52:55 - ещё раз , то что с этой минуты показано в ролике, работать не будет! (начиная с обновления MS16-072) О чём автор указал в описании к видео, внизу в дополнении. Но я б этот момент особенно выделил, потому что сам к сожалению погорел на этом и потратил уйму времени пока разбирался. А вообще очень ценный и я бы сказал превосходный обучающий ролик по теме GPO.
Спасибо! Вы один из немногих, кто весьма подробно рассказывает, без всяких прикольных анимаций вас приятно слушать и главное интересно. Для новичков ваши видео - кладезь полезного. Я уже с опытом и то, было интересно посмотреть и послушать, некоторые моменты "на свои места" встали. Желаю вам дальнейшего развития как профессионалу в IT-сфере!
Спасибо, уважаемый друг, за этот видеоурок. Он оказался полезен для меня, потому что я изучаю AD, и сейчас как раз начал GPO. Мне, правда, тяжко было слышать Тебя, потому что я слушал в колонках ноутбука, а звук на этом видео тихий. Но я эту проблему обошел - колоночки к ноутбуку подключил. Но это фигня, потому что обзор ГПО у тебя получился доступный и понятный, за что тебе СПАСИБО, друг.
Ещё хотелось бы добавить примечание, что в рабочей среде лучше не менять настройки Default Domain Policy. Microsoft рекомендует менять значения в этой политике в крайних случаях, а для изменения, к примеру, политики длины пароля и сложности создайте новую политику и привяжите её на уровне домена (на уровне OU не сработает). Связано это с тем что при крушении Domain Controller эта политика восстановится в default и если она была изменена ранее - то скорее всего будут проблемы. Также правилом хорошего тона будет держать политику чистой, а остальные политики применять непосредственно к OU, не стесняйтесь дробить политики по назначению, не пихайте всё в одну политику - это упростит администрирование политик.
Спасибо, отличный урок! Очень бы хотелось какой нибудь, хотя бы мини урок, по так скажем рекомендуемым политакам, лучшим с точки зрения безопасности, может что-то из популярного для SOHO или наоборот, для крупных компаний. В общем как то развить эту тему, типа для продвинутых )))
Титаническая работа, огромное спасибо за объяснение. Ещё бы хотелось бы понять многое, например, как сделать минимизировать работу админов по добавлению компов в соответствующее подразделение и группы в зависимости от авторизированного за ними пользователя было бы вообще круть, но это уже немного другая песня ))
спасибо! наконец-то я начал ориентироваться в групповых политиках) Жаль маловато примеров использования, ну да ладно всеравно все три тыс не расскажешь... СПАСИБО!
Очень понравился урок. Молодец. Всё по полочкам. Понятно разжёвано. Только преогромнейшая просьба - говори громче. Уши вспотели от напряжения. А сама информация толковая, без воды!!!
Надо было еще упомянуть, что через Delegation в ГП, можно отключить применение политики для какого-то юзера/группы/пк. Иногда бывает нужно. И это вроде как разрешения NTFS на директорию этой политики в SYSVOL (тут могу ошибаться)
Спасибо за неплохие бесплатные уроки. Если будет возможность показывать какие то продукты которые можно разобрать тут? например Citrix Desctop/App/Server/Netscaler. По бэкапам, Veeam, BE или другие бесплатные интересные программы рез. копирования. Может есть знания по настройкам портов Cisco Cat? или NetApp/3Par очень интересные базовые вещи. Может серия уроков по бест практис? Было бы интересно посмотреть. Иногда всплывают вещи, которые пока не столкнёшся не узнаешь. А ты довольно часто затрагиваешь те самые уголки. Если нужны темы для уроков, обращайся мы с радостью поможем =) Удачи.
Здравствуй. Скажи, пожалуйста, а как сейчас с Windows? Можно ли глубоко забраться и получать удовольствие от глубины и оплаты?( Имею ввиду много ли возможностей?) Спасибо тебе большое за видео. Приятно, что даже в 01:00 ночи ты все равно записывал этот урок.
Хаха, действительно, спасибо) Я думаю, все же необходимо сделать видео с комментариями куда я пропал, пожалуй там и затрону все актуальные для подписчиков вопросы и темы. Простите за долгое радиомолчание!
Большое спасибо автору за то что он делает и хочется пожелать ему, что бы и дальше продолжал делать ролики. Маленькое дополнение. Что бы не лазить и не смотреть применилась ли политека к компьютеру или нет можно выполнить комманду gpresult /r Очень странно почему автор ролика неупомянул про эту команду.
