Чтобы добавлять сообщения и комментарии, .

@Dant:
Dant

Как правильно чинить политики, поломанные патчем MS16-072/KB3159398:

grouppolicy.biz
blogs.technet.microsoft.com

В целом — несложно (добавляем явно разрешение Read для Authenticated Users/Domain Computers), но лучше это сделать ДО применения замечательного патча : )

@Dant:
Dant

После обновления KB3159398 от 14 июня все пользовательские политики с Security Filtering по группе пользователей пайдут паписде. Кардинальненько так, чоужтам... Чо делать — хбз. Для начала — не разворачивать это обновление в глобальном продакшене.

grouppolicy.biz
blogs.technet.microsoft.com
sdmsoftware.com

goo.gl
technet.microsoft.com

@fuze:
fuze

оказывается есть монополия на русском в стиле Гарри Поттера.Вот думаю распечатать... printgames.ru

@Dant:
Dant

How to configure IIS to support large AD Token with Group Policy: grouppolicy.biz

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\HTTP\\Parameters]
"MaxFieldLength"=dword:0000ffff
"MaxRequestBytes"=dword:01000000

@k1lg0reTr0ut:
k1lg0reTr0ut

есть одна политика в ад. и есть другая.
обе политики настривают расширенный аудит.
первая политика прилинкована к домен, вторая к оушке и применяется после первой соответственно.
вот эта политика номер один будет полностью перекрываться второй или мержиться?

@Dant:
Dant

Administrative Templates (.admx) for Windows 10. RSAT-ов еще хочу-хочу и можно будет начинать думать за апгрейд : )

grouppolicy.biz
microsoft.com

@k1lg0reTr0ut:
k1lg0reTr0ut

а подскажите плиз, есть такой контейнер в винде: Trusted Root Certification Authorities.
Еще есть Intermediate.
Консоль "Сертификаты" в винде можно открыть от имени юзера и имени компьютера.
Вопрос: для юзера и компьютера эти контейнеры одинаковы?
Исходя из ответа на первый вопрос, еще один вопрос, если они разные, то сертификаты, которые раздаются через GP куда ложаться? в юзерские или компьютерные?
А если я распространяю сертификат, а он уже у меня есть, то он задваивается. Это нормально?
А если я хочу через политики распространить корневой сертификт только для пользователя?

@k1lg0reTr0ut:
k1lg0reTr0ut

в 99% случаев в команде "gpupdate /force" этот параметр /force абсолютно излишен.

@k1lg0reTr0ut:
k1lg0reTr0ut

в какой именно GPO настраивать политики аудита? только в дефолтных политиках, или работает во всех?
если говорить об адвансед аудите, и параметре "Audit: Force audit policy subcategory settings (Windows Vista or later) to override audit policy category settings",
то этот параметр работает только в случае конкретной политики? или он глобально переписывает политики аудита с обычного на адвансед на уровне домена?
и второе, для проверки настройки адвансед аудита можно запускать auditpol /get. а как проверить настройки базового аудита? есть такое?

@ImMetatron:
ImMetatron

Взял полкила аккумуляторов "АА" в низшем ценовом диапазоне из нормальных акб, GP за год показали себя хорошо, дешево и сердито. Так что норм ReCyko+ вполне норм. youtube.com

@k1lg0reTr0ut:
k1lg0reTr0ut

я тут недавно спрашивал про вопрос домпа, где подходящим ответом был loopback processing.
а как вам такой вопрос?
QUESTION 198
Your network contains an Active Directory domain named contoso.com. All domain controllers run Windows Server 2012 R2.
The domain contains two organizational units (OUs) named OU1 and OU2 in the root of the domain.
Two Group Policy objects (GPOs) named GPO1 and GPO2 are created. GPO1 is linked to OU1. GPO2 is linked to OU2.
OU1 contains a client computer named Computer1. OU2 contains a user named User1.
You need to ensure that the GPOs applied to Computer1 are applied to User1 when User1 logs on. What should you configure?

A. The GPO Status
B. GPO links
C. The Enforced setting
D. Security Filtering

условия задачи такие же, ответа лупбэка нет.
дамп кривой??

@k1lg0reTr0ut:
k1lg0reTr0ut

а вообще судя по дампам, вопросы очень странные.
например, связанные с переносом бэкапа политик на флешке.
нужно выбрать последовательность, бэкап политики одного домена, перенос ее на флешке в другой, создание новой политики в другом домене, монтирование флешки и импорт с флешки этого бэкапа.
вот блять, я засунуть флешку могу и до создания новой политики, и после.
и ничего не поменяется.
как блять так я должен угадывать, когда засовывать флешку????????

