Differences

This shows you the differences between two versions of the page.

--- работа_с_gpo [2024/06/26 13:42] – jp
+++ работа_с_gpo [2025/01/31 17:12] (current) – jp
@@ Line 77: / Line 77: @@
    C:\Windows\SYSVOL\domain\Policies\PolicyDefinitions\en-US
 После того, как файлы появятся в central store - нужные настройки отобразятся в консоли GPO, никакие перезагрузки и перезапуски не требуются.
-{{tag>ActiveDirectory Microsoft}}
+----
+=== Разрешить RDP на контроллер домена обычному пользователю ===
+В первую очередь нужно добавить пользователя в группу //Remote Desktop Users//. Однако, в отличие от случаев с обычными серверами - этого недостаточно.
+Если сделать только это - при попытке подключиться по RDP - получим ошибку:
+:!: //To sign in remotely, you need the right to sign in through Remote Desktop Services. By default members of the Administrators group have this right. If the group you’re in does not have the right, or if the right has been removed from the Administrators group, you need to be granted the right manually.//
+Чтобы разрешить доменному пользователю подключения к RDP, нам требуется добавить ему это право через GPO:
+   Computer Configuration -> Windows settings -> Security Settings -> Local policies -> User Rights Assignment
+   Allow log on through Remote Desktop Services
+Добавляем сюда либо группу: //domain_name\Remote Desktop Users//, либо конкретного пользователя, которому мы добавляем доступ.
+----
+=== Исключить объект из GPO ===
+Самый простой способ исключить конкретный объект из GPO, не перемещая его в какой-либо OU - добавить на этот объект //deny// для //apply group policy// в свойствах безопасности конкретной политики. //Deny// имеет более высокий приоритет, поэтому разрешающие права для этого объекта отрабатываться не будут, а будет применена настройка //deny//.
+;#;
+{{:wiki:gpo_deny_object.jpg?400|}}
+;#;
+----
+=== Найти парольную политику ===
+Представим ситуацию, что мы хотим выяснить - откуда берется парольная политика. К примеру, в домене, очевидно назначены требования к паролю, но в прямых объектах GPO вроде //Default Domain Policy// эти параметры не заданы.
+В таком случае нам помогут несколько PS-командлетов. Выясним источник парольной политики:
+   import-module ActiveDirectory
+   Get-ADDefaultDomainPasswordPolicy
+В выводе мы увидим GUID объекта GPO, откуда растёт парольная политика. Скопируем его.
+;#;
+{{:wiki:pass_gpo_investig.jpg|}}
+;#;
+Теперь можно попробовать поискать объект GPO по найденному GUID, указав и домен:
+   import-Module GroupPolicy
+   Get-GPO -Guid 889773BC-F748-4030-B41B-D5FCCAAF9834 -Domain contoso.com
+{{tag>ActiveDirectory Microsoft GPO}}