» Групповые политики (Group Policy, GPO): документация, ссылки

eminazeri
Первое, с чего надо начать - проверка DNS с помощью dcdiag. Выполните команду

Цитата:

dcdiag /test:dns

Затем, включите - режим отладки групповых политик.
Попробуйте также влючить режим отладки Active Directory.
И посмотрите сюда.
Приведите, пожалуйста, список остальных ошибок журналов Application и System.

<b>TCPIP</b> Посмотрите, что то с DNS не то, но что?

C:\Program Files\Support Tools>dcdiag /test:dns

Domain Controller Diagnosis

Performing initial setup:
Done gathering initial info.

Doing initial required tests

Testing server: Default-First-Site-Name\DC
Starting test: Connectivity
The host 74d5731f-9d88-4141-8bf1-7be7ca18fab3._msdcs.mydomain.com could n
ot be resolved to an
IP address. Check the DNS server, DHCP, server name, etc
Although the Guid DNS name
(74d5731f-9d88-4141-8bf1-7be7ca18fab3._msdcs.mydomain.com) couldn't be
resolved, the server name (dc.mydomain.com) resolved to the IP address
(10.200.0.1) and was pingable. Check that the IP address is
registered correctly with the DNS server.
......................... DC failed test Connectivity

Doing primary tests

Testing server: Default-First-Site-Name\DC

DNS Tests are running and not hung. Please wait a few minutes...

Running partition tests on : ForestDnsZones

Running partition tests on : DomainDnsZones

Running partition tests on : Schema

Running partition tests on : Configuration

Running partition tests on : mydomain.com

Running enterprise tests on : mydomain.com
Starting test: DNS
Test results for domain controllers:

DC: dc.mydomain.com
Domain: mydomain.com


TEST: Authentication (Auth)
Error: Authentication failed with specified credentials

TEST: Basic (Basc)
Error: No LDAP connectivity
Warning: adapter [00000007] HP NC7761 Gigabit Server Adapter h
as invalid DNS server: 213.172.64.134 (<name unavailable>)
Warning: adapter [00000007] HP NC7761 Gigabit Server Adapter h
as invalid DNS server: 213.172.64.130 (<name unavailable>)
Error: all DNS servers are invalid
Error: The A record for this DC was not found

TEST: Forwarders/Root hints (Forw)
Error: Root hints list has invalid root hint server: a.root-se
rvers.net. (198.41.0.4)
Error: Root hints list has invalid root hint server: b.root-se
rvers.net. (192.228.79.201)
Error: Root hints list has invalid root hint server: c.root-se
rvers.net. (192.33.4.12)
Error: Root hints list has invalid root hint server: d.root-se
rvers.net. (128.8.10.90)
Error: Root hints list has invalid root hint server: e.root-se
rvers.net. (192.203.230.10)
Error: Root hints list has invalid root hint server: f.root-se
rvers.net. (192.5.5.241)
Error: Root hints list has invalid root hint server: g.root-se
rvers.net. (192.112.36.4)
Error: Root hints list has invalid root hint server: h.root-se
rvers.net. (128.63.2.53)
Error: Root hints list has invalid root hint server: i.root-se
rvers.net. (192.36.148.17)
Error: Root hints list has invalid root hint server: j.root-se
rvers.net. (192.58.128.30)
Error: Root hints list has invalid root hint server: k.root-se
rvers.net. (193.0.14.129)
Error: Root hints list has invalid root hint server: l.root-se
rvers.net. (198.32.64.12)
Error: Root hints list has invalid root hint server: m.root-se
rvers.net. (202.12.27.33)

TEST: Dynamic update (Dyn)
Error: Dynamic update is not enabled on the zone mydomain.com.

