Настроил таки домен Win2k3 (native mode). Завел узера, перевел свой ноутбук для тестирования в домен. С GPO не работал ни разу. Сразу наступил на грабли: насоздавал общих папок, хочу на доменные группы повесить скрипт на подключение сетевого диска (у каждой группы свой диск, + 1 диск у всех одинаковый). Скрипт такой:
Куда прописывать скрипт? В настройки пользователя на событие Logon?
Еще хотелось бы устанавливать при входе сетевой принтер (из AD). Не придумал пока, как :(

акуз-лингвист OrlicКуда прописывать скрипт? В настройки пользователя на событие Logon?
да. или на группу. или на всех сразу - если не нужны какие-то персональнуе диски кроме "май документс".

Профили будут локальные. Цепляться будут сетевые папки с документами. А в My Documents пусть свои личный файлы хранят, мне до них дела нет.
акуз-лингвист
OrlicЕще хотелось бы устанавливать при входе сетевой принтер (из AD). Не придумал пока, как :(
там же. net use имя_устройства. см. net use /?
Уже думал. Спрашивал, чтобы узнать, есть ли такая фича в GP :)

Что-то я в конец запутался...

Есть AD. В ней создал отдельный OU, в который ввел всех пользователей, группы и компьютеры.
Назначил определенной группе политику, прописал там скрипт на вход в систему. Не выполняется.
Вопрос - этот скрипт будет выполняться для всех пользователей, входящих в указанную группу, или только для тех, у которых эта группа задана как основная?

Все, вроде разобрался... Ноутбук был перемещен мною в другую OU, поэтому при входе в домен не мог применить групповые политики. Сейчас перезавел его как надо, все отработало. Еще косяк был в том, что шары называются у меня по русски, а написаны были в скрипте в кодировке WIN, а не DOS.

Такой вопрос. Если у меня юзер входит в 2 группы, одной я отключаю службы беспроводной сети, а другой группе эта служба нужна - какая политика отработает?

Guset OrlicЧто-то я в конец запутался...

Есть AD. В ней создал отдельный OU, в который ввел всех пользователей, группы и компьютеры.
Назначил определенной группе политику, прописал там скрипт на вход в систему. Не выполняется.
Вопрос - этот скрипт будет выполняться для всех пользователей, входящих в указанную группу, или только для тех, у которых эта группа задана как основная?


Немножко запутались (главное еще термины отличать один от другого).

Есть в AD, в оснастке dsa.msc возможность создать Организационные Юниты и вот на них то и накладывается групповая политика (вернее на всех тех пользователей и компьютеры, которые находятся в этом ОЮ)

Если Вы говорите, что задали скрипт на ВХОД В СИСТЕМУ - значит это касается настроек для пользователя (не компьютера) и потому в ОЮ должны входить учетные записи пользователей (или их группы), чтобы применились для них политики.
Именно так и поступал: в указанной остастке выбрал домен, создал новое подразделение (это и есть OU, насколько я понял по своей настольной книге - значок папки с вложенной папкой). В нем создавал группы, пользователей, заводил компьютеры.
К домену в целом применяется политика по умолчанию. ее рекомендуется не трогать. Для группы своих пользователей назначил отдельную политику. Есть еще группы по отделам (бухгалтерия, менеджеры и прочее), но на каждую группу отдельную политику назначать, ИМХО, расточительно.

Dimitry Sibiryakov
Кстати, не знаю как в 2003-ей, а в 2000-ой группы (которые Security
Groups) в OU совать бесполезно. Я так сделал, думал "вот сейчас все
политики на мемберов распространятся" - фиг!. Каждого пользователя
пришлось перемещать туда же индивидуально. :(
Posted via ActualForum NNTP Server 1.3
я изначально и группы, и юзеров в OU создаю. Домен то новый, не тронутый :)

Еще вопрос по теме.

Существуют некоторое количество переменных среды, например, %UserName% или %UserDomain%. Каким способом можно в cmd-скрипте определить принадлежность пользователя к определенной группе? Это к тому, чтобы в стартовом скрипте, назначаемом в групповой политике, в зависимости от пользователя "линковались" соответствующие сетевые диски, запускались программы или вообще ничего не происходило.

rrrrrrrrrrОбычно под совокупности пользователей и компьютеров, объединенных в OU, создаются политики с логон-скриптами, а не наоборот - одна политика, а в ней единый логон-скрипт
Для каждой группы пользователей - свою политику с индивидуальными логон-скриптами, можно. А если групп будет десятки? Неужели создавать политику только для назначения логон-скрипта?

Пожалуйста, объясните мне тупому, что происходит.

Есть групповая политика GP_MYDOMAIN_USERS, назначена для группы пользователей MYDOMAIN_USERS, находящейся в единственном OU - MY_OU:

Политика простая - скрипт на подключение сетевого диска, настройки прокси в IE, настройки WSUS.

При входе на рабочую станцию выполняются не вся политика - WSUS не настраивается.
На контроллере домена попробовал смоделировать Group Policy Results. Вот результаты:

Для тестирования создал другую политику, в которой прописал только запуск NOTEPAD при входе - и она выполнилась только при терминальном входе на контроллер домена.

Что я не так делаю? Где править?

Guset OrlicПожалуйста, объясните мне тупому, что происходит.

1) создаете OU (Organization Units) - столько и такие как вам надо распределить применение политик (т.е. грубо говоря OU заменяют Вам группу пользователей)
2) помещаете в нужные OU соответствующие учетные записи ПОЛЬЗОВАТЕЛЕЙ
3) настраиваете Групповую Поитику (ГП) на каждый нужный OU в разделе политики Конфигурация ПОЛЬЗОВАТЕЛЯ - Сценарии - Вход в систему - нажать кнопку ПОКАЗАТЬ ФАЙЛЫ - и в откывшуюся папку положить свои скрипты (оттуда они будут доступны и будут браться на выполнение)
Я в OU создаю не только пользователей, но и группы, принтеры и компьютеры.
Скрипты как раз таки выполняются, диски мапятся, настройки для IE тоже выполняются. А вот настройки клиентов для WSUS не проходят....

Biz© OrlicА вот настройки клиентов для WSUS не проходят....
политики не просто так разделены на пользовательскую и компьютерную части ...

И что с того? Групповая политика применяется для какого-лиюо объекта домена, например, для определенной группы пользователей. В групповой политике 2 части - для компьютера и для пользователя. Если в такой политике задать настройки для компьютера, а назначить ее пользователю, то эффекта не будет?