Windows server 2003 настроить профили юзеров
Есть задача создать 50 юзеров с одинаковыми настройками. Сервре терминалов. В реестре скрыть некоторые диски из проводника, запретить установку принтеров, отключить диспетчер задач. Все это можно сделать если дать одному юзеру админские права. настроить, а потом забрать админские права. Делать это для 50 пользователей как-то времязатратно. Попробовал создать эталонного юзера с настроенным профилем и его папку профиля копировать на других пользователей, настройки реестра при этом не переносятся, то есть, все что я настраивал. сбивается. Пробовал копирование профиля средсвами Windows, результат тот же. Как быть?
Ответы
Подписаться на ответы
Инфостарт бот
Сортировка:
Древо развёрнутое
Свернуть все
(1) maza111, А групповые политики?
Если нет домена можно также разделить групповые политики по пользователям, например создаете группу NoGPO и добавляете туда Админа, и делаете запрет.
1) Создайте Группу пользователей, для которой не должны применяться настройки групповой политики, и добавьте туда требуемые учетные записи
2) Установите политики для Локальной Групповой Политики – Конфигурации Пользователя.
3) Откройте %SystemRoot%System32GroupPolicy и зайдите в свойства папки
4) Перейдите на вкладку Безопасность -> Дополнительно -> Разрешения
5) Далее нажмите «Добавить» и
выберите или добавьте группу, которую вы хотите исключить из распространения раздела Конфигурация пользователя Локальной Групповой политики.
6) Далее жмем «Изменить» и выставляем права:
Запрещаем:
Обзор/Выполнение
Содержание папки/Чтение данных
Чтение атрибутов
Разрешаем:
Чтение разрешений
Смену разрешений
Данная настройка, позволяет в дальнейшем свободно изменять права, не беря объект во владение. Жмем «ОК».
7) Далее требуется установить галочку напротив: «Заменить разрешения для всех объектов заданными здесь разрешениями, применимыми к объектам» Жмем «ОК».
8) Выскочит два предупреждения, на которых жмем «Да»
9) Далее убеждаемся, что права установлены правильно и работают. В качестве проверки, мы можем зайти во вкладку безопасность и там корректно отображаются права пользователей, но при этом через проводник не получаем доступ к файлам.
Права настроены, если всё было сделано правильно, то политики не будут применяться пользователю или пользователям группы Restricted.
Параметры раздела Конфигурация Пользователя вступают в силу со следующей регистрации пользователя в системе, а параметры раздела Конфигурация Компьютера вступают в силу после перезагрузки системы.
Либо возможно их немедленное применение через команду gpupdate командной строки.
Если нет домена можно также разделить групповые политики по пользователям, например создаете группу NoGPO и добавляете туда Админа, и делаете запрет.
1) Создайте Группу пользователей, для которой не должны применяться настройки групповой политики, и добавьте туда требуемые учетные записи
2) Установите политики для Локальной Групповой Политики – Конфигурации Пользователя.
3) Откройте %SystemRoot%System32GroupPolicy и зайдите в свойства папки
4) Перейдите на вкладку Безопасность -> Дополнительно -> Разрешения
5) Далее нажмите «Добавить» и
выберите или добавьте группу, которую вы хотите исключить из распространения раздела Конфигурация пользователя Локальной Групповой политики.
6) Далее жмем «Изменить» и выставляем права:
Запрещаем:
Обзор/Выполнение
Содержание папки/Чтение данных
Чтение атрибутов
Разрешаем:
Чтение разрешений
Смену разрешений
Данная настройка, позволяет в дальнейшем свободно изменять права, не беря объект во владение. Жмем «ОК».
7) Далее требуется установить галочку напротив: «Заменить разрешения для всех объектов заданными здесь разрешениями, применимыми к объектам» Жмем «ОК».
8) Выскочит два предупреждения, на которых жмем «Да»
9) Далее убеждаемся, что права установлены правильно и работают. В качестве проверки, мы можем зайти во вкладку безопасность и там корректно отображаются права пользователей, но при этом через проводник не получаем доступ к файлам.
Права настроены, если всё было сделано правильно, то политики не будут применяться пользователю или пользователям группы Restricted.
Параметры раздела Конфигурация Пользователя вступают в силу со следующей регистрации пользователя в системе, а параметры раздела Конфигурация Компьютера вступают в силу после перезагрузки системы.
Либо возможно их немедленное применение через команду gpupdate командной строки.