TEST: Records registration (RReg)
Error: Record registrations cannot be found for all the network a
dapters

Summary of test results for DNS servers used by the above domain contro
llers:

DNS server: 128.63.2.53 (h.root-servers.net.)
1 test failure on this DNS server
This is not a valid DNS server. PTR record query for the 1.0.0.12
7.in-addr.arpa. failed on the DNS server 128.63.2.53

DNS server: 128.8.10.90 (d.root-servers.net.)
1 test failure on this DNS server
This is not a valid DNS server. PTR record query for the 1.0.0.12
7.in-addr.arpa. failed on the DNS server 128.8.10.90

DNS server: 192.112.36.4 (g.root-servers.net.)
1 test failure on this DNS server
This is not a valid DNS server. PTR record query for the 1.0.0.12
7.in-addr.arpa. failed on the DNS server 192.112.36.4

DNS server: 192.203.230.10 (e.root-servers.net.)
1 test failure on this DNS server
This is not a valid DNS server. PTR record query for the 1.0.0.12
7.in-addr.arpa. failed on the DNS server 192.203.230.10

DNS server: 192.228.79.201 (b.root-servers.net.)
1 test failure on this DNS server
This is not a valid DNS server. PTR record query for the 1.0.0.12
7.in-addr.arpa. failed on the DNS server 192.228.79.201

DNS server: 192.33.4.12 (c.root-servers.net.)
1 test failure on this DNS server
This is not a valid DNS server. PTR record query for the 1.0.0.12
7.in-addr.arpa. failed on the DNS server 192.33.4.12

DNS server: 192.36.148.17 (i.root-servers.net.)
1 test failure on this DNS server
This is not a valid DNS server. PTR record query for the 1.0.0.12
7.in-addr.arpa. failed on the DNS server 192.36.148.17

DNS server: 192.5.5.241 (f.root-servers.net.)
1 test failure on this DNS server
This is not a valid DNS server. PTR record query for the 1.0.0.12
7.in-addr.arpa. failed on the DNS server 192.5.5.241

DNS server: 192.58.128.30 (j.root-servers.net.)
1 test failure on this DNS server
This is not a valid DNS server. PTR record query for the 1.0.0.12
7.in-addr.arpa. failed on the DNS server 192.58.128.30

DNS server: 193.0.14.129 (k.root-servers.net.)
1 test failure on this DNS server
This is not a valid DNS server. PTR record query for the 1.0.0.12
7.in-addr.arpa. failed on the DNS server 193.0.14.129

DNS server: 198.32.64.12 (l.root-servers.net.)
1 test failure on this DNS server
This is not a valid DNS server. PTR record query for the 1.0.0.12
7.in-addr.arpa. failed on the DNS server 198.32.64.12

DNS server: 198.41.0.4 (a.root-servers.net.)
1 test failure on this DNS server
This is not a valid DNS server. PTR record query for the 1.0.0.12
7.in-addr.arpa. failed on the DNS server 198.41.0.4

DNS server: 202.12.27.33 (m.root-servers.net.)
1 test failure on this DNS server
This is not a valid DNS server. PTR record query for the 1.0.0.12
7.in-addr.arpa. failed on the DNS server 202.12.27.33

DNS server: 213.172.64.130 (<name unavailable>)
1 test failure on this DNS server
This is not a valid DNS server. PTR record query for the 1.0.0.12
7.in-addr.arpa. failed on the DNS server 213.172.64.130
Name resolution is not functional. _ldap._tcp.mydomain.com. failed
on the DNS server 213.172.64.130

DNS server: 213.172.64.134 (<name unavailable>)
1 test failure on this DNS server
Name resolution is not functional. _ldap._tcp.mydomain.com. failed
on the DNS server 213.172.64.134

Summary of DNS test results:

Auth Basc Forw Del Dyn RReg Ext
________________________________________________________________
Domain: mydomain.com
dc FAIL FAIL FAIL PASS FAIL FAIL n/a

