Рубрика «group policy»

First of all let's remember a standart group policy precedence: Local — Site — Domain — Organisation Unit (LSDOU). From less specific level to more specific. It means that Local GPO settings will apply first, then Site-level, Domain-level etc. And the last applied (OU GPO) settings have the highest precedence on the resulting system. However, if a domain administrator didn't set some settings in the higher-level GPOs (e.g. Enable/Disable Windows Defender service) but the same settings have been configured on the Local-level GPO — the last ones will be apply. Yes, even the machine is a domain member.

The Local GPO files are located in %systemroot%System32GroupPolicy hidden folder and, of course, it has two scopes (located in subfolders): for User and for Computer. Any user (here I mean a «bad guy» of course), having access to this folder(s), can copy a Registry.pol file and check/change a Local GPO settings. An intruder can use a third-part apllication, such as a RegPol Viewer:

image

Читать полностью »

PowerShell и Group Policy Preferences, когда счет принтеров на сотни - 1

Много копий сломано вокруг управления сетевыми принтерами на пользовательских компьютерах. В основном администраторы разбились на два лагеря: подключение логон-скриптами (bat/vbs) и управление через GPP. У обоих подходов есть свои плюсы: скрипты быстрее обрабатываются, а GPP гибче и применяется чаще, чем пользователи перезагружают компьютеры. Но когда принтеров больше сотни и разбросаны они в нескольких десятках офисов и городов, сложности будут в обоих случаях.

Нужно не только подключить правильный набор принтеров каждому пользователю, с учетом его текущего местонахождения, но и ни про один не забыть. А если иногда перемещаются не только пользователи, но и сами принтеры…

В общем, мы с коллегами для себя выбрали GPP, в первую очередь для того, чтобы кто-то кроме ведущих администраторов мог разобраться в действующем конфиге, просто посмотрев отчет GPMC. Однако, кто скажет, что его штатный интерфейс удобен для управления 100+ устройствами — пусть первый бросит в меня камень. Кроме того, при вводе в эксплуатацию очередной партии нужно проделать много рутины по настройке сетевого сканирования и добавлению на сервер печати.

А всё, что делается больше одного раза, можно автоматизировать!

Что мы сегодня будем делать?

  • вести учет всех сетевых принтеров;
  • автоматизировать добавление принтеров в GPP (PS/XML);
  • автоматизировать добавление принтеров на принт-сервер, причем на кластерный (BAT/VBS)!

Итак, начнем.
Читать полностью »

Столкнулся недавно с проблемой что IE не хотел правильно принимать настройки локальной групповой политики Site to Zone Assignment list. Проблема проявлялась следующим образом:
При несконфигурированной политике список доверенных сайтов был по умолчанию, что логично.
Site to Zone Assignment list и Internet Explorer с включенной Enhanced Security Configuration - 1

А при сконфигурированной — пуст.
Site to Zone Assignment list и Internet Explorer с включенной Enhanced Security Configuration - 2
Читать полностью »

Компания Microsoft выпустила обновленный файл (в формате Excel), содержащий все настройки групповых политик, доступные для редактирования и применения на клиентских машинах.

Group Policy: что нового? Шпаргалка на все случаи жизни

В файле на странице «Administrative Templates» появилась колонка «New in Windows 8.1».
Чтобы получить список политик для этой версии клиентской ОС, нужно применить фильтр по значению TRUE.
Читать полностью »

Введение

Как правило разработчик сталкивается с проблемой распространения приложения, в 2010 студии все было просто — отдельный проект и базовый функционал есть. С переходом на 2012 студию все стало сложнее: MS исключили инсталятор из проектов и советуют пользоваться сторонними продуктами. Монстров типа InstallShuild как то не хочется использовать, поэтому смотрим в сторону СПО. Первое что попадается это система WIX http://wix.sourceforge.net система изумительная и самое главное созданная в недрах MS. Однако остается проблема одного файла: для .NET приложений требуется фреймворк, инсталятор, и многое другое. В итоге мы получаем папку с целой кучей файлов, как это все распространять? В архиве не удобно, стандартный функционал WIX недостаточно гибок и тут приходит на помощь WIX и WiX Extended Bootstrapper Application . Кратко он позволяет упаковать все в один исполнимый файл. Соответственно я расскажу как это сделать.

Читать полностью »

GPUpdate vs GPUpdate /force
Когда я только начинал изучать Active Directory, групповые политики казались очень непостоянными. Иногда я мог запустить GPUpdate, другой раз надо было использовать /force
Как оказалось, политики всегда работали — только я не понимал их.

Так какая же разница между GPUpdate и GPUpdate /force?

Вкратце:

GPUpdate применяет все новые и измененные политики.
GPUpdate /force применяет все политики: новые и старые.
Читать полностью »


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js