Изменения в обработке GPO, или Patch Tuesday


broken

Все течёт, все меняется. И знания тоже нужно всё время актуализировать.

Интереснейшее обновление, вышедшее во вторник, https://support.microsoft.com/en-us/kb/3163622

изменяет обработку политик. Если раньше она обрабатывалась в контексте пользователя, то теперь (с примененным обновлением) она будет обрабатываться в контексте компьютера. Иными словами, если вы использовали Security filtering для применения пользовательских политик, работать такой фильтр больше не будет.

Именно поэтому я всегда рекомендовал очень крепко подумать, прежде чем использовать такую фильтрацию без крайней необходимости.

Итак, что же мы получим в итоге обновления?

Скорее всего, все взорвется- ярлыки, диски, прочие GPО радости, терминальные серверы и все-все-все. Предвижу ежедневные взрывы на форумах технет, но следить сейчас времени совсем нет.

Что делать?

Читать «Изменения в обработке GPO, или Patch Tuesday» далее

Реклама

Автозапуск клиента Lync 2013


Продолжаем облегчать себе администрирование при помощи групповых политик.

После успешного проекта по внедрению Lync в организации может возникнуть задача- запускать клиента автоматически, чтобы пользователь мог воспользоваться всеми благами совместной работы.

Проблема здесь в том, что если пользователь, скажем получил новый ПК, и ни разу не запускал клиента, усердно работая только в желтой программе с 9 до 18, то клиент и не запустится, хотя настройка по умолчанию автозапуска вроде бы есть. Давайте посмотрим, как улучшить ситуацию для клиентов 2010 и 2013, скажем, для 5000 пользователей:

Снимок

 

 

Настройка Lync 2010

Расположение ключа реестра HKCU\Software\Microsoft\Communicator
Имя ключа реестра AutoRunWhenLogonToWindows
Тип ключа реестра REG_DWORD
Значение ключа реестра 0 – клиент Lync не запустится автоматически, 1 – Lync клиент запустится

Настройка Lync 2013

Расположение ключа реестра HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Имя ключа реестра Lync
Тип ключа реестра REG_SZ
Значение ключа реестра «C:\Program Files (x86)\Microsoft Office\Office15\lync.exe» /fromrunkey
Примечание Эта настройка пути по умолчанию- если Вы ее изменили, то внесите соотв. изменение и здесь. Также здесь же можно отключить автозапуск.

regedit

Другой полезный ключ- спрятать окно для тех, кому клиент не очень нужен сразу после запуска в трей.

В это поможет параметр

Software\Microsoft\Office\15.0\Lync\AutoOpenMainWindowWhenStartup с типом dword и значением 00000000.

Подключение к Microsoft Exchange потеряно.


Давайте сегодня посмотрим, как мы можем управлять поведением Outlook в рамках клиентского подключения. Часто администратору, проводящему плановые работы или срочно восстанавливающему сбой сервиса приходится использовать первую линию в качестве щита, что не есть хорошо.

Также администраторы почтовой системы очень не любят, когда пользователи, увидев сообщение

connect3connect2

набрасываются на телефоны саппорта, или дружно встают и идут пить чай со словами: НЕВОЗМОЖНО РАБОТАТЬ!!!!111. Сообщение-то вот оно, выползло!

Есть и другая крайность этого сообщения: VIP пользователи, которым такие сообщения видеть противопоказано, ибо ничего их не должно отвлекать от важной и нужной работы…

Как же быть?

Выход есть- распространить волшебный ключ, который управляет всплывающими сообщениями

network

Именно параметр «Показывать изменения сетевого подключения» мы и изменим,  отредактировав значение [HKEY_CURRENT_USER\Software\Microsoft\Office\14.0\Outlook\Display Types\Balloons]
«NetConn»=dword:»00000000″

image[17]

Другие ключи, которые тоже могут пригодится, находятся там же:

HKEY_CURRENT_USER\Software\Microsoft\Office\xx.0\Outlook\Display Types\Balloons
Показывать сообщения Exchange : Exchange
Показывать сетевые предупреждения: Netwarn
Показывать изменения сетевого подключения: NetConn

Напомню версии Outlook:  2003- 11, 2007 —12, 2010- 14, 2013 —15.