@k1lg0reTr0ut:
k1lg0reTr0ut

QUESTION 207
Your network contains an Active Directory domain named contoso.com. All domain controllers run Windows Server 2012 R2. The domain contains two organizational units (OUs) named OU1 and OU2 in the root of the domain. Two Group Policy objects (GPOs) named GPO1 and GPO2 are created. GPO1 is linked to OU1. GPO2 is linked to OU2. OU1 contains a client computer named Computer1. OU2 contains a user named User1.
You need to ensure that the GPOs applied to Computer1 are applied to User1 when User1 logs on. What should you configure?

A. WMI Filtering
B. Security Filtering
C. Group Policy loopback processing mode
D. Item-level targeting

Я неправильно перевожу????
"Вы должны убедиться, что GPOs применяемые к Computer1 также применяются к User1, когда User1 логинится."
То есть как блять, если политика компьютерная применяется к компьютерам, ее можно ограничивать группой юзеров???
я не понимаю ничего в этом вопросе.

@k1lg0reTr0ut:
k1lg0reTr0ut

заменил старый admx и adml файлик новыми.
изменений нет.
нужно подождать, чтобы реплицировалось? оно само появится или какие то действия нужны?
не могу найти мурзилку на данную тему

@k1lg0reTr0ut:
k1lg0reTr0ut

в политике логирования чего-то там, стоит путь до лога содержащий переменную %COMMONAPPDATA%.
у себя на компе не нашел такую переменную. думаю у других ее тоже нет.
ее нужно делать? или лучше свой путь указать?

@Dant:
Dant

Administrative Templates for Windows 8.1 Update and Windows Server 2012 R2 Update: microsoft.com

@4DA:
4DA

Что проще: запустить guitar pro 6 из-под вайна или поставить его нативную сборку на свежий дебиан?

@Dant:
Dant

Office 2013 Administrative Template files (ADMX/ADML) and Office Customization Tool: microsoft.com

@Dant:
Dant

Installing and Configuring Advanced Group Policy Management (AGPM):
fbinotto.blogspot.ru

@O01eg:
O01eg

habrahabr.ru
Очередные генетические машинки. Написано на C++, есть удалить папку SDL и использовать make all вместо make, компилируется под линукс. Можно задавать строку, на основе которой будет строиться трасса и меряться, у кого длиннее пройденный путь.

@Dant:
Dant

Использовать GP Preferences для задания паролей локальным учетным записям — это так несекурно, так мерзко и стыдно... : ))) Фу так делать...

Retrieves the plaintext password and other information for accounts pushed through Group Policy Preferences:
github.com

@Dant:
Dant

Administrative Templates (.admx) for Windows 8 and Windows Server 2012:
microsoft.com

@Dant:
Dant

Group Policy Enforced and Block Inheritance: blogs.technet.com

Параметр Enforced в свойствах линка на групповую политику уровня домена "пробивает" Block Inheritance, заданный в свойствах нижестоящего OU, например...

technet.microsoft.com
adshotgyan.com

@O01eg:
O01eg

habrahabr.ru
"Sympathy and Punishment: Evolution of Cooperation in Public Goods Game
jasss.soc.surrey.ac.uk
Это почему общество основанное на кооперации не выживает если состоит из классов производителей и воров
Но выживает если появляются менты, наказывающие воров и получающие за это мзду от кооператоров."

@Dant:
Dant

И еще раз про Group Policy Loopback Processing Mode:

Loopback processing of Group Policy: support.microsoft.com
Group Policy Loopback Processing: msmvps.com

Резюме: GP Loopback включается в компьютерной политике, после чего компьютер начинают обрабатывать и применять к пользователю на этом компьютере ВСЕ ПОЛЬЗОВАТЕЛЬСКИЕ политики, которые видит аккаунт компьютера по правилам применения к нему GPO.

В режиме Loopback Merge на пользователя действуют ВСЕ ПОЛЬЗОВТЕЛЬСКИЕ политики, которые применены и к аккаунту компьютера и к аккаунту пользователя (пользовательские настройки, примененные к компьютеру имеют приоритет в случае конфликта параметров).

