколько десятков вариантов групповых политик для нескольких разных AD.
gpedit.msc известен и используется.
GPMC использовать не могу, т.к. сеть только из W2K, как серверов, так и станций. Миграция на W2003 нежелательна (Сеть рабочая и работающая 24/7/365, посему экспериментировать на ней чревато), но, если GPMC сможет поддержать нижеуказанные требования, буду переходить.

Под разные АРМы есть политики, но проработка каждой чревата временем.
Пока единственным вариантом является работа через виртуальную машину, но это забирает немало времени. Да, все политики хранятся локально и спокойно подвязываются.

Хочется... Хочется странного - возможности редактировать несколько политик с выведением полной информации, что именно эта политика делает (должна делать). Этакий конструктор.

coolchevy
06.06.2006, 12:04
Подскажите пожалуйста, где и как настроить политики для пользователей, не могу найти, понимаю что можно другими средставми, грубо говоря через реестр, но хотелось как то через готовую консоль.

И еще, не могу зайти как администратор, говорит что запрещено политикой безопасности, получается зайти лишь в safe mode, как побороть?

xoy
06.06.2006, 15:17
в home - нигде! (это ограничения поставлиные дядей билли -он посчитал что дома это некчиму)
ставь про там все есть

coolchevy
06.06.2006, 21:33
в принципе я так и понял, но тут дело в другом, покупались специально хоме едишины, так как их лицензия дешевле.

Может кто подскжет как можно хотя бы зайти в систему под админом? (кроме как в safe mode)

Naked
06.06.2006, 21:39
coolchevy:
Может кто подскжет как можно хотя бы зайти в систему под админом?
хм, если я не ошибаюсь, то можно отрубить экран приветствия и входить под тем кем хочешь, вводя соответствующие имена, а еще любой пользователь в хоме обладающий админскими правами=администратор, а не только тот, который кличется Администратором изначально. вроде так:)

coolchevy
06.06.2006, 22:34
Naked, я так и делаю, но получаю ответ мол данное действие запрещено локальной политикой, если логинюсь в сафе мод то все гуд.

Проблема не в том как залогинится, а как отключить эту защиту или проверку, или как еще ее там назвать...

Plague
06.06.2006, 22:54
не понял, что и под админом ругается чтоль?

Borland
07.06.2006, 02:17
coolchevy
http://windowsxp.mvps.org/admins.htm
In Windows XP Home Edition, you can login as built-in Administrator in Safe Mode only. For XP Professional, press CTRL + ALT + DEL twice at the Welcome Screen and input your Administrator password in the classic logon window that appears.

imhoman101
07.06.2006, 04:49
>Проблема не в том как залогинится, а как отключить эту защиту или проверку, или >как еще ее там назвать...

Помнитца мне, что в приложении mmc (Microsoft Management Console), есть Snap-In подключаемый, при помощи которого можно восстановить все эти установки безопасности в уровень по умолчанию, который был у операционки при установке.

Какой именно Snap-In за это отвечает, и на какой конкретно уровень надо все установки поставить (который считается как раз по умолчанию) уже не помню, на MCSE еще не сдавал экзамен 70-270, вот буду готовиться - тогда и вспомню и прочитаю еще раз :-)

PS Ну и попробуй самое простое - в Local Security Policy глянть, какие у тебя настройки в полях - Deny Logon Locally итп

coolchevy
07.06.2006, 10:39
imhoman101, я не могу найти как можно добраться до политик в хоме едишине, подскажи пожалуйста где конкретно искать?

Borland, да, спасибо, вот еще нашел:

После завершения установки вы можете пользоваться учетной записью администратора только в безопасном режиме. При использовании учетной записи администратора для входа в систему в обычном режиме может появиться следующее сообщение об ошибке:
Вход в систему невозможен из-за ограничений для учетной записи
Возникновение этой проблемы связано с тем, что учетная запись администратора резервируется для использования в безопасном режиме, когда учетная запись владельца недоступна.
Подобное поведение является особенностью данного продукта.
http://support.microsoft.com/?kbid=290109

Может кто знает где в реестре можно это ручками побороть? Очень нужно :молись:

imhoman101
09.06.2006, 07:30
imhoman101, я не могу найти как можно добраться до политик в хоме едишине, подскажи пожалуйста где конкретно искать?