Слушаю уроки с большим удовольствием, всё очень нравится. Единственно что не понятно про gpupdate. Разве политику нельзя как-то сразу активировать с доменного контроллера на другие компьютеры? Вы вводили эту команду с локального компьютера. Пробовал у себя на доменном, но ничего не выходило, только с локальной.
Пусть это будет в комментариях. Заметили что механизм приоритета политик и предпочтений работает прямо противоположно? GPO3 -> GPO2->GPO1 GPP1 ->GPP2->GPP3 Т.е. и в том и том случае главнее кто отработал последним, но в GPO - это будет GPO1, а в GPP - GPP3.. Надеюсь кому-то сэкономил время.
Здравствуйте, у меня вопрос: в определенное время с утра не обновляются групповые политики, длится это минут 20, потом начинают обновляться... из за этого невозможно подключиться через RDP к серверу терминалов(ошибка "Отказано в доступе"), из за чего может быть такое?
Супер урок! Спасибо! Можно ли через гпо ограничить часы работы учетной записи Active Directory. Например с 09-00 до 19-00 разрешено, в остальное время отказано авторизоваться
урок отличный, но блин тихий это жесть, выкрутил наушники и все что можно на максимум, что бы на работе слушать пришлось вдавливать весь урок себе динамики в уши))
Если это возможно, то хотел бы спросить совет - как можно при помощи фильтрации security filtering и параметра User Configuration - Polices - Software settings - Software Installations организовать удалённое развёртывание пакета .msi (допустим это Yandex browser но впринципе это не важно) у определённой группы пользователей? Именно интересует выборка из группы пользователей, а не ПК, так как имен ПК за которыми они сидят не знают, а по списку имён можно найти их учётки и создать Глобальную группу безопасности - ? Проблема в том, что мучаюсь целый день. Вроде бы данную политику можно настраивать как на компьютеры так и на пользователей, у меня не получается , если я удаляю Authority users, то перестаёт работать. Но после танцев с бубнами и добавлении в Delegations - Authority users с правами на чтение, то в конце концов всё-таки RSop показывает, что политика применилась, но пишет , что установка не запустилась, так как необходима перезагрузка, и после ничего не меняется , всё тоже самое и можно перезагружать хоть до посинения. Все пермишены везде проставлены , везде добавлена группа, в которую кидаю пользователей из списка на установку .msi. То есть - есть оушка, там допустим комп и юзер , я линкую политику на оушку, там в пользовательских параметрах ставлю инстал пакета msi и в итоге , как у вас сказано, я удаляю в фильтрах авторизованных пользователей и добавляю группу безопасности, в которую предварительно закинул юзера (в продакшене из оушки будут выбираться какая то часть пользователей). В итоге - политика не работает, только с авторизованными в делегировании! но тогда она работает на всех! То есть по факту фильтрация - не работает!!!
Добрый день! Большое спасибо, автору за безвозмездное распространение столь ценных знаний в легкоусваиваемой форме! Подскажите, пожалуйста, в чем может быть причина такого поведения: Изменяю GPO с машины DC2. Делаю gpupdate /force на клиенте но политика не применяется. Только после принудительной репликации AD через AD Sites&Services на DC2, gpupdate /force на клиенте применяет новые политики. При этом, ели редактировать GPO на сервере DC, а не на DC2, то gpupdate /force срабатывает без принудительной репликации.
Добрый день, вопрос автору. Столкнулся с не понятным моментом, и нигде не могу найти объяснение: есть такая политика User Rights Assignment, настраивается в локал полиси. Ну там определяется кто что может делать на уровне домена или оушки, и (как я себе это представлял) применяется это к объектам компьютеров внутри той оушки, к которой применяется данная политика, в распостранённом случае - на уровне доменной политики по-умолчанию. И тут наблюдаю такую картину: предыдущий админ настроил данную политику в Default Domain Controller Policy . В моём представлении это какбы не правильно и не должно работать, ибо применяется к КД в домене. Но загвоздка в том, что взявшись править эти права, я обнаружил, что настройки в данной политике влияют на права пользователя во всём домене! В частности такой параметр, как Add workstation to domain. Там отдельно был добавлен некий аккаунт, если я его удаляю при попытке под ним завести ПК в домен выходит ошибка! Причём явно не говорящая что нет прав! Ошибка сообщает, что не удалось присоединить, по возможной причине , что учётка ПК уже существует в домене и была ранее добавлена другим пользователем, обратитесь к сисадмину, чтоб удалил старые учетные данные, а в конце "отказано в доступе". В итоге, если вернуть в дефолтную политику для КД обратно этого юзера, начинает обратно работать. Кто-то может сказать это нормальное поведение домена? Я весь инет перерыл и ничего нет про настройку дефолтных прав пользователей в домене.