(2) Guyer,
Windows Server 2003, рабочая группа. Те настройки которые я делаю их в групповых политиках нет, например я так и не понял как политиками запретить установку сетевого принтера и скрыть из проводника логические диски. Зато в реестре это все можно сделать.
Windows Server 2003, рабочая группа. Те настройки которые я делаю их в групповых политиках нет, например я так и не понял как политиками запретить установку сетевого принтера и скрыть из проводника логические диски. Зато в реестре это все можно сделать.
(3) maza111, Нет это всё есть в групповых политиках.
1. Запрет отображение следующих дисков в проводнике...
2. Запрет доступа к след. дискам...
3. Запрет перенаправление принтеров и т.д.
А так чтобы они действовали только на юзеров... Действовать как я описал выше.
1. Запрет отображение следующих дисков в проводнике...
2. Запрет доступа к след. дискам...
3. Запрет перенаправление принтеров и т.д.
А так чтобы они действовали только на юзеров... Действовать как я описал выше.
(2) Guyer,
делаю следующее, в группах создал NoGPO и добавил туда админа.
иду в gpedit.msc выбрал запретить диспетчер, запретить принтеры и скрыть диски из проводника
для GroupPolicy выставил для группы NoGPO настройки как вы указали на заперт и на доступ
Захожу в терминалку под обычным юзером и вижу все диски в проводнике и Диспетчер задач, то есть ничего не применилось для пользователей
делаю следующее, в группах создал NoGPO и добавил туда админа.
иду в gpedit.msc выбрал запретить диспетчер, запретить принтеры и скрыть диски из проводника
для GroupPolicy выставил для группы NoGPO настройки как вы указали на заперт и на доступ
Захожу в терминалку под обычным юзером и вижу все диски в проводнике и Диспетчер задач, то есть ничего не применилось для пользователей
Помимо скрыть диски нужно еще запретить доступ к дискам.
Там 2 настройки на это дело.
А если юзеру нужна папку то можно в профиле пользователя подключать к нему сетевой диск из пользовательской папки и выбрать определенную букву.
Там 2 настройки на это дело.
А если юзеру нужна папку то можно в профиле пользователя подключать к нему сетевой диск из пользовательской папки и выбрать определенную букву.
прошу прощения ,сейчас создал нового юзера и в нем все настройки которые выставлял в политиках применены. Хотя у действующего юзера настройки не применились, только новому применились.
Очень очень круто, теперь можно права пообрезать права так что юзер ничего не сможет плохого сделать. Для изменний политик я даю какому то юзеру (не включенным в группу noGPO) права админа и натсраиваю как надо, при этом сразу вижу результат. Потом забираю админсике права и все. Просто из под админа настраивать не дает, т.к. он в группе NoGPO и ему запрещено читать групповые политики.
Очень очень круто, теперь можно права пообрезать права так что юзер ничего не сможет плохого сделать. Для изменний политик я даю какому то юзеру (не включенным в группу noGPO) права админа и натсраиваю как надо, при этом сразу вижу результат. Потом забираю админсике права и все. Просто из под админа настраивать не дает, т.к. он в группе NoGPO и ему запрещено читать групповые политики.
попробовал для 2008 рецепт из второго сообщения, обрезал права так что с трудом вернул все на место .т.к. не мог зайти даже в проводник и панель управления, там две папки GroupPolicy и GroupPolicyUser выставлял группу NoGPO с заданными запретами и разрешениями, все равно на локального админа включенного в эту группу распространялись ограничения.
Вы все извращенцы. GPO без AD сильно ограничено функционалом.
Создаем профиль, настраиваем его, как хотим и СТАНДАРТНЫМИ СРЕДСТВАМИ (система - профили пользователей) копируем на Default user. При этом указываем "Разрешить использование" аутентифицированным пользователям.
А не получилось у вас ничего с копированием профиля потому, что вы не знаете, что ACL существуют не только на объекты файловой системы, но и на объекты реестра.
Создаем профиль, настраиваем его, как хотим и СТАНДАРТНЫМИ СРЕДСТВАМИ (система - профили пользователей) копируем на Default user. При этом указываем "Разрешить использование" аутентифицированным пользователям.
А не получилось у вас ничего с копированием профиля потому, что вы не знаете, что ACL существуют не только на объекты файловой системы, но и на объекты реестра.
Для получения уведомлений об ответах подключите телеграм бот:
Инфостарт бот