......................... mydomain.com failed test DNS


Добавлено:
вот что в логе userenv.log

USERENV(270.19c0) 18:18:28:859 GetGPOInfo: Entering...
USERENV(270.19c0) 18:18:28:859 GetGPOInfo: Server connection established.
USERENV(270.19c0) 18:18:28:859 GetGPOInfo: Bound successfully.
USERENV(270.19c0) 18:18:28:875 SearchDSObject: Searching <OU=Domain Controllers,DC= mydomain,DC=org>
USERENV(270.19c0) 18:18:28:875 SearchDSObject: Found GPO(s): < >
USERENV(270.19c0) 18:18:28:875 SearchDSObject: Searching <DC=mydomain,DC=org>
USERENV(270.19c0) 18:18:28:875 SearchDSObject: Found GPO(s): <[LDAP://cn={AF2E93DF-661E-4BE8-BA4A-144A9EC72BAD},cn=policies,cn=system,DC= mydomain,DC=org;0]>
USERENV(270.19c0) 18:18:28:875 ProcessGPO: ==============================
USERENV(270.19c0) 18:18:28:875 ProcessGPO: Deferring search for <LDAP://cn={AF2E93DF-661E-4BE8-BA4A-144A9EC72BAD},cn=policies,cn=system,DC=o mydomain,DC=org>
USERENV(270.19c0) 18:18:28:890 SearchDSObject: Searching <CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mydomain,DC=org>
USERENV(270.19c0) 18:18:28:890 SearchDSObject: No GPO(s) for this object.
USERENV(270.19c0) 18:18:28:890 EvaluateDeferredGPOs: Searching for GPOs in cn=policies,cn=system,DC= mydomain,DC=org
USERENV(270.19c0) 18:18:28:890 ProcessGPO: ==============================
USERENV(270.19c0) 18:18:28:890 ProcessGPO: Searching <cn={AF2E93DF-661E-4BE8-BA4A-144A9EC72BAD},cn=policies,cn=system,DC=osi-az,DC=org>
USERENV(270.19c0) 18:18:28:890 ProcessGPO: Machine does not have access to the GPO and so will not be applied.
USERENV(270.19c0) 18:18:28:890 ProcessGPO: Found functionality version of: 2
USERENV(270.19c0) 18:18:28:906 ProcessGPO: Found file system path of: <\\mydomain\SysVol\ mydomain\Policies\{AF2E93DF-661E-4BE8-BA4A-144A9EC72BAD}>
USERENV(270.19c0) 18:18:28:906 ProcessGPO: Sysvol access skipped because GPO is not getting applied.
USERENV(270.19c0) 18:18:28:906 ProcessGPO: Found common name of: <{AF2E93DF-661E-4BE8-BA4A-144A9EC72BAD}>
USERENV(270.19c0) 18:18:28:906 ProcessGPO: Found display name of: <OSI-AF>
USERENV(270.19c0) 18:18:28:906 ProcessGPO: Found machine version of: GPC is 17, GPT is 65535
USERENV(270.19c0) 18:18:28:906 ProcessGPO: Found flags of: 0
USERENV(270.19c0) 18:18:28:906 ProcessGPO: Found extensions: [{35378EAC-683F-11D2-A89A-00C04FBBCFA2}{0F6B957D-509E-11D1-A7CC-0000F87571E3}][{827D319E-6EAC-11D2-A4EA-00C04F79F83A}{803E14A0-B4FB-11D0-A0D0-00A0C90F574B}]
USERENV(270.19c0) 18:18:28:906 ProcessGPO: ==============================
USERENV(270.19c0) 18:18:28:921 GetGPOInfo: GPO Local Group Policy doesn't contain any data since the version number is 0. It will be skipped.
USERENV(270.19c0) 18:18:28:921 GetGPOInfo: Leaving with 1
USERENV(270.19c0) 18:18:28:921 GetGPOInfo: ********************************
USERENV(270.19c0) 18:18:28:921 ProcessGPOs: Logging Data for Target <DC>.
USERENV(270.19c0) 18:18:28:921 ProcessGPOs: OpenThreadToken failed with error 1008, assuming thread is not impersonating

Кажется добираюсь до истины...
Собака где-то тут зарыта.