@@TrainITHard как это не трогают ?! По умолчанию там authenticated users и квота на добавление 10 шт ПК. То есть по умолчанию любой пользователь домена может добавить до 10 ПК в домен. Мне необходимо сделать так чтобы только доменные администраторы и ещё один пользователь (техническая учетка) могли добавлять ПК к домену.
Очень познавательно. А как можно сделать следующее. 1С-ка стоит на одной машине с AD которую обслуживают удаленно по VPN+RDP специализированная организация, изначально с правами пользователя домена. Возникла необходимость переодически обновлять 1С для чего нужны права Администратора. Давать админские права девочке-бухгалтеру которая кроме сальдо-мальдо ни чего не знает, не просто не хочется, а категорически не приветствуется. Как это можно организовать с помощью ГП?
@@TrainITHard Корпоративное правило. Четкое распределение обязанностей. Я не касаюсь (и не знаю) 1С-ку, он (1С-ник) не лезет в сервер. Не то чтобы он злодей, просто каждый должен заниматься своим делом.
Просмотр примененных политик Не фига не работает при попытке нажать далее после выбора компа, вылазит group policy results сервис rpc недоступен, в журнале событий пишет Произошла ошибка DCOM "2147944122".
Кстати, пробовал тоже самое делать с параметрами компьютера , фильтровал опять по группе, но туда уже кидал и пользователя и ПК и настраивал в политике через параметры ПК. Тогда по группе безопасности фильтруется , и без авторизованных пользователей в делегировании, НО , снова здарова - опять пишет: "Клиентскому расширению "Software Installation" групповой политики не удалось применить один или несколько параметров, поскольку эти изменения должны обрабатываться до запуска системы или до входа пользователя. Завершение обработки групповой политики будет выполнено перед следующим запуском системы или входом этого пользователя, что может вызвать замедление загрузки и запуска системы." И можно перезагружать хоть до посинения
Затрудняюсь ответить, давно не делал) Из того, куда покопать: 1. почитайте про loopback policy 2. для отработки инсталла из политики юзера у юзера должны быть права на инсталл (вероятно как мин. локал админ)
Сделал OU. В OU сделал политику. В политике сделал применение на пользователя. Политика отрабатывает. Но как сделать чтобы политика отрабатывала на конкретную группу пользователей? P. S В фильтрах безопасности группа установлена!
Моя позиция проста - не-английская винда допустима только там, где работают юзеры. Необходимая и достаточная мотивация для этого - решение 90% сложных проблем в русскоязычном интернете отсутствуют, а вручную переводить RU>ENG термины Microsoft тот еще труд. Рано или поздно вы с этим столкнетесь, лучше привыкайте сразу.
![[Windows Server 2012 basics] Урок 10 - RRAS сервер, VPN, NAT, маршрутизация](http://i.ytimg.com/vi/7o6-kFsEG6w/mqdefault.jpg)
![[Windows Server 2012 basics] Урок 10 - RRAS сервер, VPN, NAT, маршрутизация](/img/tr.png)
![I.N "HALLUCINATION" | [Stray Kids : SKZ-PLAYER]](http://i.ytimg.com/vi/n5B5q1Hwt_U/mqdefault.jpg)
![[Windows Server 2012 basics] Урок 5 - Основы Active Directory Domain Services](/img/1.gif)
52:55 - ещё раз , то что с этой минуты показано в ролике, работать не будет! (начиная с обновления MS16-072)
О чём автор указал в описании к видео, внизу в дополнении. Но я б этот момент особенно выделил, потому что сам к сожалению погорел на этом и потратил уйму времени пока разбирался. А вообще очень ценный и я бы сказал превосходный обучающий ролик по теме GPO.
Немного не понял, подскажи что конкретно нужно сделать чтобы заработало ?
Спасибо!
