Dant
AD GP links После обновления KB3159398 от 14 июня все пользовательские политики с Security Filtering по группе пользователей пайдут паписде. Кардинальненько так, чоужтам... Чо делать — хбз. Для начала — не разворачивать это обновление в глобальном продакшене.

grouppolicy.biz
blogs.technet.microsoft.com
sdmsoftware.com

goo.gl
technet.microsoft.com
k1lg0reTr0ut
GP Microsoft есть одна политика в ад. и есть другая.
обе политики настривают расширенный аудит.
первая политика прилинкована к домен, вторая к оушке и применяется после первой соответственно.
вот эта политика номер один будет полностью перекрываться второй или мержиться?
k1lg0reTr0ut
GP Windows PKI а подскажите плиз, есть такой контейнер в винде: Trusted Root Certification Authorities.
Еще есть Intermediate.
Консоль "Сертификаты" в винде можно открыть от имени юзера и имени компьютера.
Вопрос: для юзера и компьютера эти контейнеры одинаковы?
Исходя из ответа на первый вопрос, еще один вопрос, если они разные, то сертификаты, которые раздаются через GP куда ложаться? в юзерские или компьютерные?
А если я распространяю сертификат, а он уже у меня есть, то он задваивается. Это нормально?
А если я хочу через политики распространить корневой сертификт только для пользователя?
k1lg0reTr0ut
GP Windows в какой именно GPO настраивать политики аудита? только в дефолтных политиках, или работает во всех?
если говорить об адвансед аудите, и параметре "Audit: Force audit policy subcategory settings (Windows Vista or later) to override audit policy category settings",
то этот параметр работает только в случае конкретной политики? или он глобально переписывает политики аудита с обычного на адвансед на уровне домена?
и второе, для проверки настройки адвансед аудита можно запускать auditpol /get. а как проверить настройки базового аудита? есть такое?
k1lg0reTr0ut
GP Microsoft Windows я тут недавно спрашивал про вопрос домпа, где подходящим ответом был loopback processing.
а как вам такой вопрос?
QUESTION 198
Your network contains an Active Directory domain named contoso.com. All domain controllers run Windows Server 2012 R2.
The domain contains two organizational units (OUs) named OU1 and OU2 in the root of the domain.
Two Group Policy objects (GPOs) named GPO1 and GPO2 are created. GPO1 is linked to OU1. GPO2 is linked to OU2.
OU1 contains a client computer named Computer1. OU2 contains a user named User1.
You need to ensure that the GPOs applied to Computer1 are applied to User1 when User1 logs on. What should you configure?

A. The GPO Status
B. GPO links
C. The Enforced setting
D. Security Filtering

условия задачи такие же, ответа лупбэка нет.
дамп кривой??
k1lg0reTr0ut
GP Windows а вообще судя по дампам, вопросы очень странные.
например, связанные с переносом бэкапа политик на флешке.
нужно выбрать последовательность, бэкап политики одного домена, перенос ее на флешке в другой, создание новой политики в другом домене, монтирование флешки и импорт с флешки этого бэкапа.
вот блять, я засунуть флешку могу и до создания новой политики, и после.
и ничего не поменяется.
как блять так я должен угадывать, когда засовывать флешку????????
k1lg0reTr0ut
GP Windows QUESTION 207
Your network contains an Active Directory domain named contoso.com. All domain controllers run Windows Server 2012 R2. The domain contains two organizational units (OUs) named OU1 and OU2 in the root of the domain. Two Group Policy objects (GPOs) named GPO1 and GPO2 are created. GPO1 is linked to OU1. GPO2 is linked to OU2. OU1 contains a client computer named Computer1. OU2 contains a user named User1.
You need to ensure that the GPOs applied to Computer1 are applied to User1 when User1 logs on. What should you configure?

A. WMI Filtering
B. Security Filtering
C. Group Policy loopback processing mode
D. Item-level targeting

Я неправильно перевожу????
"Вы должны убедиться, что GPOs применяемые к Computer1 также применяются к User1, когда User1 логинится."
То есть как блять, если политика компьютерная применяется к компьютерам, ее можно ограничивать группой юзеров???
я не понимаю ничего в этом вопросе.
k1lg0reTr0ut
GP Windows заменил старый admx и adml файлик новыми.
изменений нет.
нужно подождать, чтобы реплицировалось? оно само появится или какие то действия нужны?
не могу найти мурзилку на данную тему
k1lg0reTr0ut
GP Windows в политике логирования чего-то там, стоит путь до лога содержащий переменную %COMMONAPPDATA%.
у себя на компе не нашел такую переменную. думаю у других ее тоже нет.
ее нужно делать? или лучше свой путь указать?
O01eg
GP opensource habrahabr.ru
Очередные генетические машинки. Написано на C++, есть удалить папку SDL и использовать make all вместо make, компилируется под линукс. Можно задавать строку, на основе которой будет строиться трасса и меряться, у кого длиннее пройденный путь.
Dant
AD GitHub GP PWS security Использовать GP Preferences для задания паролей локальным учетным записям — это так несекурно, так мерзко и стыдно... : ))) Фу так делать...