TEST: Dynamic update (Dyn)
Error: Dynamic update is not enabled on the zone mydomain.com.

Потому что когда с DC все в порядке, эта ошибка остается и кроме того, методом тыка пришел к выводу что после рестарта служб DHCP, Distributed File System, File Replication Service - все приходит в норму, до следующего раза...
Что бы это могло быть? Может в DHCP address leases что то перемешалось?

eminazeri
Стоит начать с [more=простого]The host 74d5731f-9d88-4141-8bf1-7be7ca18fab3._msdcs.mydomain.com could n
ot be resolved to an
IP address. Check the DNS server, DHCP, server name, etc
Although the Guid DNS name
(74d5731f-9d88-4141-8bf1-7be7ca18fab3._msdcs.mydomain.com) couldn't be
resolved, the server name (dc.mydomain.com) resolved to the IP address
(10.200.0.1) and was pingable. Check that the IP address is
registered correctly with the DNS server.
......................... DC failed test Connectivity [/url].[/more]
Проверьте с помощью оснастки DNS (dnsmgmt.msc), что DNS имени соответствует правильный IP. Проверка показывает, что у вас GUID не пингуется даже.
До динамического обновления, вроде бы, еще далеко. Сорри, что отвечаю с перерывами. Начните с этого.
Ну и [more=это]TEST: Basic (Basc)
Error: No LDAP connectivity
Warning: adapter [00000007] HP NC7761 Gigabit Server Adapter h
as invalid DNS server: 213.172.64.134 (<name unavailable>)
Warning: adapter [00000007] HP NC7761 Gigabit Server Adapter h
as invalid DNS server: 213.172.64.130 (<name unavailable>)
Error: all DNS servers are invalid
Error: The A record for this DC was not found [/more]
исправьте.
По-мне так у вас в DNS написаны IP не тех адаптеров. Но я дааалеко не специалист, так что относитесь скептически.
С групповыми политиками начинайте разбираться ТОЛЬКО после того, как пройдете тест DNS (то есть все будет PASS), ну, кроме, быть может, тестов корневых DNS, если вы сделали у себя внутренний DNS корневым (это, вроде бы, строго не рекомендуестся делать).
От себя вопрос: после включения отладки журналирования GP, у вас в журнале Application появляются отладочные сообщения от Userenv? Их должно быть просто море (если я указал вам на правильную статью). Возможно, там есть еще какой-то ключ в реестре. Забыл... Возможно, такую отладку включает отладка AD.

Последнее, используйте тег [no][more][/more][/no] для помещения больших врезок текста.

помогите пожалуйста. у меня есть групповая политика, которая выдает определенным пользователям определенный статический ip адрес. при этом, на серверах не должен меняться ip адрес. как правильно сделать так, чтобы при входе пользователя на сервер, ip адрес сервера не менялся.

на некоторых компах в домене не применяются политики.. вернее применяются но не все... политики Computer Configuration не применяются... привожу gpresult c компа на котором применяются

--cut--
Программа формирования отчета групповой политики операционной системы
Microsoft (R) Windows (R) XP версии 2.0
(С) Корпорация Майкрософт, 1981-2001

Создано на 26.11.2008 в 12:41:28


RSOP-результаты для xxx\cherednichenko на SEKRETAR : Режим журналирования
------------------------------------------------------------------------------

Тип ОС: Microsoft Windows XP Professional
Конфигурация ОС: Рядовая рабочая станция
Версия ОС: 5.1.2600
Имя домена: xxx
Тип домена: Windows 2000
Имя сайта: Default-First-Site-Name
Перемещаемый профиль:
Локальный профиль: C:\Documents and Settings\cherednichenko
Подключение по медленному каналу?: Нет


