|
1 2 |
gpresult /z - показывает все групповые политики gpresult /h 1.html - показать результат применении групповая политик |
Рубрика: AD \ GPO
|
1 2 |
gpedit.msc -> Конфигурация компьютера -> Конфигурация Windows -> Параметры безопасности -> Политики ограниченного использования программ gpedit.msc -> Конфигурация компьютера -> Конфигурация Windows -> Параметры безопасности -> Назначенные типы файлов |
|
1 2 3 4 5 |
Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] “DisallowRun”=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun] “1″=”программа.exe” “2″=”другая_программа.exe” |
|
1 2 3 |
Пользовательские настройки -> Административные шаблоны -> Система Чтобы ограничить определенные программы, выберите команду "Запускать только указанные программы Windows". Чтобы заблокировать определенные программы, выберите команду "Не запускать указанные программы Windows". |
|
1 2 3 4 5 6 |
необходимо удалить файлы Registry.pol в каталоге GroupPolicy. Сделать это можно следующими командами, запущенными в командной строке с правами администратора: RD /S /Q "%WinDir%\System32\GroupPolicyUsers" RD /S /Q "%WinDir%\System32\GroupPolicy" gpupdate /force |
|
1 2 3 4 5 6 7 8 9 10 11 |
Локальные политик безопасности (local security policies) настраиваются с помощью отдельной консоли управления secpol.msc. Если проблемы с компьютером вызваны «закручиванием гаек» в локальных политик безопасности, и если у пользователя остался доступ к системе и административные права, сначала стоит попробовать сбросить параметры безопасности системы к значениям по умолчанию. Для этого в командной строке с правами администратора выполните: Для Windows XP: secedit /configure /cfg %windir%\repair\secsetup.inf /db secsetup.sdb /verbose Для Windows 8, Windows 7 и Vista: secedit /configure /cfg %windir%\inf\defltbase.inf /db defltbase.sdb /verbose |
|
1 |
repadmin /showrepl - проверка репликации домена |
Формат командной строки:
|
1 2 3 4 5 6 7 8 |
CMDKEY [{/add | /generic}:targetname {/smartcard | /user:username {/pass{:password}}} | /delete{:targetname | /ras} | /list{:targetname}] targetname - определяет компьютер или домен, с который эта учетная запись будет связана. /generic:targetName - общие учетные данные. /smartcard - определяет режим получения удостоверения с использованием смарт-карты /user:username - имя пользователя. /pass:password - пароль для учетной записи. /delete:targetname |/ras - удаление учетной записи, /ras используется для того, что бы удалить учетные данные сервера удаленного доступа RAS. /list:targetname - отобразить список учетных записей. |
Использование:
|
1 2 3 4 5 6 7 8 9 10 |
cmdkey /? - отобразить краткую справку по использованию команды cmdkey /list - отобразить список всех учетных записей, запомненных на данном компьютере cmdkey /list:interactive - отобразить список учетных записей для интерактивного входа cmdkey /generic:interactive /user:user1 /pass:password1 - создать общую учетную запись для интерактивного входа пользователя user1 с паролем password1 cmdkey /add:SRV10 /user:user /pass:passwd - создать учетную запись для подключения к компьютеру SRV10 пользователя user с паролем passwd cmdkey /add:SRV10 /user:user - создать учетную запись для подключения к компьютеру SRV10 пользователя user с запросом пароля Чтобы создать общие учетные данные, переключатель /add может быть заменен на /generic cmdkey /delete:SRV10 - удалить учетные записи для подключения к компьютеру SRV10 |
|
1 |
"%systemroot%\system32\rundll32.exe" keymgr.dll,KRShowKeyMgr |
Источник:
|
1 |
https://sysadmin.ru/articles/kak-najti-dubliruyushhiesya-sid-v-domene-active-directory |
Решение:
|
1 2 3 4 5 6 7 |
0. Ntdsutil - запускаем программу на DC 1. В ней выполняем: security account management - нажимаем Enter connect to server ИМЯ_СЕРВЕРА_КОНТРОЛЛЕРА_ДОМЕНА - вновь нажимаем Enter. check duplicate sid - в очередной раз нажимаем Enter. 2. После этого в текстовом окне программы выведутся дублирующиеся SID'ы, а так же все будет записано в логфайл dupsid.log, который по умолчанию запишется в директорию C:\Windows\system32. |
ссылки:
|
1 2 |
