to post messages and comments.

@Dant:

Как правильно чинить политики, поломанные патчем MS16-072/KB3159398:

grouppolicy.biz
blogs.technet.microsoft.com

В целом — несложно (добавляем явно разрешение Read для Authenticated Users/Domain Computers), но лучше это сделать ДО применения замечательного патча : )

@Dant:

После обновления KB3159398 от 14 июня все пользовательские политики с Security Filtering по группе пользователей пайдут паписде. Кардинальненько так, чоужтам... Чо делать — хбз. Для начала — не разворачивать это обновление в глобальном продакшене.

grouppolicy.biz
blogs.technet.microsoft.com
sdmsoftware.com

goo.gl
technet.microsoft.com

@fuze:

оказывается есть монополия на русском в стиле Гарри Поттера.Вот думаю распечатать... printgames.ru

@Dant:

How to configure IIS to support large AD Token with Group Policy: grouppolicy.biz

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\HTTP\\Parameters]
"MaxFieldLength"=dword:0000ffff
"MaxRequestBytes"=dword:01000000

@k1lg0reTr0ut:

есть одна политика в ад. и есть другая.
обе политики настривают расширенный аудит.
первая политика прилинкована к домен, вторая к оушке и применяется после первой соответственно.
вот эта политика номер один будет полностью перекрываться второй или мержиться?

@Dant:

Administrative Templates (.admx) for Windows 10. RSAT-ов еще хочу-хочу и можно будет начинать думать за апгрейд : )

grouppolicy.biz
microsoft.com

@k1lg0reTr0ut:

а подскажите плиз, есть такой контейнер в винде: Trusted Root Certification Authorities.
Еще есть Intermediate.
Консоль "Сертификаты" в винде можно открыть от имени юзера и имени компьютера.
Вопрос: для юзера и компьютера эти контейнеры одинаковы?
Исходя из ответа на первый вопрос, еще один вопрос, если они разные, то сертификаты, которые раздаются через GP куда ложаться? в юзерские или компьютерные?
А если я распространяю сертификат, а он уже у меня есть, то он задваивается. Это нормально?
А если я хочу через политики распространить корневой сертификт только для пользователя?

@k1lg0reTr0ut:

в 99% случаев в команде "gpupdate /force" этот параметр /force абсолютно излишен.

@k1lg0reTr0ut:

в какой именно GPO настраивать политики аудита? только в дефолтных политиках, или работает во всех?
если говорить об адвансед аудите, и параметре "Audit: Force audit policy subcategory settings (Windows Vista or later) to override audit policy category settings",
то этот параметр работает только в случае конкретной политики? или он глобально переписывает политики аудита с обычного на адвансед на уровне домена?
и второе, для проверки настройки адвансед аудита можно запускать auditpol /get. а как проверить настройки базового аудита? есть такое?

@ImMetatron:

Взял полкила аккумуляторов "АА" в низшем ценовом диапазоне из нормальных акб, GP за год показали себя хорошо, дешево и сердито. Так что норм ReCyko+ вполне норм. youtube.com

@k1lg0reTr0ut:

я тут недавно спрашивал про вопрос домпа, где подходящим ответом был loopback processing.
а как вам такой вопрос?
QUESTION 198
Your network contains an Active Directory domain named contoso.com. All domain controllers run Windows Server 2012 R2.
The domain contains two organizational units (OUs) named OU1 and OU2 in the root of the domain.
Two Group Policy objects (GPOs) named GPO1 and GPO2 are created. GPO1 is linked to OU1. GPO2 is linked to OU2.
OU1 contains a client computer named Computer1. OU2 contains a user named User1.
You need to ensure that the GPOs applied to Computer1 are applied to User1 when User1 logs on. What should you configure?

A. The GPO Status
B. GPO links
C. The Enforced setting
D. Security Filtering

условия задачи такие же, ответа лупбэка нет.
дамп кривой??

@k1lg0reTr0ut:

а вообще судя по дампам, вопросы очень странные.
например, связанные с переносом бэкапа политик на флешке.
нужно выбрать последовательность, бэкап политики одного домена, перенос ее на флешке в другой, создание новой политики в другом домене, монтирование флешки и импорт с флешки этого бэкапа.
вот блять, я засунуть флешку могу и до создания новой политики, и после.
и ничего не поменяется.
как блять так я должен угадывать, когда засовывать флешку????????

