место в рейтинге
  • 1003917
  • 669
  • 84
Нравится блог?
Подписывайтесь!

Некоторые групповые политики Windows 2003

Групповые политики - полезный инструмент системного администратора. В этой записке собраны групповые политики, которые будут полезны при базовой настройке. Все решения были взяты с форумов  и других источников.

Запрешаем использование съемных носителей

Создаем файл со следующим содержимым:

CLASS MACHINE
CATEGORY !!category
CATEGORY !!categoryname
POLICY !!policynameusb
KEYNAME "SYSTEM\CurrentControlSet\Services\USBSTOR"
EXPLAIN !!explaintextusb
PART !!labeltextusb DROPDOWNLIST REQUIRED

VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 3 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
POLICY !!policynamecd
KEYNAME "SYSTEM\CurrentControlSet\Services\Cdrom"
EXPLAIN !!explaintextcd
PART !!labeltextcd DROPDOWNLIST REQUIRED

VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 1 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
POLICY !!policynameflpy
KEYNAME "SYSTEM\CurrentControlSet\Services\Flpydisk"
EXPLAIN !!explaintextflpy
PART !!labeltextflpy DROPDOWNLIST REQUIRED

VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 3 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
POLICY !!policynamels120
KEYNAME "SYSTEM\CurrentControlSet\Services\Sfloppy"
EXPLAIN !!explaintextls120
PART !!labeltextls120 DROPDOWNLIST REQUIRED

VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 3 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
POLICY !!policynameCD_READ_ONLY
KEYNAME "SYSTEM\CurrentControlSet\Control\StorageDevicePolicies"
EXPLAIN !!explaintextCD_READ_ONLY
PART !!labeltextCD_READ_ONLY DROPDOWNLIST REQUIRED

VALUENAME "WriteProtect"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 0 DEFAULT
NAME !!Enabled VALUE NUMERIC 1
END ITEMLIST
END PART
END POLICY
END CATEGORY
END CATEGORY

[strings]
category="Собственные установки для съемных носителей"
categoryname="Блокировка СД УСБ Флоп"
policynameusb="Закрываем USB"
policynamecd="Закрываем CD-ROM"
policynameflpy="Закрываем Floppy"
policynamels120="Disable High Capacity Floppy"
policynameCD_READ_ONLY="Закрываем для записи CD & USB"
explaintextusb="Закрытие компьютерных USB портов путем отключения usbstor.sys драйвера"
explaintextcd="Закрытие компьютерного CD-ROM привода путем отключения cdrom.sys драйвера"
explaintextflpy="Disables the computers Floppy Drive by disabling the flpydisk.sys driver"
explaintextls120="Disables the computers High Capacity Floppy Drive by disabling the sfloppy.sys driver"
explaintextCD_READ_ONLY="Закр для записи СД и Флеш через ветвь реестра"
labeltextusb="Закрытие USB портов"
labeltextcd="Закрытие CD-ROM привода"
labeltextflpy="Закрытие Floppy дисковода"
labeltextls120="Disable High Capacity Floppy Drive"
labeltextCD_READ_ONLY="Запрет записи дисков и флешек"
Enabled="Закрыть"
Disabled="Открыть"

Назовем файл RESTRICT_DEV.ADM

Закиним его в папку C:\WINDOWS\INF\

Получится так C:\WINDOWS\INF\RESTRICT_DEV.ADM

Так как данная политика действует только на объекты "компьютеры" нам нужно создать OU куда мы будем помещать компьютеры с заблокированными съемными носителями, например: COMPUTERS->DISABLED_USB_PC

и ENABLED_USB_PC

Далее щелкаем этот OU и выводим свойства. В свойствах щелкаем вкладку "Group Policies", а потом "New".

Вводим имя новой политики "RestrictUSBDevices" и нажимаем "Edit".

Находим ветку "Administrative Templates", нажимаем правой кнопкой и выбираем "Add/Remove Templates".

Здесь добавляем наш шаблон c:\Windows\inf\RESTRICT_DEV.ADM

 

Появится надпись "Собственные установки для съемных носителей". Шелакем ее правой кнопкой мыши, и выбираем View->Filtering. Снимаем галки на:

1. Only show configured settings

2. Only show policy settings that can be fully managed

 

Далее запрещаем выставляя в положение "Enabled"

Повторите все к ENABLED_USB_PC  - OU, только действие поставьте "Disabled", чтобы к компьютеров были USB.

