Проблему с ошибкой «Ошибка расширенного типа. Не удалось сохранить ………GptTmppl.inf» кажется решил. Просто был закрыт доступ к серверу из сети администратору.

Но другие по прежнему остались:
Создал новое подразделение «Ограниченные пользователи» Active Directory Пользователи и Компьютеры -> создать , подключил рабочую станцию к домену, далее из папки Computers перенес получившийся компьютер в подразделение «Ограниченные пользователи» учетную запись также из группы Users перенес в это же подразделение
Далее «Cвойства» подразделения «Ограниченные пользователи» -> Групповая политика -> создать. Создаю новую групповую политику «Ограниченные пользователи».

Далее пытаюсь добавить на локальные машины в папку «Опытные пользователи» группу «PROEKT\Пользователи домена» различными способами:

1. В групповой политике «Ограниченные пользователи» в ветке
конф.комп./конф.винд/пар.без./группы с ограниченным доступом добавляю группу «Опытные пользователи» . В появившееся окно «члены этой группы» добавляю группу «PROEKT\Пользователи домена». Результат Данная политика не применяется к машине , входящей в подразделение «Ограниченные пользователи». По моему вообще не применяется данная групповая политики к объектам входящим в подразделение «Опытные пользователи» Почему? Может ее перекрывает политика по умолчанию примененная ко всему домену?


2.способ
В групповой политике конф.комп./конф.винд/сценарии/автозагрузка добавил файл start.bat со следующим содержимым

«NET LOCALGROUP "Опытные пользователи" "PROEKT\Пользователи домена" /ADD
Pause»

При выполнении входа в домен на локальной машине этот файл не выполняется, а когда я его напрямую запускаю на выполнение выдается ошибка №5 отказано в доступе. Запись, с которой вхожу в систему, входит в группу PROEKT\Пользователи домена. Если в домен вхожу с учетной записью принадлежащей «PROEKT\Администраторы домена», команды выполняются успешно.
3. Аналогичные действия происходят, если этот файл добавляю в профиль учетной записи в строку «Сценарий входа».

Здесь на этом форуме описаны именно эти способы решения моей проблемы, но у меня ни один из них не проходит.
Получается только через консоль «Active Directory Пользователи и Компьютеры» правой кнопкой на нужном компьютере «Управление» и добавляю пользователей в нужную локальную группу и то не всегда.

На некоторых машинах при попытке из управления выдается ошибка «Управление компьютером \\имя.домен невозможно. Не найден сетевой путь». В чем здесь может быть проблема. Локальная машина точно входит в домен с одной из учетных записей домена.

SkyF: насчет шаблон безопасности, compatws.inf - он дает пользователям много возможностей, в т.ч. и право на установку программ.
1) Изъезженная тема - он даст возможность члену группы Пользователь использовать ту же ICQ Pro без ограничений?
2) Можно ли непосредственно в нем УБРАТЬ возможность УСТАНОВКИ ПРОГРАММ, не меняя остальные направления воздействия?

Есть:
Win2K3 serv, SP1
поднят Домен

В свойствах ГП "Default Domain Policy",
в дереве:
"Конфигурация пользователя/административные шаблоны/Панель управления/Установка и удаление программ"
раньше (по крайней мере в 2Кserv) имелась оснастка что-то типа "запрет установки/удаления программ", но сейчас её нет и не только её...
картина сейчас вот такая:
подскажите плз хотя бы где рыть :о/
http://hottler.ho.com.ua/AD.gif

Hottler
возможно в групповой политике Windows 2000 server что-то и имелось из указанных вами параметров, но я такого не помню (да и вообще количество настроек шаблонов не вдохновляет их учить)

однако все равно этот параметр не запретит пользователям запускать exe программы - этот ваш параметр ограничивал бы только вид компонента - Установка/удаление программ (которым и так редко кто пользуется - слишком велик соблазн просто запустить setup.exe)

Запрет пользователям на установку и инсталляцию приложений (программ) обсуждался ранее на форуме.
fix! права пользователя для установки программ (http://forum.oszone.net/showthread.php?t=1899)

темы склеиваю.

