Archiv podle štítků: GPO

Jak zakázat/povolit doplňky IE pomocí GPO

Vložil v 9.2.2009 Žádné komentáře

Pokud potřebujete např. na terminálovém serveru nebo i na stanicích povolovat či naopak zakazovat  doplňky (add-on) Internet Exploreru. Lze to docela jednoduše dělat pomocí GPO.

V sekci User ve větvi Administrative Templates\Windows Components\Internet Explorer\Security Features\Add-on Management je nastavení Add-on List.

Zde pomocí CLSID (class indetifier) je možné zakazovat či povolovat jednotlivé addons. Pro zakázaní se nastaví hodnota 0, pro povoleni 1.

Jak zjisti CLSID addons?
Např. spustíte si IE a dáte zakázat jeden addons, který potřebujete. Pak si spustíte regedit a v klíčí HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Settings naleznete CLSID zakazaného addonu.

GPO eventid 1030

Vložil v 22.10.2008 Žádné komentáře

Narazil jsem na chybu v aplikačním logu

EventID 1030 Userenv
Windows cannot query for the list of Group Policy objects. Check the event log for possible messages previously logged by the policy engine that describes the reason for this.

Žádná neobvyklá chyba při zpracování GPO, ale většinou se vyskytuje i s chybou 1058. Pokud začnete zjištovat čím to může být způsobené a přijdete, že při RSOP.MSC se vám ukazuje chyba :

The specified resource language ID cannot be found in the image file

Je toto způsobené Regionálním a jazykovým nastavením, nastavte vše zpět na jazyk instalace a GPO začne fungovat jak má.

Analýza GPO

Vložil v 22.10.2008 Žádné komentáře

Možnosti jak logovat události při problémech v GPO :

Group Policy core (UserEnv) and registry CSE HKLMSoftware\Microsoft\Windows NT\CurrentVersion\Winlogon REG_DWORD
UserEnvDebugLevel
=30002		 %windir%\debug\usermode\UserEnv.log
Group Policy

Diagnostic logging

 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Diagnostics REG_DWORD
RunDiagnosticLoggingGlobal
=1		 eventlog\application
Group Policy Object Editor
Core-specific entries		 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon REG_DWORD
GPEditDebugLevel
=0×10002		 %windir%\debug\usermode\gpedit.log
Group Policy Object Editor
CSE-specific entries		 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon REG_DWORD
GPTextDebugLevel
=0×10002		 %windir%\debug\usermode\gptext.log

Group policy change report

Vložil v 3.7.2008 2 Komentáře

Pokud potřebujete sledovat co a kdo Vám dělá s GPO je tu nástroj kterým to lze. Existuje ve dvou variantách freeware a komerční (rozdíly http://www.netwrix.com/group_policy_change_reporting.html)

Výstup Group Policy Change Reporter :

 

 

 

http://www.netwrix.com/group_policy_auditing_change_reporting_freeware.html

Zpracovaní Group Policy

Vložil v 20.6.2008 Žádné komentáře

Existují dva typy zpracování GP:

1. ForeGround Processing – process se děje než je uživatel schopný pracovat s desktopem
   Např. když se uživatel přihlašuje nebo počítač startuje
2. BackGround Processing – probíhá napozadí
   Např. bezpečnostní nastavení, administrativní šablony
Číst dále »

HOWTo: Jak změnit UNC cestu u MSI deploymentu

Vložil v 9.6.2008 Žádné komentáře

Pokud potřebujet změnit UNC cestu k MSI baličkům, GPO přeinstaluje celé MSI (místo toho aby poznalo že MSI už je nainstalován). Existuje nepodporovaná cesta jak změnit UNC cestu aniž by došlo k přeinstalaci. http://gpupdate.spaces.live.com/blog/cns!95A4CDC36943279A!120.entry

Jak vytvořit vlastní ADM šablonu

Vložil v 5.6.2008 Žádné komentáře

Pěkné PDF o tvorbě vlastních ADM šablon. Někdy se to muže hodit.

http://www.frickelsoft.net/blog/?p=62

Jak zakázat zařízení pomocí GPO a Windows Server 2008

Vložil v 17.4.2008 Žádné komentáře

V novém Windows Serveru 2008 přibylo v GPO další nastavení tkz. Preference
image

Aby jsme mohli využívat preference ve Windows XP je potřeba doinstalovat podporu. Tkz. Client Side Extension (http://www.microsoft.com/downloads/details.aspx?familyid=E60B5C8F-D7DC-4B27-A261-247CE3F6C4F8&displaylang=en) ta ještě vyžaduje nainstalované XMLlite (http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=d7b5dc81-ad14-4de2-8ad5-8c4a9aab5992).

V Devices pravým tlačítkem přidáme nové zařízení. Vybereme jaká akce se má provést : zakázat / povolit. A vybereme typ zařízení, můžeme vybrat  třídu nebo rovnou zařízení.

image

image

Zakazovat zařízení můžete jak ve větvi computers tak ve větvi users.  Takže můžeme zakázat CDROM pouze skupině users a skupině administrators povolit .

Výsledek

 image

Více o nových možnostech GPO na
http://technet2.microsoft.com/windowsserver2008/en/library/3b4568bc-9d3c-4477-807d-2ea149ff06491033.mspx?mfr=true

 

Gpotool

Vložil v 28.11.2007 Žádné komentáře

Vcera jsem potreboval zjistit zda spravne funguji vsechny GPO v domene. Narazil jsem na zajimavou utilitu z Resource kitu (samozrejme ji vsichni urcite uz znaji :-)

Gpotool

Co to umi :

  • zjistit konzistenci mezi SYSVOL a AD
  • zjistit zda je v poradku GPO replikace
  • zobrazit info o GPO
  • da se vybrat DC a otestovat ho na GPO

Rozhodne doporucuji pokud resite nake problemy s GPO.

http://www.microsoft.com/downloads/details.aspx?FamilyID=9D467A69-57FF-4AE7-96EE-B18C4790CFFD&displaylang=en#QuickInfoContainer

Jak na nastaveni ICA klienta pres GPO

Vložil v 23.5.2007 Žádné komentáře

http://support.citrix.com/article/entry.jspa?entryID=13343

Better Tag Cloud