В режиме Replace на пользователя действуют только пользовательские политики, которые применены к аккаунту КОМПЬЮТЕРА и не действуют пользовательские политики, которые применены к аккаунту ПОЛЬЗОВАТЕЛЯ.

Выдохнул... Короче, случайно включив Loopback на уровне домена, можно серьезно повредить психическое здоровье, раскуривая логику применения политик по gpresult : ))

@Dant:
Dant

Изменения в системе групповых политик Windows 8:

4sysops.com
4sysops.com
4sysops.com

@kamenev:
kamenev

*Uniel *Jazzway
varta-consumer.com
gpbatteries.com
jazz-way.com
thrunite.com
uniel.ru
Тесты разных фонарей superfonarik.ru
Как выбрать фонарь bestfonarik.ru
Маленький gpbatteries.ru
Маленький и мощный led777.ru

Флейм kursk.dns-shop.ru
Люди там рекомендуют: JAZZWAY (A3-L1W-1AA, A5-L3WZ-3AAA), 4sevens (Quark Mini), Fenix LD10 (на Q3)

@Dant:
Dant

Group Policy Settings Reference for Windows and Windows Server: microsoft.com

@mefisteron:
mefisteron

Кто поднимал контроллер домена на linux должен быть в курсе того, что у samba ограниченная поддержка домена. Кто ещё не знает, вот решение вопроса групповых политик — unixforum.org

@Dant:
Dant

Giving Non Administrators permission to read Event Logs Windows 2003 and Windows 2008: blogs.technet.com

How to set event log security locally or by using Group Policy in Windows Server 2003: support.microsoft.com
Service discretionary access control lists: support.microsoft.com

@Dant:
Dant

Делегирование разрешений на ввод компьютеров в домен для неодминов:

1) Разрешения на объекты компьютеров: support.microsoft.com
2) Изменение лимита на ввод 10 компьютеров любым пользователем: support.microsoft.com blogs.technet.com
3) Групповая политика: Default Domain Controller Policy — > Computer Configuration -> Windows Settings -> Security Settings -> Local Policy ->User Rights Assignment -> Add workstation to domain

forums.techarena.in
forums.techarena.in

@Dant:
Dant

Православное применение режима Group Policy LoopBack Processing Mode:

1) Создается компьютерная политика Comp-Loopback-Replace/Merge-Enable-Policy — в компьютерной части включается loopback в нужном режиме (replace/merge) — пользовательская часть дизаблится.
2) Данная политика линкуется к юниту, где живут компьютеры, для которых необходимо переопределить пользовательские настройки.
3) Создается пользовательская политика User-Some-Policy и линкуется к этому-же юниту с компьютерами.

Получаем профит — при логоне на компьютеры в этом юните, к пользователям будут применяться дополнительные пользовательские политики, переопределяющие или дополняющие существующие политики уровня домена, например.

grouppolicy.editme.com

@Dant:
Dant

W2K8 *links
Administrative Templates (ADMX) for Windows Server 2008 R2 and Windows 7 — microsoft.com
Managing Group Policy ADMX Files Step-by-Step Guide — go.microsoft.com

@Dant:
Dant

За правку Default Domain Policy — казнить нельзя помиловать? : )

@Dant:
Dant

Задачку массовой настройки ISA/TMG Firewall Client в 21 веке через инишке (!) решают политики GP Preferences ( По мотивам #775259 ; ) Преференсез рулят и в целом и в частном. Зачотная тема...

Компутерные инишке:
%ALLUSERSPROFILE%\Application Data\Microsoft\Firewall Client 2004\common.ini
%ALLUSERSPROFILE%\Application Data\Microsoft\Firewall Client 2004\management.ini
Пользовательские инишке:

"%USERPROFILE%\Local Settings\Application Data\Microsoft\Firewall Client 2004"

@Dant:
Dant

Пример использования GP Preferences — массово настраиваем ключ реестра с указанием куда именно идти за дистрибутивом WinXP : )

amaksimov.wordpress.com

@Dant:
Dant

Fine-Grained Password Policy в 2008 домене:

blogs.technet.com
blogs.technet.com
go.microsoft.com

@Dant:
Dant

Несколько парольных политик в 2008 домене. Всегда удивляла простота и интуитивность этой настройки, да : )
tinyurl.com

@O01eg:
O01eg

Я не люблю флэш, но это шикарно: dagobah.biz

@Dant:
Dant

Вики по групповым политикам: grouppolicy.editme.com
Особенно полезно разжевывание Loopback Processing Mode: grouppolicy.editme.com