@k1lg0reTr0ut:

QUESTION 207
Your network contains an Active Directory domain named contoso.com. All domain controllers run Windows Server 2012 R2. The domain contains two organizational units (OUs) named OU1 and OU2 in the root of the domain. Two Group Policy objects (GPOs) named GPO1 and GPO2 are created. GPO1 is linked to OU1. GPO2 is linked to OU2. OU1 contains a client computer named Computer1. OU2 contains a user named User1.
You need to ensure that the GPOs applied to Computer1 are applied to User1 when User1 logs on. What should you configure?

A. WMI Filtering
B. Security Filtering
C. Group Policy loopback processing mode
D. Item-level targeting

Я неправильно перевожу????
"Вы должны убедиться, что GPOs применяемые к Computer1 также применяются к User1, когда User1 логинится."
То есть как блять, если политика компьютерная применяется к компьютерам, ее можно ограничивать группой юзеров???
я не понимаю ничего в этом вопросе.

@k1lg0reTr0ut:

заменил старый admx и adml файлик новыми.
изменений нет.
нужно подождать, чтобы реплицировалось? оно само появится или какие то действия нужны?
не могу найти мурзилку на данную тему

@k1lg0reTr0ut:

в политике логирования чего-то там, стоит путь до лога содержащий переменную %COMMONAPPDATA%.
у себя на компе не нашел такую переменную. думаю у других ее тоже нет.
ее нужно делать? или лучше свой путь указать?

@Dant:

Administrative Templates for Windows 8.1 Update and Windows Server 2012 R2 Update: microsoft.com

@4DA:

Что проще: запустить guitar pro 6 из-под вайна или поставить его нативную сборку на свежий дебиан?

@Dant:

Office 2013 Administrative Template files (ADMX/ADML) and Office Customization Tool: microsoft.com

@Dant:

Installing and Configuring Advanced Group Policy Management (AGPM):
fbinotto.blogspot.ru

@O01eg:

habrahabr.ru
Очередные генетические машинки. Написано на C++, есть удалить папку SDL и использовать make all вместо make, компилируется под линукс. Можно задавать строку, на основе которой будет строиться трасса и меряться, у кого длиннее пройденный путь.

@Dant:

Использовать GP Preferences для задания паролей локальным учетным записям — это так несекурно, так мерзко и стыдно... : ))) Фу так делать...

Retrieves the plaintext password and other information for accounts pushed through Group Policy Preferences:
github.com

@Dant:

Administrative Templates (.admx) for Windows 8 and Windows Server 2012:
microsoft.com

@Dant:

Group Policy Enforced and Block Inheritance: blogs.technet.com

Параметр Enforced в свойствах линка на групповую политику уровня домена "пробивает" Block Inheritance, заданный в свойствах нижестоящего OU, например...

technet.microsoft.com
adshotgyan.com

@O01eg:

habrahabr.ru
"Sympathy and Punishment: Evolution of Cooperation in Public Goods Game
jasss.soc.surrey.ac.uk
Это почему общество основанное на кооперации не выживает если состоит из классов производителей и воров
Но выживает если появляются менты, наказывающие воров и получающие за это мзду от кооператоров."

@Dant:

И еще раз про Group Policy Loopback Processing Mode:

Loopback processing of Group Policy: support.microsoft.com
Group Policy Loopback Processing: msmvps.com

Резюме: GP Loopback включается в компьютерной политике, после чего компьютер начинают обрабатывать и применять к пользователю на этом компьютере ВСЕ ПОЛЬЗОВАТЕЛЬСКИЕ политики, которые видит аккаунт компьютера по правилам применения к нему GPO.

В режиме Loopback Merge на пользователя действуют ВСЕ ПОЛЬЗОВТЕЛЬСКИЕ политики, которые применены и к аккаунту компьютера и к аккаунту пользователя (пользовательские настройки, примененные к компьютеру имеют приоритет в случае конфликта параметров).

В режиме Replace на пользователя действуют только пользовательские политики, которые применены к аккаунту КОМПЬЮТЕРА и не действуют пользовательские политики, которые применены к аккаунту ПОЛЬЗОВАТЕЛЯ.