Start -> Settings -> Control Panel -> Administrative Tools -> Local Security Policy
И там уже смотришь ветку Local Policies: User Rights Assignment & Security Options.

Подобное поведение является особенностью данного продукта.
http://support.microsoft.com/?kbid=290109

Ну так это не баг, это фича, судя по написанному по ссылке :-)
Так что мешает создать еще одного пользователя и дать ему админские права и этим пользователем логиниться, вместо встроенного в систему Administrator'а ?

KomatoZo
09.06.2006, 10:03
Насчет политик даже отвечать не буду - съэкономили, теперь сами разбирайтесь =)
А насчет админа - в home самый простой способ до него добраться это два раза нажать в экране приветствия "три болта ".

pazdak
27.11.2006, 18:23
Помогите решить Маленькую проблемку, но доставляющую головную боль.
Прошу прощения, если тема уже поднималась, но ответа я на нее нигде не нашел...

Windows 2003 AD
Клиенты Windows 2000/XP

Нужно с помощью групповой политики раздать полные права ВСЕМ пользователям компании на следующую ветку реестра:

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\S ystem]

При помощи шаблона: Computer Config->Windows Setting->Registry этого не получается сделать, наверное потому, что Computer Config не знает про HKEY_CURRENT_USER

Отсюда собственно вопрос, как для этой ветки, пользователям можно дать права при помощи GPO или может быть (VBS) скрипт какой использовать для этих целей?
Очень нужен Ваш совет...

KomatoZo
27.11.2006, 18:34
А у каждого пользователя и так Full Control на эту ветку, так что непонятно, что Вам нужно.

pazdak
27.11.2006, 19:16
KomatoZo
Прошу прощенья, что сразу не написал, ибо ветка:
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies]
по умолчанию имеет права Read для обычного пользователя, а нужно Full Control. Если не верите, то можете проверить...
Собственно вопрос остается открытым...

KomatoZo
27.11.2006, 19:48
Виноват, обознался. Честно говоря, задача не из тривиальных. Потому что если пользователь не имеет на ветку прав, то изменить их не может. А у Администратора, как и у каждого пользователя - своя ветка current_user. Сразу видится только один путь: дать пользователям права администратора, скриптом выставить права на ветку, отобрать права администратора. Могу ошибаться.

pazdak
28.11.2006, 11:38
KomatoZo
Это наверное единственный выход из сложившейся ситуации, но как все сделать автоматически, через скрипт:
1) Дать права администратора пользователю (нужна как минимум перерегистрация), может быть через runas запустить другой скрипт для 1) и 3)
2) Назначить права на ветку реестра
3) Забрать права администратора у пользователя (нужна как минимум перерегистрация)

Все это хотелось бы сделать именно автоматически через скрипт.

KomatoZo
28.11.2006, 11:44
Ммм... Криво, но, может быть так:
Создаем скрипт, который запускается при стартапе и:
1) делает пользователя членом группы Администраторы, пишет в какой-нибудь файлик... Ну, скажем, "1", делает юзеру принудительный logof
2) При повторной загрузке смотрит, есть ли единичка, если есть, то выставляем нужные полномочия, выключаем пользователя из админов, пишем "2"
3) Смотрит, есть ли двойка, если есть, то просто отключается.
Коряво и неприятно, но все-таки...

Ascetic
01.12.2006, 05:29
Может поможет:


Содержащаяся в наборах Microsoft Windows 2000 Server Resource Kit и Microsoft Widows NT Server 4.0 Resource Kit утилита Subinacl – это один из самых мощных и полезных инструментов командной строки, который позволяет непосредственно редактировать практически любую информацию, относящуюся к сфере безопасности – разрешения, принадлежность, аудит – для всех типов объектов. С помощью Subinacl можно изменять эту информацию не только для файлов, папок и сетевых принтеров, но и управлять разрешениями в разделах реестра, системных службах и метабазе IIS.


_http://www.server.md/articles/153/

UPD:

subinacl.exe /outputlog=policies.log /keyreg HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies /grant=domain\user=F

Проверено. Работает.

pazdak
04.12.2006, 10:22
Ascetic
Спасибо конечно, но вопрос стоял не каким средством назначить права на ветку, а как дать эти права пользователю не имеющему прав лок. админа ИБО без этих прав команда subinacl.exe бесполезна !!!

