to post messages and comments.

← All posts tagged GP

После обновления KB3159398 от 14 июня все пользовательские политики с Security Filtering по группе пользователей пайдут паписде. Кардинальненько так, чоужтам... Чо делать — хбз. Для начала — не разворачивать это обновление в глобальном продакшене.

grouppolicy.biz
blogs.technet.microsoft.com
sdmsoftware.com

goo.gl
technet.microsoft.com

Использовать GP Preferences для задания паролей локальным учетным записям — это так несекурно, так мерзко и стыдно... : ))) Фу так делать...

Retrieves the plaintext password and other information for accounts pushed through Group Policy Preferences:
github.com

И еще раз про Group Policy Loopback Processing Mode:

Loopback processing of Group Policy: support.microsoft.com
Group Policy Loopback Processing: msmvps.com

Резюме: GP Loopback включается в компьютерной политике, после чего компьютер начинают обрабатывать и применять к пользователю на этом компьютере ВСЕ ПОЛЬЗОВАТЕЛЬСКИЕ политики, которые видит аккаунт компьютера по правилам применения к нему GPO.

В режиме Loopback Merge на пользователя действуют ВСЕ ПОЛЬЗОВТЕЛЬСКИЕ политики, которые применены и к аккаунту компьютера и к аккаунту пользователя (пользовательские настройки, примененные к компьютеру имеют приоритет в случае конфликта параметров).

В режиме Replace на пользователя действуют только пользовательские политики, которые применены к аккаунту КОМПЬЮТЕРА и не действуют пользовательские политики, которые применены к аккаунту ПОЛЬЗОВАТЕЛЯ.

Выдохнул... Короче, случайно включив Loopback на уровне домена, можно серьезно повредить психическое здоровье, раскуривая логику применения политик по gpresult : ))

Делегирование разрешений на ввод компьютеров в домен для неодминов:

1) Разрешения на объекты компьютеров: support.microsoft.com
2) Изменение лимита на ввод 10 компьютеров любым пользователем: support.microsoft.com blogs.technet.com
3) Групповая политика: Default Domain Controller Policy — > Computer Configuration -> Windows Settings -> Security Settings -> Local Policy ->User Rights Assignment -> Add workstation to domain

forums.techarena.in
forums.techarena.in

Православное применение режима Group Policy LoopBack Processing Mode:

1) Создается компьютерная политика Comp-Loopback-Replace/Merge-Enable-Policy — в компьютерной части включается loopback в нужном режиме (replace/merge) — пользовательская часть дизаблится.
2) Данная политика линкуется к юниту, где живут компьютеры, для которых необходимо переопределить пользовательские настройки.
3) Создается пользовательская политика User-Some-Policy и линкуется к этому-же юниту с компьютерами.

Получаем профит — при логоне на компьютеры в этом юните, к пользователям будут применяться дополнительные пользовательские политики, переопределяющие или дополняющие существующие политики уровня домена, например.

grouppolicy.editme.com

Задачку массовой настройки ISA/TMG Firewall Client в 21 веке через инишке (!) решают политики GP Preferences ( По мотивам #775259 ; ) Преференсез рулят и в целом и в частном. Зачотная тема...

Компутерные инишке:
%ALLUSERSPROFILE%\Application Data\Microsoft\Firewall Client 2004\common.ini
%ALLUSERSPROFILE%\Application Data\Microsoft\Firewall Client 2004\management.ini
Пользовательские инишке:

"%USERPROFILE%\Local Settings\Application Data\Microsoft\Firewall Client 2004"