В одном объекте политик можно легко создать ключи, которые будут нужны именно в вашей среде, и вдумчиво распространить их на тех пользователей, которых Вы не хотите волновать, оставив для администраторов почтовой системы сообщения в неизменном состоянии. 🙂

connectconnect1

GPO — сиротки.


Продолжаем тему групповых политик- ранее мы говорили о небольшом аудите Active Directory.

Как выражаются западные коллеги, «script please».  А то не модно, и качать что-то надо,  и страшные пугающие окна о несовместимости, и вообще не одной строкой.

Да нет проблем- забираем тут. Читать «GPO — сиротки.» далее

Gpotool Error: Sysvol version mismatch


Вот такой вот интересный вывод дала Gpotool при  разборе полетов.

Policy {GUID}
Error: Version mismatch on dc1.domain.org, DS=65580, sysvol=65576
Friendly name: Default Domain Controllers Policy
Error: Version mismatch on dc2.domain.org, DS=65580, sysvol=65576
Details:
————————————————————
DC: dc1.domain.org
Friendly name: Default Domain Controllers Policy
Created: 7/7/2005 6:39:33 PM
Changed: 6/18/2012 12:33:04 PM
DS version:     1(user) 44(machine)
Sysvol version: 1(user) 40(machine)
Flags: 0 (user side enabled; machine side enabled)
User extensions: not found
Machine extensions: [{GUID}]
Functionality version: 2
————————————————————
DC: dc2.domain.org
Friendly name: Default Domain Controllers Policy
Created: 7/7/2005 6:39:33 PM
Changed: 6/18/2012 12:33:05 PM
DS version:     1(user) 44(machine)
Sysvol version: 1(user) 40(machine)
Flags: 0 (user side enabled; machine side enabled)
User extensions: not found
Machine extensions: [{GUID}]
Functionality version: 2

Разберем вывод подробнее: видно, что  в политике Default Domain Controllers Policy есть определённые расхождения во мнениях между частями DS и Sysvol. Чтож, давайте исправлять положение: поправим версию аккуратно до 45.Значение, которое нужно ввести , будет 65581. (1 * 65536 + 45 = 65581). Откройте в блокноте \\domainname\sysvol\policies\{Default_Domain_Controllers_Policy_GUID}\gpt.ini и установите Version=65581.

Сейчас пора  взять в руки ADSIEdit, ADExplorer или ldp (и тд 😉 ), и установить значение для versionnumber CN={Default_Domain_Controllers_Policy_GUID},CN=Policies,CN=System,DC=domainname равным 65581.

Теперь можно принять ванну, выпить чашечку кофе (вообще мой самый любимый шаг в инструкции, буду теперь везде вставлять!) ,и запустить GPOTool еще раз. Версии номеров, которые мы должны увидеть в выводе, должны быть очень похожи на 65581  1(user) и 45(machine).

Примечание: GUID Default Domain Controllers Policy всегда 6AC1786C-016F-11D2-945F-00C04FB984F9, но в этом необходимо удостоверится- талантливый администратор мог удалить политику и создать новый GPO  с параметрами по умолчанию..

Домашнее чтение: http://blogs.technet.com/b/grouppolicy/archive/2007/12/14/understanding-the-gpo-version-number.aspx?Redirected=true

https://blogs.technet.com/b/grouppolicy/archive/2008/01/08/understanding-the-domain-based-gpo-version-number-scripts-included.aspx?Redirected=true

Windows не удается подключиться к службе «Клиент групповой политики»


 

Проблема:

С утра один из ноутбуков в домене (Windows 7 X86 rus ent SP1) при попытке авторизации доменного пользователя  начал выдавать ошибку «Windows не удается подключиться к службе «Клиент групповой политики». Под локальным администратором, а так же доменным пользователем, являющемся локальным администратором на компьютере, авторизация проходит успешно и рабочий стол загружается при этом в трее появляется уведомление о том, что из-за проблем со службой «клиент групповой политики» не возможен вход в систему обычных пользователей.

Решение:

Читать «Windows не удается подключиться к службе «Клиент групповой политики»» далее