Вы один из немногих, кто весьма подробно рассказывает, без всяких прикольных анимаций вас приятно слушать и главное интересно. Для новичков ваши видео - кладезь полезного. Я уже с опытом и то, было интересно посмотреть и послушать, некоторые моменты "на свои места" встали. Желаю вам дальнейшего развития как профессионалу в IT-сфере!
Материал предоставлен на высшем уровне. Огромное спасибо. Всё в голове теперь пополочкам разложилось. Ещё раз спасибо за огромный труд.
@Сергей Тюрло Возможно у тебя проблемы и есть со слухом.
Спасибо большое за труд! Для меня это все очень полезно!
Спасибо Автору. Настолько прожеванный материал нигде не нашел!!!
Класс. У тебя дар преподавателя!
Пожалуй, лучшее видео по GPO, что я видел. Очень жалко, что вы перестали выпускать новые видео.
Спасибо, уважаемый друг, за этот видеоурок. Он оказался полезен для меня, потому что я изучаю AD, и сейчас как раз начал GPO. Мне, правда, тяжко было слышать Тебя, потому что я слушал в колонках ноутбука, а звук на этом видео тихий. Но я эту проблему обошел - колоночки к ноутбуку подключил. Но это фигня, потому что обзор ГПО у тебя получился доступный и понятный, за что тебе СПАСИБО, друг.
Ещё хотелось бы добавить примечание, что в рабочей среде лучше не менять настройки Default Domain Policy. Microsoft рекомендует менять значения в этой политике в крайних случаях, а для изменения, к примеру, политики длины пароля и сложности создайте новую политику и привяжите её на уровне домена (на уровне OU не сработает).
Связано это с тем что при крушении Domain Controller эта политика восстановится в default и если она была изменена ранее - то скорее всего будут проблемы. Также правилом хорошего тона будет держать политику чистой, а остальные политики применять непосредственно к OU, не стесняйтесь дробить политики по назначению, не пихайте всё в одну политику - это упростит администрирование политик.
Спасибо огромное. как раз столкнулся с тем, что не применяется параметры пароля)
Благодарю за материал! Надо бы уровень громкости повысить.
Спасибо, отличный урок! Очень бы хотелось какой нибудь, хотя бы мини урок, по так скажем рекомендуемым политакам, лучшим с точки зрения безопасности, может что-то из популярного для SOHO или наоборот, для крупных компаний. В общем как то развить эту тему, типа для продвинутых )))
Добрый день! Благодарю за Ваш труд. Очень полезно и доступно!
Лучший курс, что я видел в открытом доступе по базам Windows Server!
Титаническая работа, огромное спасибо за объяснение. Ещё бы хотелось бы понять многое, например, как сделать минимизировать работу админов по добавлению компов в соответствующее подразделение и группы в зависимости от авторизированного за ними пользователя было бы вообще круть, но это уже немного другая песня ))
спасибо! наконец-то я начал ориентироваться в групповых политиках) Жаль маловато примеров использования, ну да ладно всеравно все три тыс не расскажешь... СПАСИБО!
Спасибо за подробный рассказ о гпо! Было интересно слушать и смотреть
Спасибо Александр! Очень интересно, информативно и детализированно! Очень понравилось, подписался!
Молодец, продолжай в том же духе. Очень понятливо и с примерами. Спасибо!
ХОРОШО ВСЕ ИЗЛОЖИЛ! СПАСИБО ЗА ТРУДЫ!
Всё понятно и по делу. Повторял те же действия, всё работает. Спасибо.
Александр, спасибо ! Помогаешь переходить с железа на более серьезные вещи )
чувак, спасибо большое. понятно объяснил. я как раз ковырялся со wsus после старых админов ))
Моя эникей, моя говорить тебе спасибо за очень полезный информация! Моя учиться много моменты по твоя видео!
Очень понравился урок. Молодец. Всё по полочкам. Понятно разжёвано. Только преогромнейшая просьба - говори громче. Уши вспотели от напряжения. А сама информация толковая, без воды!!!
Урок отлично супер все ясно большое спасибооо
Спасибо Александр , всё супер всё понятно объясняешь хотя тема и не простая .
Ещё раз огромное спасибо ты Молодец )) !
Лучший материал по данной теме
Надо было еще упомянуть, что через Delegation в ГП, можно отключить применение политики для какого-то юзера/группы/пк. Иногда бывает нужно. И это вроде как разрешения NTFS на директорию этой политики в SYSVOL (тут могу ошибаться)
спасибо) очень очень помогают ваши уроки мне) а то сидел бы в хелп деске себе ))
SUPERRR
планируешь урок по PowerShell для новичков?