ЗЫ прочитайте правила и рекомендации по работе в разделе.

ShaddyR1) Изъезженная тема - он даст возможность члену группы Пользователь использовать ту же ICQ Pro без ограничений?
поддерживаются только корректная установка и работа приложений - разработанных в совместимом с Windows режиме. если разработчики не позаботились об этом - то распространению их программ может способствовать только freware составляющая и бешеная популярность.. если чего-то из этого нет, то такой программе трудно ужиться в компаниях, использующих системное ПО Microsoft Windows

2) Можно ли непосредственно в нем УБРАТЬ возможность УСТАНОВКИ ПРОГРАММ, не меняя остальные направления воздействия?

думаю возможно будет что-то сделать - если выполнить модификацию настроек в самом файле шаблона (резервную копию только его перед этим сделать) или создать через mmc- securty templates новый шаблон (my_comp) - перейти в директорию и скопировать файл compatws.inf в файл my_comp.inf

те вы получите копию оригинального шаблона - открывайте его текстовым редактором и редактируйте)

Добрый день!
Прошу прощения, но у меня медленный интернет, поэтому не могу поискать ответ в сети. Администрирую класс в школе. Одноранговая сеть, вин 2000проф. Все пользователи с правами администратора. Не могу изменить права, т.к. некоторые эл.учебники (у меня 30) требуют администратора. "Детишки" шалят понемногу. Поставил Запрет на доступ к содержимому некоторых дисков, поставил запрет на запуск regedit. Но еще надосделать запреты с только помощью реестра:
1. ввод и удаление учетных записей, изменение пароля.
2. запуск панели управления.
3. установку любых программ.
4. отключение подключения к локальной сети.
Может еще посоветуете что сделать с реестром. Буду очень благодарен.

Спасибо.
Денис.

Настраивай политики безопасности.
А вообчето что за прогульки такие, которые тока под админом идут? Старые небось, иль писаные кривыми ручками! Или ты сам что-то намудрил. Но если твои детишки будут помудрее, то админ на то и адмим, чтоб мочь делать все, сами разберуться, сами и поправят. Как идея: настрой аудит, чтоб никто не подозревал про его существование, и потом карально-премиальными методами детишек отучай шалить.

Спасибо за ответ!
Это учебники от КиМ для разных предметов Virtual School. Учебник от того же КиМ Химия, Физика и т.д. Устанавливается только под админом. Меняешь на ограниченный или пользователя - кричит "программа не установлена". И так всегда. Многое делал: и ярлыки таскал, и права менял всяко разно - все равно требует админа. А ногами топать и кричать... Короче начал давить, они давай мне пароли да доступ на диски закрывать...

Вам помогут regmon & filemon from sysinternals.com. Даете разрешения пользователям на соответствующие ветки реестра и каталоги в Program Files.

YDen
будьте внимательнее.. ваш вопрос легко ищется поиском по слову установк*
ваш вопрос уже поднимался - fix! права пользователя для установки программ (http://forum.oszone.net/showthread.php?t=1899)
топики склееены

У меня сервер на основе Win2003, как разрешить в групповой политике установку программ на клиентских машинах только определенной группе пользователей?

MSD
Внести нужных пользователей на клиентских компьютерах в локальные группы Опытные пользователи. Через ГП делается через Restricted Groups.

Стоит домен, который управляется Админом (не хороший человек) из далека (москвы) у нас права доступа только на создание пользователей, но тут принесли програмульку ПУ 5 (эта лажа из ПФР) попытка установить из под пользователя ясно что закончилась безуспешно, как и под нашей учёткой (по которой мы только заводим пользователей без права подключения определённых групп) как быть и как установить эту мыльную программу если одним сверху "елозит" мол вы там "кали**" всё просто делается! Просветите пожайлуста как???? Если в курсе, спасибо!

Через runas (уж права локального администратора у Вас должны быть).