Naked, я так и делаю, но получаю ответ мол данное действие запрещено локальной политикой, если логинюсь в сафе мод то все гуд.

Проблема не в том как залогинится, а как отключить эту защиту или проверку, или как еще ее там назвать...

не понял, что и под админом ругается чтоль?

coolchevy
http://windowsxp.mvps.org/admins.htm

>Проблема не в том как залогинится, а как отключить эту защиту или проверку, или >как еще ее там назвать...

Помнитца мне, что в приложении mmc (Microsoft Management Console), есть Snap-In подключаемый, при помощи которого можно восстановить все эти установки безопасности в уровень по умолчанию, который был у операционки при установке.

Какой именно Snap-In за это отвечает, и на какой конкретно уровень надо все установки поставить (который считается как раз по умолчанию) уже не помню, на MCSE еще не сдавал экзамен 70-270, вот буду готовиться - тогда и вспомню и прочитаю еще раз :-)

PS Ну и попробуй самое простое - в Local Security Policy глянть, какие у тебя настройки в полях - Deny Logon Locally итп

imhoman101, я не могу найти как можно добраться до политик в хоме едишине, подскажи пожалуйста где конкретно искать?

Borland, да, спасибо, вот еще нашел:
Может кто знает где в реестре можно это ручками побороть? Очень нужно :молись:

Start -> Settings -> Control Panel -> Administrative Tools -> Local Security Policy
И там уже смотришь ветку Local Policies: User Rights Assignment & Security Options.

Ну так это не баг, это фича, судя по написанному по ссылке :-)
Так что мешает создать еще одного пользователя и дать ему админские права и этим пользователем логиниться, вместо встроенного в систему Administrator'а ?

Насчет политик даже отвечать не буду - съэкономили, теперь сами разбирайтесь =)
А насчет админа - в home самый простой способ до него добраться это два раза нажать в экране приветствия "три болта ".

Права на ветку реестра CURRENT_USER через Групповую политику?
 

Помогите решить Маленькую проблемку, но доставляющую головную боль.
Прошу прощения, если тема уже поднималась, но ответа я на нее нигде не нашел...

Windows 2003 AD
Клиенты Windows 2000/XP

Нужно с помощью групповой политики раздать полные права ВСЕМ пользователям компании на следующую ветку реестра:

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\S ystem]

При помощи шаблона: Computer Config->Windows Setting->Registry этого не получается сделать, наверное потому, что Computer Config не знает про HKEY_CURRENT_USER

Отсюда собственно вопрос, как для этой ветки, пользователям можно дать права при помощи GPO или может быть (VBS) скрипт какой использовать для этих целей?
Очень нужен Ваш совет...

А у каждого пользователя и так Full Control на эту ветку, так что непонятно, что Вам нужно.

KomatoZo
Прошу прощенья, что сразу не написал, ибо ветка:
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies]
по умолчанию имеет права Read для обычного пользователя, а нужно Full Control. Если не верите, то можете проверить...
Собственно вопрос остается открытым...

Виноват, обознался. Честно говоря, задача не из тривиальных. Потому что если пользователь не имеет на ветку прав, то изменить их не может. А у Администратора, как и у каждого пользователя - своя ветка current_user. Сразу видится только один путь: дать пользователям права администратора, скриптом выставить права на ветку, отобрать права администратора. Могу ошибаться.

KomatoZo
Это наверное единственный выход из сложившейся ситуации, но как все сделать автоматически, через скрипт:
1) Дать права администратора пользователю (нужна как минимум перерегистрация), может быть через runas запустить другой скрипт для 1) и 3)
2) Назначить права на ветку реестра
3) Забрать права администратора у пользователя (нужна как минимум перерегистрация)

Все это хотелось бы сделать именно автоматически через скрипт.

Ммм... Криво, но, может быть так:
Создаем скрипт, который запускается при стартапе и:
1) делает пользователя членом группы Администраторы, пишет в какой-нибудь файлик... Ну, скажем, "1", делает юзеру принудительный logof
2) При повторной загрузке смотрит, есть ли единичка, если есть, то выставляем нужные полномочия, выключаем пользователя из админов, пишем "2"
3) Смотрит, есть ли двойка, если есть, то просто отключается.
Коряво и неприятно, но все-таки...

Может поможет:

_http://www.server.md/articles/153/

UPD:

subinacl.exe /outputlog=policies.log /keyreg HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies /grant=domain\user=F

Проверено. Работает.