Поэтому, пока единственно верный вариант для этой задачи именно тот который обсуждался с KomatoZo.

Хотя есть еще один, реализуемый при помощи команды RegIni, но тут есть масса ограничений, начиная от того, что нужно дать права только конкретному пользователю и заканчивая тем, что иногда домашняя папка пользователя называется не по имени пользователя, например после переименовая аккаунта.

Но в принципе задача решена на 99%, сейчас тестируется и отлаживается.
'******************************************************
'Краткое описание скрипта:
' Назначить ACL = Full Control(FC) для ветки реестра HKEY_CURRENT_USER.
' По умолчанию любой пользователь не входящий в группу лок. админов
' не имеет прав FC для ветки HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies
' встала задача автоматически раздать пользователям права на эту ветку.
' Как работает: (для текущего пользователя)
'...1) Проверяется, а есть ли вообще доступ к этой ветке? Если нет, то считаем, что такой ветки нет и на выход
'...2) Проверяется есть ли права на создание в этой ветке новых элементов? Если да и нет во временной папке (TEMP) флаг-файла, то на выход
'...3) Проверяем принадлежность пользователя к группе лок. админов, ибо только являясь лок. админом пользователь сможет поменять права на ветку в разделе HKCU
'...4) Если пользователь не лок. админ, то добавляем его туда через runas и создаем временный файл, чтобы потом отобрать это право у него при наличии этого файла. Сразу же делаем принудительный logoff, чтобы пользователь перелогинился с правами админа
'...5) Назначаем права на ветку реестра используя SetACL.exe (стороняя) и если пользователь ранее не был админом, то удаляем его из этой группы и удаляем временный флаг-файл. Сразу же делаем принудительный logoff, чтобы пользователь перелогинился с обычными правами
'******************************************************

Джонович
26.01.2007, 20:31
Захожу под Администратором, вижу политики, но изменить не могу! Что это может быть и как с этим бороться? Поискал здесь на форуме и в инете, ничего об ентом не нашел... Help! :молись:

Джонович
26.01.2007, 22:09
Выяснил (опытным путем), что при создании второго пользователя, который подключается к домену, с доменного контроллера копируются все "настройки" для данного пользователя... Как это отключить? Как сделать чтобы при подключении к домену и создании новой учетной записи не коцались стандартные установки винды по умолчанию? Помогите, винду надо срочно запустить на горе-компе!

gluon
26.01.2007, 23:01
в курсе, что если комп входит в домен к нему применяется политика домена, если политика (например, одна из политик паролей) определена на уровне домена она перекрывает локальную политику и локальный админ результирующую политику изменить не может ?

Джонович
27.01.2007, 10:58
В курсе. Только вот при установке другой версии XP (CE) такого не происходило... Думаю устанавливать теперь ее.

Хотя есть еще мысль. Залогинится в домен как администратор, тогда по идее все политики домена администраторские применятся к локальному компу и все будет гуд. А потом уже залогиниться под конкретным юзером. Видимо попробую сначала такой вариант, а потом уже другую версию.

Oleg
06.02.2007, 15:02
1) Подскажите пожалуйста, в какой ветке групповых политик находится ключ "Create global objects" (знаю только, что это относится к DCOM, службам компонентов).

2) Как открыть редактор групповых политик на windows 2000 prof sp 4 ?

rsasha
10.04.2007, 22:15
Подскажите есть ли возможность запретить обновление политик безопасности в винде ХР которые идут с домена?

casperAW
17.04.2007, 14:12
Всем доброго времени суток!
Подскажите пожалуста, каким образом можно произвести импорт и экспорт групповых политик для Windows 2003 Server?

ROMSEz
13.09.2007, 16:33
Добрый день, тема, как я вижу, угасает, но я не решаюсь создать новую, думаю для моего впроса эта подойдет...
Есть контроллер домена (Windows Server 2003)
Есть несколько рабочих станций (Windows XP, Windows 2000)
На контроллере домена заведено несколько групповых политик для разных отделов фирмы. Все работает на "ура"!
Интересует следующий момент (объясню на конкретном примере):
На некоторых рабочих станциях установлен Kaspersky. На контроллене домена его нет, а следовательно и службы "Kaspersky..." тоже нет. Возникла необходимость принудительно поставить эту службу в состояние "Disable" на всех рабочих станциях. Бегать от компа к компу и останавливать службы локально - это не вариант! Использовать оснастку "Active Directory Users and Computers" подключаясь к каждой рабочей станции тоже не прокатит (Каспер защищает свою службу и доступа не дает).
Следовательно службу надо остановить по средствам контроллера домена отредактировав соответсвующие групповые политики... Но как??? Каспер на сервере не установлен, а соответсвенно в списках его службы нет! Вот и вопрос - как добавить какую-либо службу (которые создаются путем установки программ) в групповые политики, не устанавливая эти программы на сервере??? Возможно ли это, вообще?

