GPO – Internet Explorer Maintenance

Taková malá záhada  8-O Nastavení vyjímek pro proxy v GPO, normálně si člověk řekne trifka nic moc složitého. Po x hodinách hledání ... konečně :-) Takže nastavení vypadalo takto: pár výjimek a mezi nimi tato https://blablabla/*. Všechny logy, debug logy, userenv logy naprosto v pořádku. Nikde ani náznak po chybce, přesto se proxy a její výjimky v IE nenastavily a nenastavily. Akorát v RSOP bylo vidět v IEM stav disabled, dostal jsem tam i stav enabled, ale výsledek stejný - proxy nenastavena. Až nakonec jsem našel v logu od IE v cestě %LOCALAPPDATA%\Microsoft\Internet Explorer\brndlog.txt [crayon-59ca3262b557d416636412/] Na google sem tam něco, nicméně nic podstatného co by se dalo použít :) Tak jsem se vidal cestou odmazavat z GPO IEM co se dá až jsem narazil na to že tam nesmí být…
Read More

Jak zakázat/povolit doplňky IE pomocí GPO

Pokud potřebujete např. na terminálovém serveru nebo i na stanicích povolovat či naopak zakazovat  doplňky (add-on) Internet Exploreru. Lze to docela jednoduše dělat pomocí GPO. V sekci User ve větvi Administrative Templates\Windows Components\Internet Explorer\Security Features\Add-on Management je nastavení Add-on List. Zde pomocí CLSID (class indetifier) je možné zakazovat či povolovat jednotlivé addons. Pro zakázaní se nastaví hodnota 0, pro povoleni 1. Jak zjisti CLSID addons? Např. spustíte si IE a dáte zakázat jeden addons, který potřebujete. Pak si spustíte regedit a v klíčí HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Settings naleznete CLSID zakazaného addonu.
Read More

GPO eventid 1030

Narazil jsem na chybu v aplikačním logu EventID 1030 Userenv Windows cannot query for the list of Group Policy objects. Check the event log for possible messages previously logged by the policy engine that describes the reason for this. Žádná neobvyklá chyba při zpracování GPO, ale většinou se vyskytuje i s chybou 1058. Pokud začnete zjištovat čím to může být způsobené a přijdete, že při RSOP.MSC se vám ukazuje chyba : The specified resource language ID cannot be found in the image file Je toto způsobené Regionálním a jazykovým nastavením, nastavte vše zpět na jazyk instalace a GPO začne fungovat jak má.
Read More

Analýza GPO

Možnosti jak logovat události při problémech v GPO : Group Policy core (UserEnv) and registry CSE HKLMSoftware\Microsoft\Windows NT\CurrentVersion\Winlogon REG_DWORD UserEnvDebugLevel =30002 %windir%\debug\usermode\UserEnv.log Group Policy Diagnostic logging HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Diagnostics REG_DWORD RunDiagnosticLoggingGlobal =1 eventlog\application Group Policy Object Editor Core-specific entries HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon REG_DWORD GPEditDebugLevel =0x10002 %windir%\debug\usermode\gpedit.log Group Policy Object Editor CSE-specific entries HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon REG_DWORD GPTextDebugLevel =0x10002 %windir%\debug\usermode\gptext.log
Read More

Group policy change report

Pokud potřebujete sledovat co a kdo Vám dělá s GPO je tu nástroj kterým to lze. Existuje ve dvou variantách freeware a komerční (rozdíly http://www.netwrix.com/group_policy_change_reporting.html) Výstup Group Policy Change Reporter :       http://www.netwrix.com/group_policy_auditing_change_reporting_freeware.html
Read More

Zpracovaní Group Policy

Existují dva typy zpracování GP: 1. ForeGround Processing - process se děje než je uživatel schopný pracovat s desktopem    Např. když se uživatel přihlašuje nebo počítač startuje 2. BackGround Processing - probíhá napozadí    Např. bezpečnostní nastavení, administrativní šablony (Pokračování textu…)
Read More

HOWTo: Jak změnit UNC cestu u MSI deploymentu

Pokud potřebujet změnit UNC cestu k MSI baličkům, GPO přeinstaluje celé MSI (místo toho aby poznalo že MSI už je nainstalován). Existuje nepodporovaná cesta jak změnit UNC cestu aniž by došlo k přeinstalaci. http://gpupdate.spaces.live.com/blog/cns!95A4CDC36943279A!120.entry
Read More

Jak zakázat zařízení pomocí GPO a Windows Server 2008

V novém Windows Serveru 2008 přibylo v GPO další nastavení tkz. Preference Aby jsme mohli využívat preference ve Windows XP je potřeba doinstalovat podporu. Tkz. Client Side Extension (http://www.microsoft.com/downloads/details.aspx?familyid=E60B5C8F-D7DC-4B27-A261-247CE3F6C4F8&displaylang=en) ta ještě vyžaduje nainstalované XMLlite (http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=d7b5dc81-ad14-4de2-8ad5-8c4a9aab5992). V Devices pravým tlačítkem přidáme nové zařízení. Vybereme jaká akce se má provést : zakázat / povolit. A vybereme typ zařízení, můžeme vybrat  třídu nebo rovnou zařízení. Zakazovat zařízení můžete jak ve větvi computers tak ve větvi users.  Takže můžeme zakázat CDROM pouze skupině users a skupině administrators povolit . Výsledek   Více o nových možnostech GPO na http://technet2.microsoft.com/windowsserver2008/en/library/3b4568bc-9d3c-4477-807d-2ea149ff06491033.mspx?mfr=true  
Read More

Gpotool

Vcera jsem potreboval zjistit zda spravne funguji vsechny GPO v domene. Narazil jsem na zajimavou utilitu z Resource kitu (samozrejme ji vsichni urcite uz znaji :-) Gpotool Co to umi : zjistit konzistenci mezi SYSVOL a AD zjistit zda je v poradku GPO replikace zobrazit info o GPO da se vybrat DC a otestovat ho na GPO Rozhodne doporucuji pokud resite nake problemy s GPO. http://www.microsoft.com/downloads/details.aspx?FamilyID=9D467A69-57FF-4AE7-96EE-B18C4790CFFD&displaylang=en#QuickInfoContainer
Read More