Ascetic
Спасибо конечно, но вопрос стоял не каким средством назначить права на ветку, а как дать эти права пользователю не имеющему прав лок. админа ИБО без этих прав команда subinacl.exe бесполезна !!!

Поэтому, пока единственно верный вариант для этой задачи именно тот который обсуждался с KomatoZo.

Хотя есть еще один, реализуемый при помощи команды RegIni, но тут есть масса ограничений, начиная от того, что нужно дать права только конкретному пользователю и заканчивая тем, что иногда домашняя папка пользователя называется не по имени пользователя, например после переименовая аккаунта.

Но в принципе задача решена на 99%, сейчас тестируется и отлаживается.

WinXP SP2 RUS. Не могу поменять политику паролей! Help me!
 

Захожу под Администратором, вижу политики, но изменить не могу! Что это может быть и как с этим бороться? Поискал здесь на форуме и в инете, ничего об ентом не нашел... Help! :молись:

Выяснил (опытным путем), что при создании второго пользователя, который подключается к домену, с доменного контроллера копируются все "настройки" для данного пользователя... Как это отключить? Как сделать чтобы при подключении к домену и создании новой учетной записи не коцались стандартные установки винды по умолчанию? Помогите, винду надо срочно запустить на горе-компе!

в курсе, что если комп входит в домен к нему применяется политика домена, если политика (например, одна из политик паролей) определена на уровне домена она перекрывает локальную политику и локальный админ результирующую политику изменить не может ?

В курсе. Только вот при установке другой версии XP (CE) такого не происходило... Думаю устанавливать теперь ее.

Хотя есть еще мысль. Залогинится в домен как администратор, тогда по идее все политики домена администраторские применятся к локальному компу и все будет гуд. А потом уже залогиниться под конкретным юзером. Видимо попробую сначала такой вариант, а потом уже другую версию.

1) Подскажите пожалуйста, в какой ветке групповых политик находится ключ "Create global objects" (знаю только, что это относится к DCOM, службам компонентов).

2) Как открыть редактор групповых политик на windows 2000 prof sp 4 ?

Запретить обновление политик
 

Подскажите есть ли возможность запретить обновление политик безопасности в винде ХР которые идут с домена?

Импорт/экспорт групповых политик MS Windows 2003 Server
 

Всем доброго времени суток!
Подскажите пожалуста, каким образом можно произвести импорт и экспорт групповых политик для Windows 2003 Server?

как добавить службу в групповые политики контроллера домена
 

Добрый день, тема, как я вижу, угасает, но я не решаюсь создать новую, думаю для моего впроса эта подойдет...
Есть контроллер домена (Windows Server 2003)
Есть несколько рабочих станций (Windows XP, Windows 2000)
На контроллере домена заведено несколько групповых политик для разных отделов фирмы. Все работает на "ура"!
Интересует следующий момент (объясню на конкретном примере):
На некоторых рабочих станциях установлен Kaspersky. На контроллене домена его нет, а следовательно и службы "Kaspersky..." тоже нет. Возникла необходимость принудительно поставить эту службу в состояние "Disable" на всех рабочих станциях. Бегать от компа к компу и останавливать службы локально - это не вариант! Использовать оснастку "Active Directory Users and Computers" подключаясь к каждой рабочей станции тоже не прокатит (Каспер защищает свою службу и доступа не дает).
Следовательно службу надо остановить по средствам контроллера домена отредактировав соответсвующие групповые политики... Но как??? Каспер на сервере не установлен, а соответсвенно в списках его службы нет! Вот и вопрос - как добавить какую-либо службу (которые создаются путем установки программ) в групповые политики, не устанавливая эти программы на сервере??? Возможно ли это, вообще?

если на сервере отсутствует служба
 

Короче, всё легко! Просто делаем экспорт следующей ветки реестра:
HKLM\SYSTEM\CurrentControlSet\Services\<СЛУЖБА>
на машине, где нужная служба присутствует. Либо для этого используем "виртуальную машину"!
А затем на сервере импортируем созданный файл! Соответственно, в списке служб сервера появляется недостающая служба, но лишний софт не устанавливается!
Другими словами (если на предыдущем примере):
На ПК, где установлен Kaspersky сохраняем в файл (допустим AVP.reg)следующую ветку реестра:
HKLM\SYSTEM\CurrentControlSet\Services\AVP
списываем AVP.reg на сервак и импортием его на сервере. Перезагружаемся и в редакторе ГП в соответствующем разделе задаем состояние этой службы и разрешения на доступ к ней... А каспер на серваке устанавливать не пришлось!

