Windows server 2003 настроить профили юзеров

1. maza111 28.11.12 18:34 Сейчас в теме
Есть задача создать 50 юзеров с одинаковыми настройками. Сервре терминалов. В реестре скрыть некоторые диски из проводника, запретить установку принтеров, отключить диспетчер задач. Все это можно сделать если дать одному юзеру админские права. настроить, а потом забрать админские права. Делать это для 50 пользователей как-то времязатратно. Попробовал создать эталонного юзера с настроенным профилем и его папку профиля копировать на других пользователей, настройки реестра при этом не переносятся, то есть, все что я настраивал. сбивается. Пробовал копирование профиля средсвами Windows, результат тот же. Как быть?
Ответы
Подписаться на ответы Инфостарт бот Сортировка: Древо развёрнутое
Свернуть все
2. Guyer 21 29.11.12 09:22 Сейчас в теме
(1) maza111, А групповые политики?
Если нет домена можно также разделить групповые политики по пользователям, например создаете группу NoGPO и добавляете туда Админа, и делаете запрет.
1) Создайте Группу пользователей, для которой не должны применяться настройки групповой политики, и добавьте туда требуемые учетные записи
2) Установите политики для Локальной Групповой Политики – Конфигурации Пользователя.
3) Откройте %SystemRoot%System32GroupPolicy и зайдите в свойства папки
4) Перейдите на вкладку Безопасность -> Дополнительно -> Разрешения
5) Далее нажмите «Добавить» и
выберите или добавьте группу, которую вы хотите исключить из распространения раздела Конфигурация пользователя Локальной Групповой политики.
6) Далее жмем «Изменить» и выставляем права:

Запрещаем:
Обзор/Выполнение
Содержание папки/Чтение данных
Чтение атрибутов

Разрешаем:
Чтение разрешений
Смену разрешений
Данная настройка, позволяет в дальнейшем свободно изменять права, не беря объект во владение. Жмем «ОК».
7) Далее требуется установить галочку напротив: «Заменить разрешения для всех объектов заданными здесь разрешениями, применимыми к объектам» Жмем «ОК».
8) Выскочит два предупреждения, на которых жмем «Да»
9) Далее убеждаемся, что права установлены правильно и работают. В качестве проверки, мы можем зайти во вкладку безопасность и там корректно отображаются права пользователей, но при этом через проводник не получаем доступ к файлам.
Права настроены, если всё было сделано правильно, то политики не будут применяться пользователю или пользователям группы Restricted.
Параметры раздела Конфигурация Пользователя вступают в силу со следующей регистрации пользователя в системе, а параметры раздела Конфигурация Компьютера вступают в силу после перезагрузки системы.
Либо возможно их немедленное применение через команду gpupdate командной строки.
dedtver; maza111; +2 Ответить
3. maza111 29.11.12 11:09 Сейчас в теме
(2) Guyer,
Windows Server 2003, рабочая группа. Те настройки которые я делаю их в групповых политиках нет, например я так и не понял как политиками запретить установку сетевого принтера и скрыть из проводника логические диски. Зато в реестре это все можно сделать.
4. Guyer 21 29.11.12 11:28 Сейчас в теме
(3) maza111, Нет это всё есть в групповых политиках.
1. Запрет отображение следующих дисков в проводнике...
2. Запрет доступа к след. дискам...
3. Запрет перенаправление принтеров и т.д.
А так чтобы они действовали только на юзеров... Действовать как я описал выше.
20. пользователь 15.04.13 00:48
Сообщение было скрыто модератором.
...
5. maza111 29.11.12 13:00 Сейчас в теме
(2) Guyer,
делаю следующее, в группах создал NoGPO и добавил туда админа.
иду в gpedit.msc выбрал запретить диспетчер, запретить принтеры и скрыть диски из проводника
для GroupPolicy выставил для группы NoGPO настройки как вы указали на заперт и на доступ
Захожу в терминалку под обычным юзером и вижу все диски в проводнике и Диспетчер задач, то есть ничего не применилось для пользователей
6. Guyer 21 29.11.12 13:26 Сейчас в теме
Помимо скрыть диски нужно еще запретить доступ к дискам.
Там 2 настройки на это дело.
А если юзеру нужна папку то можно в профиле пользователя подключать к нему сетевой диск из пользовательской папки и выбрать определенную букву.
7. maza111 29.11.12 13:42 Сейчас в теме
(6) Guyer,
в реестре когда скрываеш диск, то он просто скрывается из проводника. то есть при желании зайти на него можно по C:\ (это такой метод от дурака) запрещать полностью не надо. В любом случае через политики, настройки не применились.
8. Guyer 21 29.11.12 14:34 Сейчас в теме
gpupdate /force выполните.
политики применяются когда пользователь вновь заходит, на лету не применяются. в реестре ничего править не надо
9. maza111 29.11.12 14:48 Сейчас в теме
(8) Guyer,
применило к админу, у меня из консольного сеанса пропали диски и отключен диспетчер, при входе пользователем в терминалку у него этих ограничений нет.
10. maza111 29.11.12 15:57 Сейчас в теме
оба, перезагрузил комп, теперь из админа в gpedit не пускает, говорит "У вас нет разрешений на выполнение этой операции" при этом, настройки не применились ни у админа ни у терминальных юзеров
11. maza111 29.11.12 15:57 Сейчас в теме
изначально, я год назад так и пытался ограничить юзеров, но из-за того что оно это все применяло и к админу, я от этого отказался ,и делал это через реестр.
12. maza111 29.11.12 18:47 Сейчас в теме
прошу прощения ,сейчас создал нового юзера и в нем все настройки которые выставлял в политиках применены. Хотя у действующего юзера настройки не применились, только новому применились.