ROMSEz
19.11.2007, 16:22
как добавить какую-либо службу (которые создаются путем установки программ) в групповые политики, не устанавливая эти программы на сервере??? Возможно ли это, вообще?
Короче, всё легко! Просто делаем экспорт следующей ветки реестра:
HKLM\SYSTEM\CurrentControlSet\Services\<СЛУЖБА>
на машине, где нужная служба присутствует. Либо для этого используем "виртуальную машину"!
А затем на сервере импортируем созданный файл! Соответственно, в списке служб сервера появляется недостающая служба, но лишний софт не устанавливается!
Другими словами (если на предыдущем примере):
На ПК, где установлен Kaspersky сохраняем в файл (допустим AVP.reg)следующую ветку реестра:
HKLM\SYSTEM\CurrentControlSet\Services\AVP
списываем AVP.reg на сервак и импортием его на сервере. Перезагружаемся и в редакторе ГП в соответствующем разделе задаем состояние этой службы и разрешения на доступ к ней... А каспер на серваке устанавливать не пришлось!

Hrusha
07.04.2008, 14:39
Пытаюсь установить Groupe policy management console with service pack 1 - выдает " не могу установить потому, что не установлен Microsoft .NET Framework". Установил этот компонент - все равно пишет, что его нехватает! Как можно решить эту проблему?

elj
07.04.2008, 14:43
может не та версия фреймворка, их целых три...и все разные

Hrusha
07.04.2008, 15:08
У меня стоит 2, 3, и 3.5! Не ужели надо первый ставить? Сейчас попробую первый поставить.

добавлено через 15 минут
Да, таки надо было 1-й поставить. Я то думал, что, например, 3 версия дополняет все ранние:))
Спасибо.

dim99
11.04.2008, 23:44
На одной из машин XP SP2, введенной в домен, не применяются групповые политики. Подскажите куда смотреть? Нет - одна применяется - Выключение Брандмауэра. Но - одна, а их 7.
Запускаю rsop.msc - Windows не удалось найти "rsop.msc"
В журнале событий - Приложения - Ошибка Userenv "Windows не удалось записать в журнал состояние сеанса RSoP. Попытка подключения к WMI НЕ удалась. Дальнейшее протоколирование RSoP не будет выполняться для этого применения политики".
Стоит Антивирус - McAfee но он не блокирует применение груп. политик, т.к. - он настроен одинаково на всех хостах, а проблемы с групп. политиками - только на одном. Только Брандмауэр - выключается.
В журнале есть сообщения (ошибки) от SceCli:
" Политика безопасности в объектах групповой политики успешно применена"
Какая служба отвечает за применение групп. политики? Что может быть Выключено?

dim99
18.04.2008, 19:29
Нашел. Оказывается - этот хост был изначально XP Home (да и как показала практика - остался). Потом, известным методом его переделали в Pro и ввели в домен. Но почему некоторые политики все-таки применились?

Borland
18.04.2008, 23:04
почему некоторые политики все-таки применились?Потому, что они применимы и к Home.
Те, что хома принимает - применились, остальные - нет.
Можно и "в сервер превратить" эту самую Home. Но сервером она при этом не станет... :devil:

oldgoat
15.05.2008, 14:33
а вообще их же можно и и скопировать, но предварительно инициировать стандартно, поскольку уникальный идентификатор все же генерить нада... А вот это интересно. Можно по подробнее?

leahov
30.07.2008, 11:07
вчера переустановил дрова на видео, после перезагрузки, после ввода пароля вышло сообщение:
Используется режим выбора политики вручную, но файл политики не найден.
Вход в систему будет проведен без применения политики. Возвращенное значение (2).

Как исправить это дело?