Теперь закиньте компьютеры в DISABLED_USB_PC, перезагрузите компьютеры к которые в этом OU два раза и проверьте исчезли ли иконки CD-ROM, засуньте флешку ...

Понижаем роли 'локальных администраторов" до "пользователей", а также разрешаем модифицировать папку "Program files"для юзеров с правами "пользователи"

Ограничиваем локальных администраторов

1. Создаем OU   - "Computers_AI"
2. Создаем группу - "G_Local_Admins"
3. Открываем оснастку Групповые Политики
для подразделения - Computers_AI
4. Создаем объект GPO контейнер: Restrictions_1
5. Открываем редактор GPO для Restrictions_1
Нажимаем изменить.
Нужно изменить всего два параметра.
6. Оба параметра находятся в одном разделе: "Конфигурация компьютера ->Конфигурация Windows->Параметры безопасности"
7. Первый параметр "Группы с ограниченным доступом", нажимаем правой кнопкой и добавляем группу "Добавить группу", выбираем "Администраторы", "Администраторы домена",  пользователя "Администратора" и самое главное группу "G_Local_Admins"
В группу "G_Local_Admins" будут входить все пользователи которым нужен доступ на уровне локальных администраторов
 

После применения политики на компьютерах где эта политика из группы "Администраторов" вылетят все пользователи, не внесенные в политику. Даже если добавить пользователя с правами администратора минуя эту политику, добавленный пользователь вылетит из группы локальных администраторов данного компьютера.

Разрешаем модифицировать папку "Program files"
8. В связи с использованием политики в пункте 7, нам необходимо дать группе "Пользователи" разрешение "Изменить" на папку "Program Files". В параметре политик "Файловая система" нажимаем правой кнопкой мыши, выбираем "добавить файл", указываем на папку "Program Files" и устанавливаем параметры:
1. Группа "Пользоваетли" - Убираем "Полный доступ", остальное включаем.
2. "Создатьель-Владелец", "System" и "Administrator" - дать "Полный доступ"
 

9. Проверить работоспособность политики на рабочих машинах

10. Также не которым программам требуется доступ к определенным веткам реестра, как правило надо выяснить что нужно и открыть доступ к этим веткам реестра

-
Применение политики к нужной группе GPO
Щелкаем нужный OU -> Properties (свойства) -> Вкладка Group Policiy -> Group object -> Properties -> Вкладка Security - > Authentificated Users -> Убрать галку Apply Group Policy
После этого, добавить нужную группу с правами Read и Apply Group Policy
-
Распространие софта через GPO
Вообще делается просто - заводится шара на общий доступ, туда кладется msi пакет и в групповых политиках Конф.программ/Установка программ создается пакет для распространения.
-
Запрет на запуск любых программ кроме указанных
Default Domain Policy
Конфигурация пользователя\Административные шаблоны\Система
- выполнять только разрешенные приложения
- не запускать указанные приложения
-
GPO: Блокировать рабочую станцию при простое
1. если ты хочешь не завершая сеанс заблокировать машину по истечении определенного времени:
user configuration\Административные шаблоны\панель управления\экран\
там:
1. Активизировать экранные заставки
2. таймаут заставки
3. Защита заставки паролем.

2. если надо завершать сеанс по истечении определенного времени:

Конфигурация компьютера\Конф. Windows\параметры безопасности\параметры безопасности\
там:
1. Длительность простоя перед отключением сеанса
2. Автоотключение сеанса

-

Almas AkeHayc
Пишу для себя, блог как записная книжка. Со временем все забывается, а у меня оно все в бложике. Будьте упертым глухим бегемотиком :)
7 октября 2011, 10:53
4814

Loading...

Комментарии

Уважаемый, расскажите что означает "OU" (я мало знаком со специфичными терминами AD).
За статью спасибо.
Написать я могу, но поймете ли?

Лучше почитать книги или посмотреть видео курсы выложенные в Интернете.

А вообще по теме, Active Directory - это каталог со всеми ресурсами локальной сети, тоесть там хранится информация о компьютерах, принтерах, учтеных записей и т.д.
Простыми словами это "папка", в этой папке подпапки с хранящимеся в них объектах - компьютеры, принтеры и т.д.
Вот эти папки, грубо говоря являются "OU" = "Организационными еденицами"
Они могут содержать по аналогии с папками вложенные "OU".

Мы не применяем "Групповую политику" только к одному объекту. Будь то учетная запись или компьютер.
А закрепляем ее к "OU" - папке, которая содержить кучу таких объектов как компьютеры или учетки.

