Изменения в обработке GPO, или Patch Tuesday


broken

Все течёт, все меняется. И знания тоже нужно всё время актуализировать.

Интереснейшее обновление, вышедшее во вторник, https://support.microsoft.com/en-us/kb/3163622

изменяет обработку политик. Если раньше она обрабатывалась в контексте пользователя, то теперь (с примененным обновлением) она будет обрабатываться в контексте компьютера. Иными словами, если вы использовали Security filtering для применения пользовательских политик, работать такой фильтр больше не будет.

Именно поэтому я всегда рекомендовал очень крепко подумать, прежде чем использовать такую фильтрацию без крайней необходимости.

Итак, что же мы получим в итоге обновления?

Скорее всего, все взорвется- ярлыки, диски, прочие GPО радости, терминальные серверы и все-все-все. Предвижу ежедневные взрывы на форумах технет, но следить сейчас времени совсем нет.

Что делать?

Читать далее

Реклама

Автозапуск клиента Lync 2013


Продолжаем облегчать себе администрирование при помощи групповых политик.

После успешного проекта по внедрению Lync в организации может возникнуть задача- запускать клиента автоматически, чтобы пользователь мог воспользоваться всеми благами совместной работы.

Проблема здесь в том, что если пользователь, скажем получил новый ПК, и ни разу не запускал клиента, усердно работая только в желтой программе с 9 до 18, то клиент и не запустится, хотя настройка по умолчанию автозапуска вроде бы есть. Давайте посмотрим, как улучшить ситуацию для клиентов 2010 и 2013, скажем, для 5000 пользователей:

Снимок

 

 

Настройка Lync 2010

Расположение ключа реестра HKCU\Software\Microsoft\Communicator
Имя ключа реестра AutoRunWhenLogonToWindows
Тип ключа реестра REG_DWORD
Значение ключа реестра 0 – клиент Lync не запустится автоматически, 1 – Lync клиент запустится

Настройка Lync 2013

Расположение ключа реестра HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Имя ключа реестра Lync
Тип ключа реестра REG_SZ
Значение ключа реестра «C:\Program Files (x86)\Microsoft Office\Office15\lync.exe» /fromrunkey
Примечание Эта настройка пути по умолчанию- если Вы ее изменили, то внесите соотв. изменение и здесь. Также здесь же можно отключить автозапуск.

regedit

Другой полезный ключ- спрятать окно для тех, кому клиент не очень нужен сразу после запуска в трей.

В это поможет параметр

Software\Microsoft\Office\15.0\Lync\AutoOpenMainWindowWhenStartup с типом dword и значением 00000000.

Подключение к Microsoft Exchange потеряно.


Давайте сегодня посмотрим, как мы можем управлять поведением Outlook в рамках клиентского подключения. Часто администратору, проводящему плановые работы или срочно восстанавливающему сбой сервиса приходится использовать первую линию в качестве щита, что не есть хорошо.

Также администраторы почтовой системы очень не любят, когда пользователи, увидев сообщение

connect3connect2

набрасываются на телефоны саппорта, или дружно встают и идут пить чай со словами: НЕВОЗМОЖНО РАБОТАТЬ!!!!111. Сообщение-то вот оно, выползло!

Есть и другая крайность этого сообщения: VIP пользователи, которым такие сообщения видеть противопоказано, ибо ничего их не должно отвлекать от важной и нужной работы…

Как же быть?

Выход есть- распространить волшебный ключ, который управляет всплывающими сообщениями

network

Именно параметр «Показывать изменения сетевого подключения» мы и изменим,  отредактировав значение [HKEY_CURRENT_USER\Software\Microsoft\Office\14.0\Outlook\Display Types\Balloons]
«NetConn»=dword:»00000000″

image[17]

Другие ключи, которые тоже могут пригодится, находятся там же:

HKEY_CURRENT_USER\Software\Microsoft\Office\xx.0\Outlook\Display Types\Balloons
Показывать сообщения Exchange : Exchange
Показывать сетевые предупреждения: Netwarn
Показывать изменения сетевого подключения: NetConn

Напомню версии Outlook:  2003- 11, 2007 —12, 2010- 14, 2013 —15.

