много наслышившись о всяких фич в настройках winserver2003 поставил ее.
разобрался, прочитал и натсроил как смог.
остались след вопросы:

1. как сделать опцию "shutdown" "restart" и т.п. доступными для обычных пользователей? добавлено: я просто логинился в ОС winserver2003, наверное это особенности самой оси, с обычной раб.станции эти опции будут доступны?

2. где и как именно можно переименовать домен?

3. почему USB порты не закрываются? прочитал и сделал все, как написано здесь (http://www.oszone.net/3644/#19) . с флешки, или с сидюка копирует и туда и обратно!

4. если вдруг заработает предыдущий пункт, то можно ли выставить настройки по безопасности: админам можно, пользователям - нет?

теперь вопросы общие:

4. если я буду менять конфигурацию групповой политики, которая по умолчанию, она будет применяться?

5. можно ли, кроме той что по умолчанию, добавить еще пару политик(или шаблонов безопасности)? где выстраивать приоритетность применения?

6. до групповой политики я добираюсь долго: "AD users and computers" | "свойства домена" | вкладка "групповая политика". а есть более короткий способ?

7. правильно ли утверждение, что через групповую политику можно настроить все действия пользователей? если да, то это делается через одну политику или же к той, которая по умолчанию добавляются другие (в смысле лучше добавлять по функциям и разделять разного рода политики или объединить все в одно, опять же шаблонами безопасности)?

1. На рабочих станциях пользователям разрешено делать перечисленные тобой действия. На контроллерах домена - только администраторам.
2. Читай и качай отсюда - Windows Server 2003 Active Directory Domain Rename Tools (http://www.microsoft.com/technet/downloads/winsrvr/domainrename.mspx) и схожая статья - Переименование доменов Windows Server 2003, имеющих серверы Exchange 2003 (http://www.oszone.net/4174/Windows_Server_2003_Exchange_2003).
3. Не знаю что ты и как делал. Мало информации.
5. Будет, но изменять доменные политики по умолчанию не рекомендуется. Рекомендуется создавать новую и в ней производить настройку.
6. Консоль управления групповой политикой для Windows Server 2003 (http://www.oszone.net/145/)
7. "Нельзя объять необъятное...", но с их помощью настроить можно очень многое. Реализация групповых политик зависит только от конкретного случая и от конкретного администратора.

xoxmodav
насчет usb портов, делал именно как там написано - нулевой результат. ну да ладно, все равно придеться третьими прогами закрывать!

еще один вопрос возник: где именно в групповой политике, можно указать на автоматическое подцепление сетевого диска? (вместо "net use k: \\server\share")?

В настройках учётной записи пользователя в Active Directory - вкладка "Profile".

xoxmodav
это каждому по отдельности?!
у нас, у пользователей у всех одна папка. как можно сразу всем (батчем) поставить сетевой диск?

Оснастка Windows 2003 Server позволяет выделение и изменение параметров у однородных объектов, чего не было в Windows 200 Server. То есть тебе нужно выделить всех пользователей (если они у тебя уже распределены между организационными подразделениями - воспользуйся поиском объектов в AD), щёлкнув правой клавишей мышки на них и в контекстном меню выбрать "Свойства". Откроется окно, в котором на вкладке "Profile" установи для всех подключаемый ресурс. Жми "ОК" - готово.

xoxmodav
поблагодарил...!!!

у меня еще вопрос:
можно сделать групповую политику только для юзерей: когда в систему заходит админ, что-б у него все было доступно, а у пользователя - нет. например, я запретил смену прокси-сервера в IE. но если админ залогинился, что-б эта опция всеже была доступна.


добавлено:
создаю новое подразделение "Администраторы" - добавляю туда всех админов - и уже только им редактирую групповую полику?
я прально понял?

ps скачал mmc для групповой политики, такая неудобная вещь, ей кто нить пользуется?

можно сделать групповую политику только для юзерей
Да
ей кто нить пользуется
Если GPMC, то - да.

monkkey
1. я правильно написал как сделать групповую политику для юзерей?
2. и че удобно? она же в основном для просмотра и формирования отчетов о состоянии групповой политики

rivera
RTFM

rivera

2. По сравнению со стандартными средствами - несомненно удобней.

она же в основном для просмотра и формирования отчетов о состоянии групповой политики

Нет, в ней очень удобно создавать, управлять, смотреть и делать многое другое с объектами групповых политик.

Возникло пару проблем, самостоятельно решить не получается :(
Есть домен на Вынь2003, контроллер, соответственно, на нем же. Все юзеры (120 штук) разбиты на 13 групп (отделы в конторе).
1. Можно ли доступ к сетевым папкам ограничивать по группам (не прописывая каждому юзверю по отдельности)?
2. Можно ли установить срок жизни сетевого пароля определенным сроком? Пробовал через политики безопасности, но ничего не вышло :(

1. Конечно можно, группы именно для этого и предназначены.

Пример:
Создай несколько групп (желательно доменных локальных) с названиями типа:
- DL Бухгалтера - Full
- DL Бухгалтера - Read & Write
- DL Бухгалтера - Read
После чего раскидай пользователей-бухгалтеров по этим группам - каждого в свою группу (в зависимости от служебных обязанностей). После чего на сетевой ресурс дай полный доступ группе "Все" или "Прошедшие проверку", а в настройках безопасности прерви наследование и назначь вышеперечисленные группы и задай им соответстующие права. Вуаля - пользователи, не входящие в эти три группы попасть на сетевой ресурс не смогут.