Отличный урок! Еще добавил бы момент про режим замыкания.
Круто! Ждемс Wsus
Спасибо большое за отличный урок.
Ура, я уж думал вы пропали :)
нееет, просто лето))
Спасибо! Описано простым языком.
Отличная работа, спасибо.
круто, очень здорово, молоток!
Спасибо, смотрю твои уроки и изучаю) меня собираются переводить в сис админы по АД
enjoy :)
Спасибо, как всегда на высоте), хотелось бы послушать про DirectAccess, занимательная технология).
Про это вряд ли к сожалению, по крайней мере в этом курсе. Что что, а DA - единичные случаи использования
Спасибо за неплохие бесплатные уроки. Если будет возможность показывать какие то продукты которые можно разобрать тут? например Citrix Desctop/App/Server/Netscaler. По бэкапам, Veeam, BE или другие бесплатные интересные программы рез. копирования. Может есть знания по настройкам портов Cisco Cat? или NetApp/3Par очень интересные базовые вещи.
Может серия уроков по бест практис?
Было бы интересно посмотреть. Иногда всплывают вещи, которые пока не столкнёшся не узнаешь. А ты довольно часто затрагиваешь те самые уголки.
Если нужны темы для уроков, обращайся мы с радостью поможем =)
Удачи.
Спасибо, доступно и понятно!
Про loopback бы ещё послушать .... а так - Супер!
Круто! Спасибо!
Здравствуй. Скажи, пожалуйста, а как сейчас с Windows? Можно ли глубоко забраться и получать удовольствие от глубины и оплаты?( Имею ввиду много ли возможностей?)
Спасибо тебе большое за видео.
Приятно, что даже в 01:00 ночи ты все равно записывал этот урок.
Хаха, действительно, спасибо)
Я думаю, все же необходимо сделать видео с комментариями куда я пропал, пожалуй там и затрону все актуальные для подписчиков вопросы и темы.
Простите за долгое радиомолчание!
@@TrainITHard Спасибо тебе. Не болей
Великолепно!
Спасибо!!!! Доходчиво🤕🐏🥇🏆
Большое спасибо автору за то что он делает и хочется пожелать ему, что бы и дальше продолжал делать ролики.
Маленькое дополнение. Что бы не лазить и не смотреть применилась ли политека к компьютеру или нет можно выполнить комманду gpresult /r
Очень странно почему автор ролика неупомянул про эту команду.
упомянул
Отличное видео! Спасибо!
Спасибо Бро!
Красавчик, если не читер конечно.
Слушаю уроки с большим удовольствием, всё очень нравится.
Единственно что не понятно про gpupdate. Разве политику нельзя как-то сразу активировать с доменного контроллера на другие компьютеры? Вы вводили эту команду с локального компьютера. Пробовал у себя на доменном, но ничего не выходило, только с локальной.
Сама она применяется раз в два часа по-умолчанию.
Объясняете хорошо, микрофон лучше обновить (плохо слышно).
Спасибо! Всё очень хорошо! Звук немного перепадами.
Пусть это будет в комментариях.
Заметили что механизм приоритета политик и предпочтений работает прямо противоположно?
GPO3 -> GPO2->GPO1
GPP1 ->GPP2->GPP3
Т.е. и в том и том случае главнее кто отработал последним, но в GPO - это будет GPO1, а в GPP - GPP3..
Надеюсь кому-то сэкономил время.
Спасибо!
ОЧЕНЬ ТИХО!!!
Здравствуйте, у меня вопрос: в определенное время с утра не обновляются групповые политики, длится это минут 20, потом начинают обновляться... из за этого невозможно подключиться через RDP к серверу терминалов(ошибка "Отказано в доступе"), из за чего может быть такое?
Супер урок! Спасибо! Можно ли через гпо ограничить часы работы учетной записи Active Directory. Например с 09-00 до 19-00 разрешено, в остальное время отказано авторизоваться
Вроде бы это в свойствах учетки в AD есть
@@TrainITHard Да есть, но у меня учетки много. Думал через гпо можно быстро настроить, если там есть такие шаблоны.
