Alexander A Manaeff -

 
 

Применение групповых политик в рамках рабочей группы

Все об администрировании Windows NT/2000/2003/2008/2012 Server (в т.ч. R2) серверов. Групповые политики, домены, безопасность и пр. То, чего не найдешь в бескрайних просторах Интернета. Решения тех проблем, которые не решаются типовыми ответами, которые можно получить в техподдержке Майкрософта - а именно: переустановить продукт или купить какой-ть другой лицензионный диск.

Модератор: UncleFather

Применение групповых политик в рамках рабочей группы

Сообщение Timka » 29 апр 2009 12:53, Ср

Возникла необходимость организовать Сервер Терминалов в сети без домена. Решил воспользоваться групповыми политиками для настройки интерфейса Windows для пользователей удалённого рабочего стола. Проблема в том что групповые политики на локальном компьютере находящимся в сети без домена нельзя приминить к конкретному пользователю или группе пользователей(локальные). Пошарив в нете нашёл статью на сайте мелко-мягких

Применение локальных политик ко всем пользователям за исключением администраторов в Windows Server 2003 при использовании рабочих групп.

Предложеные ими манипуляции исключают возможности непреминения групповых политик для 2 и более Администраторов, а также возможность состоять в иной группе(без применения на них групповых политик), кроме Администраторы для всех Администраторов компьютера. Если коротко - шляпа.
Решения оказалось простым и изящным :) Груповые политики находяться в %systemroot%\system32\GroupPolicy в папке Machine - политики применяеые к компьютеру(применяются до входа пользователя в систему), в папке User - применяемые соответственно к пользователям при входе в систему. Чтобы настроить интерфейс пользователя делаем: пуск->выполнить->gpedit.msc->Конфигурация пользователя->Административные шаблоны. Настраиваем интерфейс как нам нужно(изменения сразу или после выполения команды gpupdate видим на своём пользователе), главное не перестараться :) Далее заходим в %systemroot%\system32 и кликаем на папку GroupPolicy правой кнопкой->Общий доступ и безопасность->Безопасность->Дополнительно, кликаем 2 раза на Администраторы, в Разрешениях запрещаем:

Обзор папок/Выполнение файлов
Содержание папки/Чтение данных
Чтение атрибутов

и чтобы не потерять возможность редактирования прав Администраторами ставим разрешить:

Чтение разрешений
Смена разрешений
Смена владельца

Жмём ок, ставим глочку "Заменить разрешения для всех дочерних объектов..." жмём дадада, применить, ок. Теперь групповые политики не будут применяться к пользователям находящимся группе Администраторы, даже если они состоят в других группах, т.к. приоритет запрета доступа выше чем разрешение доступа в NTFS. Если нужно отредактировать групповые политики, меняем права на Полный доспуп, редактируем, и меняем права обратно.
Изображение
Аватара пользователя
Timka
 
Сообщения: 7
Зарегистрирован: 04 фев 2008 14:39, Пн
Откуда: 74rus

Вернуться в Администрирование Windows Server

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 2

Alexander A Manaeff -
@Mail.ru .