http://winitpro.ru/index.php/2013/07/22/sbros-parolya-administratora-active-directory/ https://windowsnotes.ru/windows-server-2008/kak-sbrosit-parol-administratora-domena/ |
Решение:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 |
0. Загружаемся с любого liveCD и смотрим где у нас каталог windows нашей системы. 1. Переименовываем файл utilman.exe в utilman.exe.bak move D:\windows\system32\utilman.exe D:\windows\system32\utilman.exe.bak 2. Копируем файл cmd.exe в utilman.exe copy D:\windows\system32\cmd.exe D:\windows\system32\utilman.exe 3. Загружаем Windows и дожидаемся окна приветствия. В окне кликаем мышкой на значке специальных возможностей или нажимаем Win+U. Открывается командная строка cmd.exe. 4. Задаем пароль для админа net user administrator Password!123 - Задать пароль для eng Windows net user Администратор Password!123 - Задать пароль для ru Windows mmc - можно вызвать оснастку 5. После успешной смены пароля не забываем вернуть utilman.exe на место. |
Источник:
|
1 |
https://windowsnotes.ru/windows-server-2008/dobavlyaem-domennyx-polzovatelej-v-lokalnuyu-gruppu-bezopasnosti/ |
Группы с ограниченным доступом, или Restricted Groups
|
1 2 3 4 5 6 |
0. Создаем группу в домене например с именем HelpDesk и добавляем в нее пользователей которым нужны будут права локального админа 1. Создаем групповою политику 2. Настраиваем Конфигурация компьютера\Политики\Параметры безопасности (Computer configuration\Policies\Security Settings) Сначала добавляем в Restricted Groups доменную группу HelpDesk, а уже ее в группу Администраторы 3. Прикрепляем к нужной OU |
|
1 |
Active Directory - пользователи и компьютеры->Меню Вид->Дополнительные компоненты и потом появятся дополнительные вкладки. |
|
1 2 3 4 5 6 7 8 9 10 |
gpupdate - применить политики gpupdate /force - применить политики немедленно gpupdate /force /boot - применить политики немедленно с перезагрузкой пк В автоматическом режиме изменения вступают в силу в течение 2 часов. Путь к скриптам на контроллере домена: %SystemRoot%\sysvol\sysvol\domain DNS name\scripts gpresult /h zxc.html - узнать о примененных политиках на клиенте |
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 |
Изменить ассоциацию файлов в Windows можно несколькими способами. Настроить приложение, с помощью которого будут открываться те или иные типы файлов можно из графического интерфейса пользователя, однако эта настройка будет применяться только для того пользователя, в профиле которого будет произведена данная настройка. Изменить приложение по-умолчанию для определенного типа файлов можно с помощью редактирования реестра. Такая методика достаточно неудобна, даже если распространять изменения на клиентов с помощью возможности управления системным реестром в Group Policy Preferences. К счастью управлять меню «Открыть с помощью» (Open With), с помощью которого, собственно, и можно настроить ассоциированное приложение для различных типов файлов, можно с помощью специальной настройки Group Policy Preferences. В данном примере, я покажу, как с помощью Group Policy Preferences можно изменить ассоциацию для файлов типа .TXT со стандартного Notepad на WordPad. Откройте консоль управления групповой политикой, которая прилинкована к контейнеру AD, в котором должны быть применены данные изменения. Перейдите в раздел групповой политики User Configuration > Preferences > Control Panel Settings, щелкните правой кнопкой мыши по элементу Folder Options и выберите меню New > Open With Укажите расширение файла, и выберите путь к программе, которая должна открывать файлы данного типа. Опционально можно отметить галочку “Set as default” (Установить приложение в качестве обработчика по-умолчанию) и нажмите “OK” Примечание: Учтите, что путь к программе может отличаться в зависимости от архитектуры системы (x86 или x64), поэтому предпочтительнее использовать переменную %ProgramFilesDir%. Вот и все. После применения данной политики к целевым компьютерам, при попытке открытия файла, он будет открываться с помощью указанного вами в политике приложения. |
Отключаем глобально через групповую политику.