PS Не бейте ногами, не знал в какую ветку писать

eap
30.07.2008, 11:51
Я бы перезагрузился, по Ф8 выбрал "Последнюю удачную конфигурацию" и потом подумал, стоит ли переустанавливать драйвер.

leahov
30.07.2008, 12:21
eap не понял совета вообще. если идти по твоим размышлениям то все апдейты, обновление устаревших драйверов и тд и тп это нафиг не нужно? или что? тут вопрос решается в другом варианте вообще - политика по моему включается в службах, но вот какая из них должна работать в режиме авто чтоб исчезла эта надпись - вот вопрос!

eap
30.07.2008, 12:38
У тебя возникла проблема.
Проблема возникла после переустановки драйвера.
Проблему нужно снять.
Вернись назад по Ф8 и убедись, что проблема снялась.

Если на компе стоит Win2000 - значит комп старый, видеокарта старая. До обновления драйвера все работало. Значит, обновление драйвера - не по "жизненным показателям", а для порядка - вышел новый драйвер - надо бы обновить.
Я правильно понял ситуацию? Или ты не все написал?

leahov
30.07.2008, 12:45
а для порядка - вышел новый драйвер - надо бы обновить. да именно из-за этого (последний раз обновлял 3 года назад), просто на другой машине когда то всплывала точно такая же проблема,но там отличие было только не видео а звуковая, было изменено в службах один параметр из Ручного на Авто и проблема решилась, но вот какой именно не помню.

eap
30.07.2008, 13:16
Мое отношение ты понял - работает у бухгалтера (менеджера, юриста...) старый комп, настроен, какой-то спецсофт поставлен - и пусть себе работает, трогать не нужно. Возникают проблемы - проще сохранить документы, профиль, и все снуля переставить. Получается гарантированно положительный результат за заранее известное время. Чем устраивать пляски с бубном вокруг компа. Причем неизвестно, сколько дней плясать придется.

leahov
30.07.2008, 13:21
я другого мнения придерживаюсь, лучше найти проблему, и если торба полная только после этого переустанавливать систему, а не сразу в случае чего -переустановка всё решит

Morok
02.08.2008, 01:31
на _http://www.nowa.cc/showthread.php?p=1806758 - тоже твоя тема? там ведь дело говорят - код ошибочки нужно, и вообще все данные, которые можно изъять из того сообщения. Потому что объяснил достаточно абстрактно...

Nistelrooy
02.08.2008, 14:09
попробуй создать политику... выполнить-mmc-консоль..добавить осностку-добавить.. и там уже выбераешь какие политики добавить... в твоем случае локальные... сохраянешься и ребут

Ser
11.09.2008, 15:03
Возникло несколько вопросов по управлению компом через Group Policy. поиск ничего не выдал, поэтому решил создать новую тему.
1. как через полиси отключить доступ к интернету?
2. как через полиси изменить внешний вид? равносильно этому:
http://s50.radikal.ru/i129/0809/4d/94f26b80026a.jpg

3. в какой части полиси изменяютса настройки Folder Options? например Thumbnails, Tiles или Icons ну и тд.

Спасибо зарание!

pazdak
12.09.2008, 11:18
Ser
Ну что сказать, в стандартных шаблонах (ADM) этого НЕТ.
Нужно либо свой нарисовать, либо использовать сторонние утилиты для этого!
Кстати какой домен используется 2003/2008 ???

1) Думаю, что никак! именно через GPO. тут необходимо четкое понимание, как этот инет раздается пользователю

2) Здесь немного проше, можно нарисовать ADM или VBScript который менял бы значение ключа:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\V isualEffects\VisualFXSetting = 2 (Adjust for best performance)
Пример,
Option Explicit
Const HKEY_CURRENT_USER = &H80000001
Const HKEY_LOCAL_MACHINE = &H80000002

Dim strComputer, oReg, strKeyPath,strValueName, dwValue

strComputer = "."