Очень очень круто, теперь можно права пообрезать права так что юзер ничего не сможет плохого сделать. Для изменний политик я даю какому то юзеру (не включенным в группу noGPO) права админа и натсраиваю как надо, при этом сразу вижу результат. Потом забираю админсике права и все. Просто из под админа настраивать не дает, т.к. он в группе NoGPO и ему запрещено читать групповые политики.
13. maza111 07.12.12 11:27 Сейчас в теме
Задам тот же самый вопрос но уже касающийся Windows Server 2008 R2 ,на нем развернул терминалку, нужно всех пользователей ограничить по правам, скрыть диски в проводнике и прочее.
14. maza111 11.12.12 14:07 Сейчас в теме
попробовал для 2008 рецепт из второго сообщения, обрезал права так что с трудом вернул все на место .т.к. не мог зайти даже в проводник и панель управления, там две папки GroupPolicy и GroupPolicyUser выставлял группу NoGPO с заданными запретами и разрешениями, все равно на локального админа включенного в эту группу распространялись ограничения.
15. maza111 26.12.12 13:19 Сейчас в теме
как быть на server 2003 x64. там нет папки GroupPolicy ?
16. maza111 27.12.12 12:16 Сейчас в теме
ой, я прошу прощения. Но смотря проводником эта папка есть, а из TotalCommander с ее не видно (опция показывать скрытые и системные файлы стоит)

в первый раз столкнулся что Total не видит какой-то папки.
17. asved.ru 37 27.12.12 12:45 Сейчас в теме
Вы все извращенцы. GPO без AD сильно ограничено функционалом.

Создаем профиль, настраиваем его, как хотим и СТАНДАРТНЫМИ СРЕДСТВАМИ (система - профили пользователей) копируем на Default user. При этом указываем "Разрешить использование" аутентифицированным пользователям.

А не получилось у вас ничего с копированием профиля потому, что вы не знаете, что ACL существуют не только на объекты файловой системы, но и на объекты реестра.
18. vithak 27.12.12 13:18 Сейчас в теме
(17) asved.ru, обязательно надо в ветке реестра этого пользователя права дать. иначе не заработает.
19. asved.ru 37 27.12.12 15:30 Сейчас в теме
(18) vithak,
указываем "Разрешить использование" аутентифицированным пользователям

именно таким образом и работает.
Оставьте свое сообщение

Для получения уведомлений об ответах подключите телеграм бот:
Инфостарт бот