|
1 2 3 4 5 6 7 8 |
Меню Пуск > Выполнить или жмем WinKey + R затем набираем gpedit.msc и ОК Далее Локальные политики (Local Computer Policy) > Конфигурация компьютера (Computer Configuration) > Административные шаблоны (Administrative Templates) > Компоненты Windows (Windows Components) > Отчеты об ошибках Windows (Windows Error Reporting) выбираем Отключить отчеты об ошибках Windows (Disable Windows Error Reporting) двойной клик и в открывшемся окне активируем Enable (Включить), затем ОК. Напоследок удаляем содержимое каталогов: C:\ProgramData\Microsoft\Windows\WER\ReportArchive\ C:\ProgramData\Microsoft\Windows\WER\ReportQueue\ |
Proxy server ……
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 |
------------------------------------------ User configuration –> Policies –> Windows Settings –> Internet Explorer Maintenance В консоли редактора GPO (Group Policy Management Console) откроем раздел User Configuration -> Preferences -> Control Panel Settings -> Internet Settings. В контекстном меню выберем New -> и выберем версию IE, настройки которой будут определяться в политике. ----------------------------------------- Важно. Не достаточно просто сохранить внесенные изменения в редакторе политики. Обратите внимание на красные и зеленые подчеркивания у настраиваемых параметров IE. Красное подчеркивание говорит о том, что эта настройка не подтверждена и применяться не будет. Чтобы ее принять, нажмите F5. Зеленое подчеркивание у параметра означает, что этот параметр будет применяться через GPP. Доступные функциональные клавиши F5 – Включить все настройки на текущей вкладке F6 – Включить выбранный параметр F7 – Отключить выбранный параметр F8 – Отключить все настройки на текущей вкладке ---------------------------------------- |
Источник:
|
1 |
http://winitpro.ru/index.php/2015/02/25/nastrojka-internet-explorer-s-pomoshhyu-gruppovyx-politik-v-windows-2012/ |
вариант 1
|
1 2 3 4 5 6 7 8 9 |
У клиента настраивается: 1) Панель управления\Все элементы панели управления -> Почта -> Учетные записи -> Адресная книга -> Создать -> Служба каталогов интернета -> 2) Имя сервера: dc.corp.vtor-plast.ru 3) Поставить галку "Требуется вход в систему" 4) Вести учетные данные Логин: corp\Имя пользователя Пароль: пароль_пользователя 5) открываем вкладку "Другие настройки" -> Поиск 6) ставим галку "Включить просмотр (требуется серверная поддержка) |
вариант 2
|
1 2 3 4 5 6 7 8 9 10 11 12 |
У клиента настраивается: 1) Панель управления\Все элементы панели управления -> Почта -> Учетные записи -> Адресная книга -> Создать -> Служба каталогов интернета -> 2) Имя сервера: dc.corp.vtor-plast.ru 3) Поставить галку "Требуется вход в систему" 4) Учетные данные не вводить 5) Поставить галку "Требуется безопасная проверка пароля(SPA)" 6) открываем вкладку "Другие настройки" -> Поиск 7) выбираем "Другая" и вводим одну из строк с вашими параметрами. dc=name, dc=local dc=corp, dc=vtor-plast, dc=ru ou=contact, dc=name, dc=local 8) ставим галку "Включить просмотр (требуется серверная поддержка) |
Источники:
|
1 2 |
http://winitpro.ru/index.php/2012/01/13/filtraciya-gruppovyx-politik-s-pomoshhyu-wmi-filtrov/ https://msdn.microsoft.com/en-us/library/windows/desktop/ms724832(v=vs.85).aspx |
Доступные значения для Version like «??»:
|
1 2 3 4 5 6 7 8 9 |