@@galymzhanduisebekov5463 Скриптиком думаю делается за минуту)
урок отличный, но блин тихий это жесть, выкрутил наушники и все что можно на максимум, что бы на работе слушать пришлось вдавливать весь урок себе динамики в уши))
Да звук после переустановки ОС сбился! В следующем уроке должен погромче быть :)
WSUS если можно))
Если это возможно, то хотел бы спросить совет - как можно при помощи фильтрации security filtering и параметра User Configuration - Polices - Software settings - Software Installations организовать удалённое развёртывание пакета .msi (допустим это Yandex browser но впринципе это не важно) у определённой группы пользователей? Именно интересует выборка из группы пользователей, а не ПК, так как имен ПК за которыми они сидят не знают, а по списку имён можно найти их учётки и создать Глобальную группу безопасности - ? Проблема в том, что мучаюсь целый день. Вроде бы данную политику можно настраивать как на компьютеры так и на пользователей, у меня не получается , если я удаляю Authority users, то перестаёт работать. Но после танцев с бубнами и добавлении в Delegations - Authority users с правами на чтение, то в конце концов всё-таки RSop показывает, что политика применилась, но пишет , что установка не запустилась, так как необходима перезагрузка, и после ничего не меняется , всё тоже самое и можно перезагружать хоть до посинения. Все пермишены везде проставлены , везде добавлена группа, в которую кидаю пользователей из списка на установку .msi.
То есть - есть оушка, там допустим комп и юзер , я линкую политику на оушку, там в пользовательских параметрах ставлю инстал пакета msi и в итоге , как у вас сказано, я удаляю в фильтрах авторизованных пользователей и добавляю группу безопасности, в которую предварительно закинул юзера (в продакшене из оушки будут выбираться какая то часть пользователей). В итоге - политика не работает, только с авторизованными в делегировании! но тогда она работает на всех! То есть по факту фильтрация - не работает!!!
Данная проблема решена. Ответ в статье по ссылке - habr.com/ru/post/304202/
Мало тестовых задач, а в целом круто
Добрый день! Большое спасибо, автору за безвозмездное распространение столь ценных знаний в легкоусваиваемой форме!
Подскажите, пожалуйста, в чем может быть причина такого поведения:
Изменяю GPO с машины DC2.
Делаю gpupdate /force на клиенте но политика не применяется. Только после принудительной репликации AD через AD Sites&Services на DC2, gpupdate /force на клиенте применяет новые политики.
При этом, ели редактировать GPO на сервере DC, а не на DC2, то gpupdate /force срабатывает без принудительной репликации.
Возможно, проблемы с репликацией между DC.
Добрый день, вопрос автору. Столкнулся с не понятным моментом, и нигде не могу найти объяснение: есть такая политика User Rights Assignment, настраивается в локал полиси. Ну там определяется кто что может делать на уровне домена или оушки, и (как я себе это представлял) применяется это к объектам компьютеров внутри той оушки, к которой применяется данная политика, в распостранённом случае - на уровне доменной политики по-умолчанию. И тут наблюдаю такую картину: предыдущий админ настроил данную политику в Default Domain Controller Policy . В моём представлении это какбы не правильно и не должно работать, ибо применяется к КД в домене. Но загвоздка в том, что взявшись править эти права, я обнаружил, что настройки в данной политике влияют на права пользователя во всём домене! В частности такой параметр, как Add workstation to domain. Там отдельно был добавлен некий аккаунт, если я его удаляю при попытке под ним завести ПК в домен выходит ошибка! Причём явно не говорящая что нет прав! Ошибка сообщает, что не удалось присоединить, по возможной причине , что учётка ПК уже существует в домене и была ранее добавлена другим пользователем, обратитесь к сисадмину, чтоб удалил старые учетные данные, а в конце "отказано в доступе". В итоге, если вернуть в дефолтную политику для КД обратно этого юзера, начинает обратно работать. Кто-то может сказать это нормальное поведение домена? Я весь инет перерыл и ничего нет про настройку дефолтных прав пользователей в домене.
Обычно эту политику не трогают без необходимости. Я не понял, что конкретно смущает в дефолтной настройке?
@@TrainITHard как это не трогают ?! По умолчанию там authenticated users и квота на добавление 10 шт ПК. То есть по умолчанию любой пользователь домена может добавить до 10 ПК в домен. Мне необходимо сделать так чтобы только доменные администраторы и ещё один пользователь (техническая учетка) могли добавлять ПК к домену.
