Настроил таки домен Win2k3 (native mode). Завел узера, перевел свой ноутбук для тестирования в домен. С GPO не работал ни разу. Сразу наступил на грабли: насоздавал общих папок, хочу на доменные группы повесить скрипт на подключение сетевого диска (у каждой группы свой диск, + 1 диск у всех одинаковый). Скрипт такой:
Куда прописывать скрипт? В настройки пользователя на событие Logon?
Еще хотелось бы устанавливать при входе сетевой принтер (из AD). Не придумал пока, как :(

акуз-лингвист OrlicКуда прописывать скрипт? В настройки пользователя на событие Logon?
да. или на группу. или на всех сразу - если не нужны какие-то персональнуе диски кроме "май документс".

Профили будут локальные. Цепляться будут сетевые папки с документами. А в My Documents пусть свои личный файлы хранят, мне до них дела нет.
акуз-лингвист
OrlicЕще хотелось бы устанавливать при входе сетевой принтер (из AD). Не придумал пока, как :(
там же. net use имя_устройства. см. net use /?
Уже думал. Спрашивал, чтобы узнать, есть ли такая фича в GP :)

Что-то я в конец запутался...

Есть AD. В ней создал отдельный OU, в который ввел всех пользователей, группы и компьютеры.
Назначил определенной группе политику, прописал там скрипт на вход в систему. Не выполняется.
Вопрос - этот скрипт будет выполняться для всех пользователей, входящих в указанную группу, или только для тех, у которых эта группа задана как основная?

Все, вроде разобрался... Ноутбук был перемещен мною в другую OU, поэтому при входе в домен не мог применить групповые политики. Сейчас перезавел его как надо, все отработало. Еще косяк был в том, что шары называются у меня по русски, а написаны были в скрипте в кодировке WIN, а не DOS.

Такой вопрос. Если у меня юзер входит в 2 группы, одной я отключаю службы беспроводной сети, а другой группе эта служба нужна - какая политика отработает?

Guset OrlicЧто-то я в конец запутался...

Есть AD. В ней создал отдельный OU, в который ввел всех пользователей, группы и компьютеры.
Назначил определенной группе политику, прописал там скрипт на вход в систему. Не выполняется.
Вопрос - этот скрипт будет выполняться для всех пользователей, входящих в указанную группу, или только для тех, у которых эта группа задана как основная?


Немножко запутались (главное еще термины отличать один от другого).

Есть в AD, в оснастке dsa.msc возможность создать Организационные Юниты и вот на них то и накладывается групповая политика (вернее на всех тех пользователей и компьютеры, которые находятся в этом ОЮ)

Если Вы говорите, что задали скрипт на ВХОД В СИСТЕМУ - значит это касается настроек для пользователя (не компьютера) и потому в ОЮ должны входить учетные записи пользователей (или их группы), чтобы применились для них политики.
Именно так и поступал: в указанной остастке выбрал домен, создал новое подразделение (это и есть OU, насколько я понял по своей настольной книге - значок папки с вложенной папкой). В нем создавал группы, пользователей, заводил компьютеры.
К домену в целом применяется политика по умолчанию. ее рекомендуется не трогать. Для группы своих пользователей назначил отдельную политику. Есть еще группы по отделам (бухгалтерия, менеджеры и прочее), но на каждую группу отдельную политику назначать, ИМХО, расточительно.

Dimitry Sibiryakov
Кстати, не знаю как в 2003-ей, а в 2000-ой группы (которые Security
Groups) в OU совать бесполезно. Я так сделал, думал "вот сейчас все
политики на мемберов распространятся" - фиг!. Каждого пользователя
пришлось перемещать туда же индивидуально. :(
Posted via ActualForum NNTP Server 1.3
я изначально и группы, и юзеров в OU создаю. Домен то новый, не тронутый :)

Еще вопрос по теме.

Существуют некоторое количество переменных среды, например, %UserName% или %UserDomain%. Каким способом можно в cmd-скрипте определить принадлежность пользователя к определенной группе? Это к тому, чтобы в стартовом скрипте, назначаемом в групповой политике, в зависимости от пользователя "линковались" соответствующие сетевые диски, запускались программы или вообще ничего не происходило.

rrrrrrrrrrОбычно под совокупности пользователей и компьютеров, объединенных в OU, создаются политики с логон-скриптами, а не наоборот - одна политика, а в ней единый логон-скрипт
Для каждой группы пользователей - свою политику с индивидуальными логон-скриптами, можно. А если групп будет десятки? Неужели создавать политику только для назначения логон-скрипта?

Пожалуйста, объясните мне тупому, что происходит.

Есть групповая политика GP_MYDOMAIN_USERS, назначена для группы пользователей MYDOMAIN_USERS, находящейся в единственном OU - MY_OU:

Политика простая - скрипт на подключение сетевого диска, настройки прокси в IE, настройки WSUS.