Не могу поставить Groupe policy management console with service pack 1.
 

Пытаюсь установить Groupe policy management console with service pack 1 - выдает " не могу установить потому, что не установлен Microsoft .NET Framework". Установил этот компонент - все равно пишет, что его нехватает! Как можно решить эту проблему?

может не та версия фреймворка, их целых три...и все разные

У меня стоит 2, 3, и 3.5! Не ужели надо первый ставить? Сейчас попробую первый поставить.

добавлено через 15 минут
Да, таки надо было 1-й поставить. Я то думал, что, например, 3 версия дополняет все ранние:))
Спасибо.

На одной из машин XP SP2, введенной в домен, не применяются групповые политики. Подскажите куда смотреть? Нет - одна применяется - Выключение Брандмауэра. Но - одна, а их 7.
Запускаю rsop.msc - Windows не удалось найти "rsop.msc"
В журнале событий - Приложения - Ошибка Userenv "Windows не удалось записать в журнал состояние сеанса RSoP. Попытка подключения к WMI НЕ удалась. Дальнейшее протоколирование RSoP не будет выполняться для этого применения политики".
Стоит Антивирус - McAfee но он не блокирует применение груп. политик, т.к. - он настроен одинаково на всех хостах, а проблемы с групп. политиками - только на одном. Только Брандмауэр - выключается.
В журнале есть сообщения (ошибки) от SceCli:
" Политика безопасности в объектах групповой политики успешно применена"
Какая служба отвечает за применение групп. политики? Что может быть Выключено?

Нашел. Оказывается - этот хост был изначально XP Home (да и как показала практика - остался). Потом, известным методом его переделали в Pro и ввели в домен. Но почему некоторые политики все-таки применились?

Потому, что они применимы и к Home.
Те, что хома принимает - применились, остальные - нет.
[offtop]Можно и "в сервер превратить" эту самую Home. Но сервером она при этом не станет... :devil: [/offtop]

А вот это интересно. Можно по подробнее?

windows 2000. Настройки политики
 

вчера переустановил дрова на видео, после перезагрузки, после ввода пароля вышло сообщение:
Используется режим выбора политики вручную, но файл политики не найден.
Вход в систему будет проведен без применения политики. Возвращенное значение (2).

Как исправить это дело?

PS Не бейте ногами, не знал в какую ветку писать

Я бы перезагрузился, по Ф8 выбрал "Последнюю удачную конфигурацию" и потом подумал, стоит ли переустанавливать драйвер.

eap не понял совета вообще. если идти по твоим размышлениям то все апдейты, обновление устаревших драйверов и тд и тп это нафиг не нужно? или что? тут вопрос решается в другом варианте вообще - политика по моему включается в службах, но вот какая из них должна работать в режиме авто чтоб исчезла эта надпись - вот вопрос!

У тебя возникла проблема.
Проблема возникла после переустановки драйвера.
Проблему нужно снять.
Вернись назад по Ф8 и убедись, что проблема снялась.

Если на компе стоит Win2000 - значит комп старый, видеокарта старая. До обновления драйвера все работало. Значит, обновление драйвера - не по "жизненным показателям", а для порядка - вышел новый драйвер - надо бы обновить.
Я правильно понял ситуацию? Или ты не все написал?

да именно из-за этого (последний раз обновлял 3 года назад), просто на другой машине когда то всплывала точно такая же проблема,но там отличие было только не видео а звуковая, было изменено в службах один параметр из Ручного на Авто и проблема решилась, но вот какой именно не помню.

Мое отношение ты понял - работает у бухгалтера (менеджера, юриста...) старый комп, настроен, какой-то спецсофт поставлен - и пусть себе работает, трогать не нужно. Возникают проблемы - проще сохранить документы, профиль, и все снуля переставить. Получается гарантированно положительный результат за заранее известное время. Чем устраивать пляски с бубном вокруг компа. Причем неизвестно, сколько дней плясать придется.

я другого мнения придерживаюсь, лучше найти проблему, и если торба полная только после этого переустанавливать систему, а не сразу в случае чего -переустановка всё решит

на _http://www.nowa.cc/showthread.php?p=1806758 - тоже твоя тема? там ведь дело говорят - код ошибочки нужно, и вообще все данные, которые можно изъять из того сообщения. Потому что объяснил достаточно абстрактно...

попробуй создать политику... выполнить-mmc-консоль..добавить осностку-добавить.. и там уже выбераешь какие политики добавить... в твоем случае локальные... сохраянешься и ребут