Retrieves the plaintext password and other information for accounts pushed through Group Policy Preferences:
github.com
O01eg
GP прекрасное habrahabr.ru
"Sympathy and Punishment: Evolution of Cooperation in Public Goods Game
jasss.soc.surrey.ac.uk
Это почему общество основанное на кооперации не выживает если состоит из классов производителей и воров
Но выживает если появляются менты, наказывающие воров и получающие за это мзду от кооператоров."
Dant
AD GP Windows links И еще раз про Group Policy Loopback Processing Mode:

Loopback processing of Group Policy: support.microsoft.com
Group Policy Loopback Processing: msmvps.com

Резюме: GP Loopback включается в компьютерной политике, после чего компьютер начинают обрабатывать и применять к пользователю на этом компьютере ВСЕ ПОЛЬЗОВАТЕЛЬСКИЕ политики, которые видит аккаунт компьютера по правилам применения к нему GPO.

В режиме Loopback Merge на пользователя действуют ВСЕ ПОЛЬЗОВТЕЛЬСКИЕ политики, которые применены и к аккаунту компьютера и к аккаунту пользователя (пользовательские настройки, примененные к компьютеру имеют приоритет в случае конфликта параметров).

В режиме Replace на пользователя действуют только пользовательские политики, которые применены к аккаунту КОМПЬЮТЕРА и не действуют пользовательские политики, которые применены к аккаунту ПОЛЬЗОВАТЕЛЯ.

Выдохнул... Короче, случайно включив Loopback на уровне домена, можно серьезно повредить психическое здоровье, раскуривая логику применения политик по gpresult : ))
kamenev
Thrunite GP фонарь светодиод varta *Uniel *Jazzway
varta-consumer.com
gpbatteries.com
jazz-way.com
thrunite.com
uniel.ru
Тесты разных фонарей superfonarik.ru
Как выбрать фонарь bestfonarik.ru
Маленький gpbatteries.ru
Маленький и мощный led777.ru

Флейм kursk.dns-shop.ru
Люди там рекомендуют: JAZZWAY (A3-L1W-1AA, A5-L3WZ-3AAA), 4sevens (Quark Mini), Fenix LD10 (на Q3)
mefisteron
Samba Linux ldap GP Кто поднимал контроллер домена на linux должен быть в курсе того, что у samba ограниченная поддержка домена. Кто ещё не знает, вот решение вопроса групповых политик — unixforum.org
Dant
AD GP Windows links Делегирование разрешений на ввод компьютеров в домен для неодминов:

1) Разрешения на объекты компьютеров: support.microsoft.com
2) Изменение лимита на ввод 10 компьютеров любым пользователем: support.microsoft.com blogs.technet.com
3) Групповая политика: Default Domain Controller Policy — > Computer Configuration -> Windows Settings -> Security Settings -> Local Policy ->User Rights Assignment -> Add workstation to domain

forums.techarena.in
forums.techarena.in
Dant
AD GP Windows links Православное применение режима Group Policy LoopBack Processing Mode:

1) Создается компьютерная политика Comp-Loopback-Replace/Merge-Enable-Policy — в компьютерной части включается loopback в нужном режиме (replace/merge) — пользовательская часть дизаблится.
2) Данная политика линкуется к юниту, где живут компьютеры, для которых необходимо переопределить пользовательские настройки.
3) Создается пользовательская политика User-Some-Policy и линкуется к этому-же юниту с компьютерами.

Получаем профит — при логоне на компьютеры в этом юните, к пользователям будут применяться дополнительные пользовательские политики, переопределяющие или дополняющие существующие политики уровня домена, например.

grouppolicy.editme.com
Dant
ISA GP Windows Задачку массовой настройки ISA/TMG Firewall Client в 21 веке через инишке (!) решают политики GP Preferences ( По мотивам #775259 ; ) Преференсез рулят и в целом и в частном. Зачотная тема...

Компутерные инишке:
%ALLUSERSPROFILE%\Application Data\Microsoft\Firewall Client 2004\common.ini

%ALLUSERSPROFILE%\Application Data\Microsoft\Firewall Client 2004\management.ini

Пользовательские инишке:

"%USERPROFILE%\Local Settings\Application Data\Microsoft\Firewall Client 2004"