При входе на рабочую станцию выполняются не вся политика - WSUS не настраивается.
На контроллере домена попробовал смоделировать Group Policy Results. Вот результаты:

Для тестирования создал другую политику, в которой прописал только запуск NOTEPAD при входе - и она выполнилась только при терминальном входе на контроллер домена.

Что я не так делаю? Где править?

Guset OrlicПожалуйста, объясните мне тупому, что происходит.

1) создаете OU (Organization Units) - столько и такие как вам надо распределить применение политик (т.е. грубо говоря OU заменяют Вам группу пользователей)
2) помещаете в нужные OU соответствующие учетные записи ПОЛЬЗОВАТЕЛЕЙ
3) настраиваете Групповую Поитику (ГП) на каждый нужный OU в разделе политики Конфигурация ПОЛЬЗОВАТЕЛЯ - Сценарии - Вход в систему - нажать кнопку ПОКАЗАТЬ ФАЙЛЫ - и в откывшуюся папку положить свои скрипты (оттуда они будут доступны и будут браться на выполнение)
Я в OU создаю не только пользователей, но и группы, принтеры и компьютеры.
Скрипты как раз таки выполняются, диски мапятся, настройки для IE тоже выполняются. А вот настройки клиентов для WSUS не проходят....

Biz© OrlicА вот настройки клиентов для WSUS не проходят....
политики не просто так разделены на пользовательскую и компьютерную части ...

И что с того? Групповая политика применяется для какого-лиюо объекта домена, например, для определенной группы пользователей. В групповой политике 2 части - для компьютера и для пользователя. Если в такой политике задать настройки для компьютера, а назначить ее пользователю, то эффекта не будет?

Спасибо, сейчас попробую нарисовать подобное для своей тестовой схемы.
Насколько я понимаю, для User_4, входящего в домен с компьютера Comp_3, результирующая политика будет GP_1 для компьютера, политика GP_3 для компьютера, переопределяющая настройки предыдущей политики GP_1, и GP_1 для пользователя. Верно?

Biz© OrlicСпасибо, сейчас попробую нарисовать подобное для своей тестовой схемы.
Насколько я понимаю, для User_4, входящего в домен с компьютера Comp_3, результирующая политика будет GP_1 для компьютера, политика GP_3 для компьютера, переопределяющая настройки предыдущей политики GP_1, и GP_1 для пользователя. Верно?
нет, неверно ... давайте поаккуратнее с терминологией ... на пользователя не влияет политика компутера, пользователь может только попасть в среду, созданную на компутере политикой компутера ...
для наглядности пользуйтесь утилитой gpresult:

gpresult /scope user
gpresult /scope computer
Именно так. Только я пользуюсь не gpresult, а вкладкой Group Policy Results оснастки Group Policy Managment, в которой получаю наглядный HTML отчет о том, какую результирующую политику я получу для данного юзера на данном компьютере.

Собственно, технологию назначения GP я понял так. Групповые политики можно назначать как на OU полностью, на группы пользователей, так и на единичные объекты (пользователи или компьютеры). Создавая одну групповую политику (включающую себя настройки для пользователя и для компьютера), я должен ее "приписать" пользователю / группе пользователей / OU (распространяется на пользователей пользовательская часть GP) и обязательно привязать ее к компьютерам (распространяется компьютерная часть GP), даже если эти компьютеры входят в OU.

Вот выдержки из "Полное руководство Microsoft Windows Server 2003" (Рэнд Моримото, Кентон Гардиньер и другие), SAMS, 2006 г., по которой я и начал изучение AD:
книга касательно OU
... основной причиной создания OU в среде AD является ... делегирование администрирования.
... Для правильного функционирования таких служб, как Group Policies, зависящих от функциональности OU, рекомендуется переместить объекты пользователей и компьютеров из их стандартных контейнеров в структуры OU...

книга касательно групповых политик
... групповые политики можно применять к группам пользователей, что устраняет необходимость создания OU именно для этой цели...
... Групповые политики пожно применять к сайтам, доменам и организационным единицам, но их можно сконфигурировать и для применения к конкретным группам.

Про пользователей я ошибся, признаюсь. Однако в прилагаемом мною рисунке в окне Security Filtering однозначно написано:
Здесь я применяю политику GP_CAPITAL_USERS к OU=CAPITAL, а именно к группе пользователей DG_USERS и двум компьютерам. И группа пользователей GP_USERS, и компьютеры находятся не в их стандартных контейнерах, а в OU=CAPITAL
Guest
Например для работоспособности настроек касающихся WSUS, достаточно задать только в "Конфигурации Компьютера" нужные параметры и применить эту созданную ГП на родительский OU (внутри которого, скажем, будут созданы еще OU, которые в свою очередь будут содержать только "Компьютерные учетные записи"), а все "Пользовательские учетные записи" будут находится в Контейнере USERS и на них будет действовать только Доменная ГП.

Доменную политику по умолчанию "трогать" не рекомендуется. Поэтому я создал политику GP_CAPITAL, в OU=CAPITAL, в ней есть настройки и для компьютера, и для пользователя.