Изменения в обработке GPO, или Patch Tuesday


broken

Все течёт, все меняется. И знания тоже нужно всё время актуализировать.

Интереснейшее обновление, вышедшее во вторник, https://support.microsoft.com/en-us/kb/3163622

изменяет обработку политик. Если раньше она обрабатывалась в контексте пользователя, то теперь (с примененным обновлением) она будет обрабатываться в контексте компьютера. Иными словами, если вы использовали Security filtering для применения пользовательских политик, работать такой фильтр больше не будет.

Именно поэтому я всегда рекомендовал очень крепко подумать, прежде чем использовать такую фильтрацию без крайней необходимости.

Итак, что же мы получим в итоге обновления?

Скорее всего, все взорвется- ярлыки, диски, прочие GPО радости, терминальные серверы и все-все-все. Предвижу ежедневные взрывы на форумах технет, но следить сейчас времени совсем нет.

Что делать?

Читать далее

Реклама

Автозапуск клиента Lync 2013


Продолжаем облегчать себе администрирование при помощи групповых политик.

После успешного проекта по внедрению Lync в организации может возникнуть задача- запускать клиента автоматически, чтобы пользователь мог воспользоваться всеми благами совместной работы.

Проблема здесь в том, что если пользователь, скажем получил новый ПК, и ни разу не запускал клиента, усердно работая только в желтой программе с 9 до 18, то клиент и не запустится, хотя настройка по умолчанию автозапуска вроде бы есть. Давайте посмотрим, как улучшить ситуацию для клиентов 2010 и 2013, скажем, для 5000 пользователей:

Снимок

 

 

Настройка Lync 2010

Расположение ключа реестра HKCU\Software\Microsoft\Communicator
Имя ключа реестра AutoRunWhenLogonToWindows
Тип ключа реестра REG_DWORD
Значение ключа реестра 0 – клиент Lync не запустится автоматически, 1 – Lync клиент запустится

Настройка Lync 2013

Расположение ключа реестра HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Имя ключа реестра Lync
Тип ключа реестра REG_SZ
Значение ключа реестра «C:\Program Files (x86)\Microsoft Office\Office15\lync.exe» /fromrunkey
Примечание Эта настройка пути по умолчанию- если Вы ее изменили, то внесите соотв. изменение и здесь. Также здесь же можно отключить автозапуск.

regedit

Другой полезный ключ- спрятать окно для тех, кому клиент не очень нужен сразу после запуска в трей.

В это поможет параметр

Software\Microsoft\Office\15.0\Lync\AutoOpenMainWindowWhenStartup с типом dword и значением 00000000.

Подключение к Microsoft Exchange потеряно.


Давайте сегодня посмотрим, как мы можем управлять поведением Outlook в рамках клиентского подключения. Часто администратору, проводящему плановые работы или срочно восстанавливающему сбой сервиса приходится использовать первую линию в качестве щита, что не есть хорошо.

Также администраторы почтовой системы очень не любят, когда пользователи, увидев сообщение

connect3connect2

набрасываются на телефоны саппорта, или дружно встают и идут пить чай со словами: НЕВОЗМОЖНО РАБОТАТЬ!!!!111. Сообщение-то вот оно, выползло!

Есть и другая крайность этого сообщения: VIP пользователи, которым такие сообщения видеть противопоказано, ибо ничего их не должно отвлекать от важной и нужной работы…

Как же быть?

Выход есть- распространить волшебный ключ, который управляет всплывающими сообщениями

network

Именно параметр «Показывать изменения сетевого подключения» мы и изменим,  отредактировав значение [HKEY_CURRENT_USER\Software\Microsoft\Office\14.0\Outlook\Display Types\Balloons]
«NetConn»=dword:»00000000″

image[17]

Другие ключи, которые тоже могут пригодится, находятся там же:

HKEY_CURRENT_USER\Software\Microsoft\Office\xx.0\Outlook\Display Types\Balloons
Показывать сообщения Exchange : Exchange
Показывать сетевые предупреждения: Netwarn
Показывать изменения сетевого подключения: NetConn

Напомню версии Outlook:  2003- 11, 2007 —12, 2010- 14, 2013 —15.

В одном объекте политик можно легко создать ключи, которые будут нужны именно в вашей среде, и вдумчиво распространить их на тех пользователей, которых Вы не хотите волновать, оставив для администраторов почтовой системы сообщения в неизменном состоянии. 🙂

connectconnect1

GPO — сиротки.


Продолжаем тему групповых политик- ранее мы говорили о небольшом аудите Active Directory.

Как выражаются западные коллеги, «script please».  А то не модно, и качать что-то надо,  и страшные пугающие окна о несовместимости, и вообще не одной строкой.

Да нет проблем- забираем тут. Читать далее

Gpotool Error: Sysvol version mismatch


Вот такой вот интересный вывод дала Gpotool при  разборе полетов.