Выдохнул... Короче, случайно включив Loopback на уровне домена, можно серьезно повредить психическое здоровье, раскуривая логику применения политик по gpresult : ))

@Dant:

Изменения в системе групповых политик Windows 8:

4sysops.com
4sysops.com
4sysops.com

@kamenev:

*Uniel *Jazzway
varta-consumer.com
gpbatteries.com
jazz-way.com
thrunite.com
uniel.ru
Тесты разных фонарей superfonarik.ru
Как выбрать фонарь bestfonarik.ru
Маленький gpbatteries.ru
Маленький и мощный led777.ru

Флейм kursk.dns-shop.ru
Люди там рекомендуют: JAZZWAY (A3-L1W-1AA, A5-L3WZ-3AAA), 4sevens (Quark Mini), Fenix LD10 (на Q3)

@Dant:

Group Policy Settings Reference for Windows and Windows Server: microsoft.com

@mefisteron:

Кто поднимал контроллер домена на linux должен быть в курсе того, что у samba ограниченная поддержка домена. Кто ещё не знает, вот решение вопроса групповых политик — unixforum.org

@Dant:

Giving Non Administrators permission to read Event Logs Windows 2003 and Windows 2008: blogs.technet.com

How to set event log security locally or by using Group Policy in Windows Server 2003: support.microsoft.com
Service discretionary access control lists: support.microsoft.com

@Dant:

Делегирование разрешений на ввод компьютеров в домен для неодминов:

1) Разрешения на объекты компьютеров: support.microsoft.com
2) Изменение лимита на ввод 10 компьютеров любым пользователем: support.microsoft.com blogs.technet.com
3) Групповая политика: Default Domain Controller Policy — > Computer Configuration -> Windows Settings -> Security Settings -> Local Policy ->User Rights Assignment -> Add workstation to domain

forums.techarena.in
forums.techarena.in

@Dant:

Православное применение режима Group Policy LoopBack Processing Mode:

1) Создается компьютерная политика Comp-Loopback-Replace/Merge-Enable-Policy — в компьютерной части включается loopback в нужном режиме (replace/merge) — пользовательская часть дизаблится.
2) Данная политика линкуется к юниту, где живут компьютеры, для которых необходимо переопределить пользовательские настройки.
3) Создается пользовательская политика User-Some-Policy и линкуется к этому-же юниту с компьютерами.

Получаем профит — при логоне на компьютеры в этом юните, к пользователям будут применяться дополнительные пользовательские политики, переопределяющие или дополняющие существующие политики уровня домена, например.

grouppolicy.editme.com

@Dant:

W2K8 *links
Administrative Templates (ADMX) for Windows Server 2008 R2 and Windows 7 — microsoft.com
Managing Group Policy ADMX Files Step-by-Step Guide — go.microsoft.com

@Dant:

За правку Default Domain Policy — казнить нельзя помиловать? : )

@Dant:

Задачку массовой настройки ISA/TMG Firewall Client в 21 веке через инишке (!) решают политики GP Preferences ( По мотивам #775259 ; ) Преференсез рулят и в целом и в частном. Зачотная тема...

Компутерные инишке:
%ALLUSERSPROFILE%\Application Data\Microsoft\Firewall Client 2004\common.ini
%ALLUSERSPROFILE%\Application Data\Microsoft\Firewall Client 2004\management.ini
Пользовательские инишке:

"%USERPROFILE%\Local Settings\Application Data\Microsoft\Firewall Client 2004"

@Dant:

Пример использования GP Preferences — массово настраиваем ключ реестра с указанием куда именно идти за дистрибутивом WinXP : )

amaksimov.wordpress.com

@Dant:

Fine-Grained Password Policy в 2008 домене:

blogs.technet.com
blogs.technet.com
go.microsoft.com

@Dant:

Несколько парольных политик в 2008 домене. Всегда удивляла простота и интуитивность этой настройки, да : )
tinyurl.com

@O01eg:
GP

Я не люблю флэш, но это шикарно: dagobah.biz

@Dant:

Вики по групповым политикам: grouppolicy.editme.com
Особенно полезно разжевывание Loopback Processing Mode: grouppolicy.editme.com