This is an old revision of the document!
Работа с GPO
Добавить группу или пользователя в локальные администраторы, GPO
На данном примере - группа домена ARASAKA - Workstation_LocalAdmins добавляется в локальную группу администраторов компьютеров, на которые распространяется текущий GPO.
=
GPO для блокировки рабочих станций после периода неактивности
Computer Conifg> Policies> Windows Settings> Security Settings> Local Policies> Security Options > Interactive logon: Machine inactivity limit
Если настроить автоматическую блокировку машины через данную доменную политику, а потом убрать её (сделав соответствующий параметр - “не задан”), то в реестре, после обновления GPO - останется значение, сконфигурированное в политике. В этом случае может быть полезен ключ реестра, который нужно сброить в 0.
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\inactivitytimeoutsecs
Посмотреть результаты применения групповых политик
Отправить результаты в файл:
gpresult /H c:\gpres.html
Парольные политики
Требования сложности
Если поменять требования к паролям (сложность или длина), то существующие пользователи будут затронуты только при следующей смене пароля.
Срок пароля
Если задать срок смены пароля, то те пароли, которые старше этого срока система попросит сменить после применения политики.
Приоритет применения политик
1. Локальные объекты.
2. Уровень сайта.
3. Уровень домена.
4. Уровень конкретного OU.
В данном примере вышестоящие политики перезаписывают нижестоящие, т.е. имеют больший приоритет. Порядок применния GPO к объекту - можно посмотреть на вкладке Group Policy Inheritance, как показано на скриншоте.
Контейнер “computers”, куда попадают компьютеры по умолчанию
К данному контейнеру нельзя прилинковать объект GPO. Однако, вышестоящие политики (к примеру, уровня root) - будут применяться к нему.