Извините если коряво написал.

Оставьте свой комментарий

Спасибо за открытие блога в Yvision.kz! Чтобы убедиться в отсутствии спама, все комментарии новых пользователей проходят премодерацию. Соблюдение правил нашей блог-платформы ускорит ваш переход в категорию надежных пользователей, не нуждающихся в премодерации. Обязательно прочтите наши правила по указанной ссылке: Правила

Также можно нажать Ctrl+Enter

Популярные посты

Архивные фотографии Алма-Аты из семейного альбома. Ностальгический пост

Архивные фотографии Алма-Аты из семейного альбома. Ностальгический пост

Насобирал разных фотографий про наш город, из семейного архива. Фотографии не от сканированные, а пересняты на телефон. Давно хотел выставить, но не решался) Сейчас уже мы все поменялись, уже...
Ispanec
22 февр. 2017 / 11:05
  • 12141
  • 25
«Ау, дорогой, проснись! 21 век на дворе давно!». Бездипломный-безработный-бесквартирный!

«Ау, дорогой, проснись! 21 век на дворе давно!». Бездипломный-безработный-бесквартирный!

Ну реально же, парни, откуда вы только беретесь такие простые, а? Я сейчас просто расскажу несколько историй из личного опыта, и судите сами – нормально это? Но для начала расскажу немного о себе...
socium_kzo
22 февр. 2017 / 11:38
  • 7063
  • 96
Вспомнились слова однокурсника: «Не завидую твоему будущему мужу»

Вспомнились слова однокурсника: «Не завидую твоему будущему мужу»

Среди моих знакомых есть одна милая девушка, она тоже молодая мама как и я. Очень открытая, видная, недавно вышла на работу. У нее счастливая семья и все, тьфу-тьфу, складывается хорошо.
Roza_pvl
19 февр. 2017 / 11:49
  • 5990
  • 43
Диана Шурыгина – жертва или змея? Девочка красивая, а весь мир судит её именно за это

Диана Шурыгина – жертва или змея? Девочка красивая, а весь мир судит её именно за это

Я совсем не смотрю передачу "Пусть говорят", слишком много ругани и негатива, но новость про какую-то девушку заполонила все мои социальные сети, я открыла youtube и посмотрела несколько передач...
Roza_pvl
22 февр. 2017 / 11:49
  • 5097
  • 33
Как купить свое жилье при зарплате в 100 тысяч тенге

Как купить свое жилье при зарплате в 100 тысяч тенге

Итак, по просьбам трудящихся и по крикам души коллективного бессознательного решила я написать пост на эту тему. Вводные данные: 1) нет имущества, которое можно продать для покупки собственного...
DanaJarlygapova
20 февр. 2017 / 16:17
  • 4218
  • 47
50 бизнес-встреч с лучшими предпринимателями Астаны. «Наш бизнес начинался как хобби»

50 бизнес-встреч с лучшими предпринимателями Астаны. «Наш бизнес начинался как хобби»

Друзья, представляю вашему вниманию второго героя моей рубрики "50 бизнес-встреч с лучшими (по моей версии) предпринимателей Астаны за 100 дней" - Асхата Солтанова!
Kultursyn
20 февр. 2017 / 12:46
  • 3998
  • 18
Замуж в 27. Это как отправиться на войну, но без оружия

Замуж в 27. Это как отправиться на войну, но без оружия

Я очень долго думала писать данный пост или нет. Потому, что тема очень тонкая, возможно кого-то может задеть, а, возможно, наоборот кому-то откроет глаза. Тема замужества в каждом поколении была и...
Adilyan
21 февр. 2017 / 20:22
  • 3551
  • 18
Трамвайные пути Алматы ни в коем случае нельзя убирать, это окончательно уничтожит трамвай

Трамвайные пути Алматы ни в коем случае нельзя убирать, это окончательно уничтожит трамвай

В Алматы было сделано несколько заявлений касательно ситуации с трамваем, опять же не в пользу его восстановления и возвращения на улицы города. В городе собираются демонтировать рельсы...
SKYFALL
вчера / 16:01
  • 3273
  • 3
Диана Шурыгина как один из PR-инструментов продвижения своего товара и бренда

Диана Шурыгина как один из PR-инструментов продвижения своего товара и бренда

Простому обывателю социальных сетей уже известно, что самой обсуждаемой персоной в последнее время является печально известная 16-ти летняя девушка из Ульяновска Диана Шурыгина.
tala03
21 февр. 2017 / 13:27
  • 3363
  • 14