Policy {GUID}
Error: Version mismatch on dc1.domain.org, DS=65580, sysvol=65576
Friendly name: Default Domain Controllers Policy
Error: Version mismatch on dc2.domain.org, DS=65580, sysvol=65576
Details:
————————————————————
DC: dc1.domain.org
Friendly name: Default Domain Controllers Policy
Created: 7/7/2005 6:39:33 PM
Changed: 6/18/2012 12:33:04 PM
DS version:     1(user) 44(machine)
Sysvol version: 1(user) 40(machine)
Flags: 0 (user side enabled; machine side enabled)
User extensions: not found
Machine extensions: [{GUID}]
Functionality version: 2
————————————————————
DC: dc2.domain.org
Friendly name: Default Domain Controllers Policy
Created: 7/7/2005 6:39:33 PM
Changed: 6/18/2012 12:33:05 PM
DS version:     1(user) 44(machine)
Sysvol version: 1(user) 40(machine)
Flags: 0 (user side enabled; machine side enabled)
User extensions: not found
Machine extensions: [{GUID}]
Functionality version: 2

Разберем вывод подробнее: видно, что  в политике Default Domain Controllers Policy есть определённые расхождения во мнениях между частями DS и Sysvol. Чтож, давайте исправлять положение: поправим версию аккуратно до 45.Значение, которое нужно ввести , будет 65581. (1 * 65536 + 45 = 65581). Откройте в блокноте \\domainname\sysvol\policies\{Default_Domain_Controllers_Policy_GUID}\gpt.ini и установите Version=65581.

Сейчас пора  взять в руки ADSIEdit, ADExplorer или ldp (и тд 😉 ), и установить значение для versionnumber CN={Default_Domain_Controllers_Policy_GUID},CN=Policies,CN=System,DC=domainname равным 65581.

Теперь можно принять ванну, выпить чашечку кофе (вообще мой самый любимый шаг в инструкции, буду теперь везде вставлять!) ,и запустить GPOTool еще раз. Версии номеров, которые мы должны увидеть в выводе, должны быть очень похожи на 65581  1(user) и 45(machine).

Примечание: GUID Default Domain Controllers Policy всегда 6AC1786C-016F-11D2-945F-00C04FB984F9, но в этом необходимо удостоверится- талантливый администратор мог удалить политику и создать новый GPO  с параметрами по умолчанию..

Домашнее чтение: http://blogs.technet.com/b/grouppolicy/archive/2007/12/14/understanding-the-gpo-version-number.aspx?Redirected=true

https://blogs.technet.com/b/grouppolicy/archive/2008/01/08/understanding-the-domain-based-gpo-version-number-scripts-included.aspx?Redirected=true

Справочник параметров групповой политики Windows 8 и Windows Server 2012


Вышел white paper Group Policy Settings Reference for Windows 8 and Windows Server 2012 по параметрам групповой политики, административным шаблонам и предпочтениям.

Можно использовать фильтры, чтобы быстро просмотреть нужное, также обратите внимание на новые параметры, отмеченные

Supported On и At least Microsoft Windows Server 2012 or Windows 8.

И что нового?

Список Административных шаблонов состоит из трех колонок- требований к применению групповой политики:

  • Reboot Required: A «Yes» in this column means that the Windows operating systems requires a restart before it applies the described policy setting.
  • Logoff Required: A «Yes» in this column means that the Windows operating system requires the user to log off and log on again before it applies the described policy setting.
  • Active Directory Schema or Domain Requirements: A «Yes» in this column means that you must extend the Active Directory schema before you can deploy this policy setting.
  • Status: A «New» in this column means that the setting did not exist prior to Windows Server 2012 and Windows 8. It does not mean that the setting applies only to Windows Server 2012 and Windows 8. Refer to the column entitled «supported on» to determine to which operating system the policy setting applies.

Приятного чтения.

WindowsServer2012andWindows8GroupPolicySettings.xlsx

Все справочники

Так же хочу напомнить про модный облачный сервис, содержащий в себе все  эти параметры онлайн, не забывайте про фильтры.

http://gps.cloudapp.net/

Приятного просмотра.

Улучшения и изменения в области управления групповой политикой Windows Server «8» Beta


Windows Server Beta «8» содержит ряд интересных изменений в управлении групповыми политиками . К ним относятся выявление общей согласованности репликации, удаленное обновление политики и более легкий результирующий набор политики для дальнейшего устранения неполадок. Мы ждем Windows 8 «Release Preview»  уже в первой неделе июня, так что давайте взглянем на все это поближе!

Текущий статус инфраструктуры  GPO

В Windows 2000 Resource Kit была маленькая утилита Gpotool.exe ( уже не поддерживается 🙂 ). Она сообщала,что части SYSVOL и AD групповой политики были согласованы на данном контроллере домена, а также между  другими контроллерами домена в домене. Если  возвращалось сообщение «Политика ОК», то проверка была пройдена.

К сожалению,  маленькая Gpotool была не очень честной — она проверяла только gpt.ini файлы в папке SYSVOL. Те администраторы,которые управляют групповой политикой на предприятии знают,что каждая GUID папка объекта GPO  в SYSVOL содержит большое количество файлов которые имеют решающее значение для применения групповой политики.Само существование Gpt.ini не имеет значения, если файл registry.pol не существует, или его версия устарела.

Если мы загрузим Windows Server Beta «8»и запустим редактор управления групповой политикой с локального сервера или RSAT, затем перейдем к узлу домены , мы заметим новую вкладку Status (Group Policy Infrastructure Status tool). Редактор управления групповой политиками установит соединение с доступным в сети контроллером домена  как источником исходных данных для сравнения. По умолчанию первым производится подключение к  PDC эмулятору контроллера домена.image

Читать далее