2. Здесь не то, что ты ищешь: "Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Политики учетных записей\Политика Kerberos"?

2xoxmodav
Сенкс, завтра попробую по первому вопросу
а по второму - сам разобрался, фишка была в том, что настройки пользователя приоритетней настроек kerberos. То есть у пользователя стояла галочка на "Срок действия пароля неограничен" и "Запретить смену пароля пользователем". В Керберос я поставил срок жизни пароля на 30 дней и это заработало только тогда, когда я убрал вышеперечисленные разрешения у пользователей

не ребят у меня не получается:

1. в AD я создал контейнер "admins" туда переместил 2 пользователей:
administrator - встроенная учетка
adm - созданная учетка (член групп: domain admins, administrators)

через групповую политику привязал к данному контейнеру особенную политику, которая ничем не ущемлена.

захожу на раб.станцию, проверяю настройки политики безопасности(запрещал сменить прокси сервер в Internet Explorer) - работает: нельзя сменить прокси сервер в IE

захожу на раб.станцию админом домена (и встроенной тоже пробовал) - все равно запрещено менять прокси сервер в IE!

куда копать дальше?

добавлено:решение
т.к. для контейнера "admins" соответсвующая настройка стояла на "не определено" - принялась политика для всех. надо было поставить "разрешить"

еще пара вопросов:

2. контейнер "Users" по умолчанию вбириает в себя всех пользователей и групп домена, так? если я создам контейнер "groups" и перенесу туда все (или частично) группы созданные в домене, то перенесенные группы все равно останутся группами домена? например группа "IT" домена "DOMAIN" все равно будет domain\it независимо от того, в каком контейнере она находится?? (интуитивно я догадываюсь, что "да", но всеже хотелось бы узнать однозначный ответ)
добавлено:решение
Учтите, что контейнер Users не является OU. Если вы перенесете группы в отдельное OU, то они все равно останутся доменными группами.


3. обязательно ли участие всех до единого пользователей в группе "domain users"? (вообще, группа "domain users" она кого объединяет: все объекты которые имеют имя пользователя и пароль?)
добавлено:решение
Технически это членство не является необходимым, но удаление пользователей из нее требует тщательного планирования разрешений во всем домене и может привести к неприятностям в дальнейшем.

4. может ли быть группа в группе: группа "it" может входить в группу "domain admins"? интуитивно я догадываюсь, что "да", но всеже хотелось бы узнать однозначный ответ)
добавлено:решение
см. здесь (http://technet2.microsoft.com/WindowsServer/en/library/45f5bb3d-4fa8-49c4-8585-22b93fb188a11033.mspx?mfr=true)

5. если группа "it" входит в состав группы "domain admins" (а группа "domain admins", если я не ошибаюсь, по умолчанию входит в группу "administrators"), то обязательно ли пользователю, который входит в группу "it", давать права "administrators" или "domain admins"? или он возмет эти права по наследству?
добавлено:решение
да, по наследству. см. здесь (http://technet2.microsoft.com/WindowsServer/en/library/45f5bb3d-4fa8-49c4-8585-22b93fb188a11033.mspx?mfr=true)
ответы из форума (http://forums.microsoft.com/technet-ru/default.aspx?siteid=40) Майкрософт

походу такой вопрос:
глобальная группа "domain admins" входит в administrators\bullitin локальную папку - это понятно (все админы домена)
глобальная группа "domain users" входит в users\bullitin локальную папку - это тоже понятно (все юзеры домена )
но, почему "domain computers" не входит в локальную папку computers\bullitin - ведь папка есть? (все компы домена)

Что-то всё как-то туманно. Ты имеешь в виду, что глобальные группы "Администраторов домена" и "Пользователей домена" входят в локальные доменные "Администраторы" и "Пользователи"?

Если да, то где ты увидел локальную доменную группу "Компьютеры"?

xoxmodav
точно, такой группы нет.

ребят, у кого есть групповая политика по умолчанию, выложите здесь пож-ста. а то я понеопытности изменил ее, и теперь у меня ничего не получается. хочу попробовать все заново.

Dcgpofix Restores the default Group Policy objects (http://technet2.microsoft.com/WindowsServer/en/library/48872034-1907-4149-b6aa-9788d38209d21033.mspx?mfr=true)
На будущее (рекомендация МС и вообще) - редактируйте только СВОИ созданные объекты ГП и не трогайте дефолтные.

поправил.
ребят теперь у меня все отвалилось.
обо всем по порядку.

1.поставил с нуля win2003+AD

2.создал новую OU и добавил туда пользователя "test"
http://img.extra.by/out.php/i1074_ad-ou.GIF

3. добавил пользователя тест в группу "doamin users"
http://img.extra.by/out.php/i1076_gr.GIF

4. создал (политика "user restrictions"), отредактировал и привязал политику к OU
http://img.extra.by/out.php/i1075_gp.GIF

по политики, пользователь не может менять адрес прокси сервера в IE.

5. добавляю машину в домен, захожу пользователем и вижу, что политика не применена.
результат команды gpresult: объект политики не найден
(в консоли GP: Link enabled, GPO status - enabled)

что я делаю не так?