Windows 10 — 10.0* Windows Server 2016 — 10.0* Windows Server 2012 R2 и Windows 8.1 — 6.3% Windows Server 2012 и Windows 8 — 6.2% Windows Server 2008 R2 и Windows 7 — 6.1% Windows Server 2008 и Windows Vista — 6.0% Windows Server 2003 — 5.2% Windows XP — 5.1% Windows 2000 — 5.0% |
Значения ProductType:
|
1 2 3 4 5 6 7 8 9 10 |
--------------------- Клиент: ProductType=1 --------------------- Контроллер домена: ProductType=2 --------------------- Сервер: ProductType=3 --------------------- |
Выбрать все сервера на Windows Server 2008 R2:
|
1 |
select * from Win32_OperatingSystem where Version like “6.1%” and (ProductType = “2″ or ProductType = “3″) |
Выбрать все клиенты на Windows Server 8:
|
1 |
select * from Win32_OperatingSystem where Version LIKE "6.2%" and ProductType = "1" |
Выбрать все клиенты на Windows Server 7:
|
1 |
select * from Win32_OperatingSystem where Version LIKE "6.1%" and ProductType = "1" |
Выбрать все ProductType=1 (клиенты)
|
1 |
select * from Win32_OperatingSystem where ProductType ="1" |
Выбрать все машины, на которых установлен Internet Explorer 8:
|
1 |
SELECT path,filename,extension,version FROM CIM_DataFile WHERE path="\\Program Files\\Internet Explorer\\" AND filename="iexplore" AND extension="exe" AND version>"8.0" |
Выбрать 32 битные ОС:
|
1 |
Select * from Win32_Processor where AddressWidth = "32" |
Выбрать 64 битные ОС:
|
1 |
Select * from Win32_Processor where AddressWidth = "64" |
Компьютеры, с количество оперативной памяти на которых больше 1 Гб
|
1 |
Select * from WIN32_ComputerSystem where TotalPhysicalMemory >= 1073741824 |
Не удается найти gpedit.msc в Windows 10. Скрипт и описание его работы:
|
1 2 3 4 5 6 7 8 9 10 |
0) создаем батник 1) В него записываем (!!!! отредактируй): @echo off dir /b C:\Windows\servicing\Packages\Microsoft-Windows-GroupPolicy-ClientExtensions-Package~3*.mum >find-gpedit.txt - создается файл find-gpedit.txt и в него записываются имена файлов Microsoft-Windows-GroupPolicy-ClientExtensio* dir /b C:\Windows\servicing\Packages\Microsoft-Windows-GroupPolicy-ClientTools-Package~3*.mum >>find-gpedit.txt - в конец файл find-gpedit.txt дописываются еще имена echo install gpedit.msc - выводим в консоль надпись install gpedit.msc for /f %%i in ('findstr /i . find-gpedit.txt 2^>nul') do dism /online /norestart /add-package:"C:\Windows\servicing\Packages\%%i" - собственно производим установку их файла find-gpedit.txt echo Gpedit installed - выводим в консоль надпись Gpedit installed. pause - Чего то ждем (например если были ошибки мы их там увидим) 2) выполняем от админа |
Скрипт:
|
1 2 3 4 5 6 7 |
@echo off dir /b C:\Windows\servicing\Packages\Microsoft-Windows-GroupPolicy-ClientExtensions-Package~3*.mum >find-gpedit.txt dir /b C:\Windows\servicing\Packages\Microsoft-Windows-GroupPolicy-ClientTools-Package~3*.mum >>find-gpedit.txt echo install gpedit.msc for /f %%i in ('findstr /i . find-gpedit.txt 2^>nul') do dism /online /norestart /add-package:"C:\Windows\servicing\Packages\%%i" echo Gpedit installed pause |
cmd
|
1 2 3 4 5 6 7 |
NET USERS /DOMAIN > USERS.TXT NET ACCOUNTS /DOMAIN > ACCOUNTS.TXT NET CONFIG SERVER > SERVER.TXT NET CONFIG WORKSTATION > WKST.TXT NET GROUP /DOMAIN > DGRP.TXT NET LOCALGROUP > LGRP.TXT NET VIEW /DOMAIN:DOMAINNAME > VIEW.TXT |