В одном объекте политик можно легко создать ключи, которые будут нужны именно в вашей среде, и вдумчиво распространить их на тех пользователей, которых Вы не хотите волновать, оставив для администраторов почтовой системы сообщения в неизменном состоянии. 🙂

connectconnect1

GPO — сиротки.


Продолжаем тему групповых политик- ранее мы говорили о небольшом аудите Active Directory.

Как выражаются западные коллеги, «script please».  А то не модно, и качать что-то надо,  и страшные пугающие окна о несовместимости, и вообще не одной строкой.

Да нет проблем- забираем тут. Читать далее

Gpotool Error: Sysvol version mismatch


Вот такой вот интересный вывод дала Gpotool при  разборе полетов.

Policy {GUID}
Error: Version mismatch on dc1.domain.org, DS=65580, sysvol=65576
Friendly name: Default Domain Controllers Policy
Error: Version mismatch on dc2.domain.org, DS=65580, sysvol=65576
Details:
————————————————————
DC: dc1.domain.org
Friendly name: Default Domain Controllers Policy
Created: 7/7/2005 6:39:33 PM
Changed: 6/18/2012 12:33:04 PM
DS version:     1(user) 44(machine)
Sysvol version: 1(user) 40(machine)
Flags: 0 (user side enabled; machine side enabled)
User extensions: not found
Machine extensions: [{GUID}]
Functionality version: 2
————————————————————
DC: dc2.domain.org
Friendly name: Default Domain Controllers Policy
Created: 7/7/2005 6:39:33 PM
Changed: 6/18/2012 12:33:05 PM
DS version:     1(user) 44(machine)
Sysvol version: 1(user) 40(machine)
Flags: 0 (user side enabled; machine side enabled)
User extensions: not found
Machine extensions: [{GUID}]
Functionality version: 2

Разберем вывод подробнее: видно, что  в политике Default Domain Controllers Policy есть определённые расхождения во мнениях между частями DS и Sysvol. Чтож, давайте исправлять положение: поправим версию аккуратно до 45.Значение, которое нужно ввести , будет 65581. (1 * 65536 + 45 = 65581). Откройте в блокноте \\domainname\sysvol\policies\{Default_Domain_Controllers_Policy_GUID}\gpt.ini и установите Version=65581.

Сейчас пора  взять в руки ADSIEdit, ADExplorer или ldp (и тд 😉 ), и установить значение для versionnumber CN={Default_Domain_Controllers_Policy_GUID},CN=Policies,CN=System,DC=domainname равным 65581.

Теперь можно принять ванну, выпить чашечку кофе (вообще мой самый любимый шаг в инструкции, буду теперь везде вставлять!) ,и запустить GPOTool еще раз. Версии номеров, которые мы должны увидеть в выводе, должны быть очень похожи на 65581  1(user) и 45(machine).

Примечание: GUID Default Domain Controllers Policy всегда 6AC1786C-016F-11D2-945F-00C04FB984F9, но в этом необходимо удостоверится- талантливый администратор мог удалить политику и создать новый GPO  с параметрами по умолчанию..

Домашнее чтение: http://blogs.technet.com/b/grouppolicy/archive/2007/12/14/understanding-the-gpo-version-number.aspx?Redirected=true

https://blogs.technet.com/b/grouppolicy/archive/2008/01/08/understanding-the-domain-based-gpo-version-number-scripts-included.aspx?Redirected=true

Windows не удается подключиться к службе «Клиент групповой политики»


 

Проблема:

С утра один из ноутбуков в домене (Windows 7 X86 rus ent SP1) при попытке авторизации доменного пользователя  начал выдавать ошибку «Windows не удается подключиться к службе «Клиент групповой политики». Под локальным администратором, а так же доменным пользователем, являющемся локальным администратором на компьютере, авторизация проходит успешно и рабочий стол загружается при этом в трее появляется уведомление о том, что из-за проблем со службой «клиент групповой политики» не возможен вход в систему обычных пользователей.

Решение:

Читать далее