Set oReg = GetObject("winmgmts:{impersonationLevel=impersonate}!\\" & _
strComputer & "\root\default:StdRegProv")

strKeyPath = "Software\Microsoft\Windows\CurrentVersion\Explorer\VisualEffects"

' Sets a DWORD value
strValueName = "VisualFXSetting"
dwValue = 00000002
oReg.SetDWORDValue HKEY_CURRENT_USER,strKeyPath,strValueName,dwValue

Соответственно можно запускать как логон-скрипт через GPO
НО, есть еще free утилитка PolicyMaker Registry Extension, рекомендую посмотреть:
hххp://www.microsoft.com/windowsserver2003/technologies/management/grouppolicy/gptools.mspx

3) Тут тот же ответ, только ADM, если имеется ключ реестра для этого дела. Тут можно посмотреть кучу параметров реестра:
hххp://wiki.oszone.net/index.php/%D0%A2%D0%B2%D0%B8%D0%BA%D0%B8_%D1%80%D0%B5%D0%B5%D1%81%D1%82%D1%80%D0 %B0/HKCU.REG
У меня такой задачи никогда не было, но так для примера мой ADM когда-то нарисованный, как шаблон прилагаю:
CLASS USER

CATEGORY !!FolderViews

CATEGORY !!SettingPropertiesFolders
POLICY !!NoNetCrawling
KEYNAME "Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced"
EXPLAIN !!NoNetCrawling_explain
VALUENAME "NoNetCrawling"
VALUEON NUMERIC 1
VALUEOFF NUMERIC 0
END POLICY

POLICY !!ClassicViewState
KEYNAME "Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced"
EXPLAIN !!ClassicViewState_explain
VALUENAME "ClassicViewState"
VALUEON NUMERIC 1
VALUEOFF NUMERIC 0
END POLICY

POLICY !!SeparateProcess
KEYNAME "Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced"
EXPLAIN !!SeparateProcess_explain
VALUENAME "SeparateProcess"
VALUEON NUMERIC 1
VALUEOFF NUMERIC 0
END POLICY

POLICY !!DesktopProcess
KEYNAME "Software\Microsoft\Windows\CurrentVersion\Explorer"
EXPLAIN !!DesktopProcess_explain
VALUENAME "DesktopProcess"
VALUEON NUMERIC 1
VALUEOFF NUMERIC 0
END POLICY

END CATEGORY ;; !!SettingPropertiesFolders

END CATEGORY ;; !!FolderViews

[strings]
FolderViews="Настройка внешнего вида папок"
SettingPropertiesFolders="Настройка свойств папки"
NoNetCrawling="Отключить функцию автоматического поиска сетевых принтеров и папок"
NoNetCrawling_explain="Эта политика отключает функцию автоматического поиска сетевых принтеров и папок (Automatically Search for Network Folders and Printers)\n\n[NoNetCrawling, 0=включить; 1=отключить]"
ClassicViewState="Не запoминать пapaмeтpы oтoбpaжeния кaждoй пaпки"
ClassicViewState_explain="Пoмнить пapaмeтpы oтoбpaжeния кaждoй пaпки (Remember each folder's view settings)\n\n[ClassicViewState, 0 = помнить; 1 = не запоминать]"
SeparateProcess="Запускать Проводник как два отдельных процесса"
SeparateProcess_explain="(Launch folder windows in a separate process)\n\n[SeparateProcess, 0 - не запускать; 1 = запускать]"
DesktopProcess="Запускать Рабочий стол и Панель задач в раздельных процессах"
DesktopProcess_explain="ЗАМЕЧАНИЕ:\n\nПри успешном внесении указанного изменения возникает проблема, связанная с сетевыми соединениями. Если после внесенного изменения отсоединиться от сетевого диска, а затем снова установить сетевое соединение с той же буквой, но для другого разделяемого ресурса, то можно отобразить старое название сетевого диска, но при этом его содержимое будет корректным (соответствовать новому ресурсу). Если вы столкнулись с такой проблемой, установите значение DesktopProcess равным 0, но при этом рабочий стол и панель задач будут запускаться в одном процессе\n\n[DesktopProcess, 0 - не запускать; 1 = запускать]"

Nistelrooy
12.09.2008, 12:06
Ser,
по первому вопросу через GPO можно закрыть доступ к ностройки сети и прокси.. сам инет можно резать на роутере... если у Вас линуховый маршрутизатор то там тоже можно рулить через Iptable или ipfw доступом в инет, причем он может брать с домена группы пользователей которые имееют доступ в инет или нет... у меня три группы в домене
No_inet
Limit_inet
unlimit
в них соответсвующие пользаки.. и на основе этих груп линух разруливает интернет.

по другим вопросам согласен с
pazdak.