@@TrainITHard смущает что она настроена не в default domain, а в default domain controllers
Абалденные уроки, спасибо за труды. А не могли бы вы показать как с помщью GPO запустить на клиентских ПК *.bat файл?
В GPO есть раздел startup/logon scripts. Погуглите эту тему
Ок, благодарю, все получилось :)
Очень познавательно.
А как можно сделать следующее.
1С-ка стоит на одной машине с AD которую обслуживают удаленно по VPN+RDP специализированная организация, изначально с правами пользователя домена.
Возникла необходимость переодически обновлять 1С для чего нужны права Администратора. Давать админские права девочке-бухгалтеру которая кроме сальдо-мальдо ни чего не знает, не просто не хочется, а категорически не приветствуется.
Как это можно организовать с помощью ГП?
а в чем проблема обновлять удаленно админу?
@@TrainITHard Корпоративное правило. Четкое распределение обязанностей. Я не касаюсь (и не знаю) 1С-ку, он (1С-ник) не лезет в сервер. Не то чтобы он злодей,
просто каждый должен заниматься своим делом.
Можно создать уз для этого действия, дать права админа на данной машине. В 1С указать уз под которой будет происходить обновление.
Просмотр примененных политик Не фига не работает при попытке нажать далее после выбора компа, вылазит group policy results сервис rpc недоступен, в журнале событий пишет Произошла ошибка DCOM "2147944122".
Какие-то порты закрыты
Кстати, пробовал тоже самое делать с параметрами компьютера , фильтровал опять по группе, но туда уже кидал и пользователя и ПК и настраивал в политике через параметры ПК. Тогда по группе безопасности фильтруется , и без авторизованных пользователей в делегировании, НО , снова здарова - опять пишет: "Клиентскому расширению "Software Installation" групповой политики не удалось применить один или несколько параметров, поскольку эти изменения должны обрабатываться до запуска системы или до входа пользователя. Завершение обработки групповой политики будет выполнено перед следующим запуском системы или входом этого пользователя, что может вызвать замедление загрузки и запуска системы." И можно перезагружать хоть до посинения
Затрудняюсь ответить, давно не делал)
Из того, куда покопать:
1. почитайте про loopback policy
2. для отработки инсталла из политики юзера у юзера должны быть права на инсталл (вероятно как мин. локал админ)
блин ничего не слышно
поддерживаю!все круто но ГРОМЧЕ пожалуйста!
Как создать политику "Меню избранное с определенным urlом" для IE 11?
Для всех юзеров лучше добавить файл ссылки сюда: C:\Users\Default\Favorites . Можно политиками индивидуально.
а если через GPO? Пробую: конфигурация пользователя-> конфигурация windows->ярлыки. Политика создается, но не применяется.
@@evgeniitaiberi9357 cmd - gpupdate
А почему ненажимаете применить а сразу ок? На что влияет/невлияет?
Применить - применяет и оставляет окно открытым, ок - применяет и закрывает окно :)
Спасибо! В отличие от такого же доклада от techdays тут хотя бы вскользь упоминается security filtering.
а по Security AD не будет урока?
А что под этим имеется в виду?
создание PSO, настройка безопасности, RODC .. наверное это уже просто нюансы
ну про настройки особо и нечего рассказывать, PSO и RODC уже продвинутые топики - может быть потом
Сделал OU. В OU сделал политику. В политике сделал применение на пользователя. Политика отрабатывает. Но как сделать чтобы политика отрабатывала на конкретную группу пользователей?
P. S
В фильтрах безопасности группа установлена!
Ну тогда только на нее и должно отрабатывать :)
Отличные уроки, но трудновато усваивать все за один подход, очень долгие видео :(
Что такое оюшка????!!!!!
OU - organization unit
Дружище, ну 21 век на дворе. Ну неужели россискую винду не мог поставить ?
Моя позиция проста - не-английская винда допустима только там, где работают юзеры. Необходимая и достаточная мотивация для этого - решение 90% сложных проблем в русскоязычном интернете отсутствуют, а вручную переводить RU>ENG термины Microsoft тот еще труд. Рано или поздно вы с этим столкнетесь, лучше привыкайте сразу.
@@TrainITHard полностью согласен! Да и без инглиша в it делать нечего.😮
Ты молодец, конечно. Но gpo-шечка, ou-шечка чё то ухо режет
Чувак, камон
Спасибо, всё отлично!