Конфигурация компьютера
------------------------
CN=sekretar,OU=hosts,DC=xxx,DC=ru
Последнее применение групповой политики: 26.11.2008 at 12:05:54
Групповая политика была применена с: actived.xxx.ru
Порог медленной связи групповой политики: 500 kbps

Примененные объекты групповой политики
---------------------------------------
firewall off
rdp
startup
Default Domain Policy

Следующие политики GPO не были приняты, поскольку они отфильтрованы
--------------------------------------------------------------------
Политика локальной группы
Фильтрация: Не применяется (пусто)

Компьютер является членом следующих групп безопасности:
-------------------------------------------------------
Администраторы
Все
Пользователи
СЕТЬ
Прошедшие проверку
SEKRETAR$
Компьютеры домена


Конфигурация пользователя
--------------------------
CN=Кристина Чередниченко,OU=yyy,DC=xxx,DC=ru
Последнее применение групповой политики: 26.11.2008 at 12:18:12
Групповая политика была применена с: actived.xxx.ru
Порог медленной связи групповой политики: 500 kbps

Примененные объекты групповой политики
---------------------------------------
public drive o mapping
Default Domain Policy

Следующие политики GPO не были приняты, поскольку они отфильтрованы
--------------------------------------------------------------------
Политика локальной группы
Фильтрация: Не применяется (пусто)

startup on users
Фильтрация: Не применяется (пусто)

Пользователь является членом следующих групп безопасности:
----------------------------------------------------------
Пользователи домена
Все
Администраторы
Пользователи
ИНТЕРАКТИВНЫЕ
Прошедшие проверку
ЛОКАЛЬНЫЕ
xxx
--cut--

и вот с компа на котором не работает...

--cut--
Программа формирования отчета групповой политики операционной системы
Microsoft (R) Windows (R) XP версии 2.0
(С) Корпорация Майкрософт, 1981-2001

Создано на 26.11.2008 в 12:47:04


RSOP-результаты для xxx\aukin на AUKIN : Режим журналирования
------------------------------------------------------------------

Тип ОС: Microsoft Windows XP Professional
Конфигурация ОС: Рядовая рабочая станция
Версия ОС: 5.1.2600
Имя домена: xxx
Тип домена: Windows 2000
Имя сайта: Default-First-Site-Name
Перемещаемый профиль:
Локальный профиль: C:\Documents and Settings\aukin
Подключение по медленному каналу?: Да


Конфигурация компьютера
------------------------
CN=AUKIN,OU=hosts,DC=xxx,DC=ru
Последнее применение групповой политики: 26.11.2008 at 12:23:07
Групповая политика была применена с: Н/Д
Порог медленной связи групповой политики: 500 kbps

Примененные объекты групповой политики
---------------------------------------
Н/Д

Следующие политики GPO не были приняты, поскольку они отфильтрованы
--------------------------------------------------------------------
Политика локальной группы
Фильтрация: Не применяется (пусто)

Компьютер является членом следующих групп безопасности:
-------------------------------------------------------
Администраторы
Все
Прошедшие проверку


Конфигурация пользователя
--------------------------
CN=Алексей Аукин,OU=yyy,DC=xxx,DC=ru
Последнее применение групповой политики: 26.11.2008 at 12:23:52
Групповая политика была применена с: actived.xxx.ru
Порог медленной связи групповой политики: 500 kbps

Примененные объекты групповой политики
---------------------------------------
public drive o mapping
Default Domain Policy

Следующие политики GPO не были приняты, поскольку они отфильтрованы
--------------------------------------------------------------------
Политика локальной группы
Фильтрация: Не применяется (пусто)

startup on users
Фильтрация: Не применяется (пусто)

Пользователь является членом следующих групп безопасности:
----------------------------------------------------------
Пользователи домена
Все
Администраторы
Пользователи
ИНТЕРАКТИВНЫЕ
Прошедшие проверку
ЛОКАЛЬНЫЕ
xxx
--cut--

где копать... спасибо

Добавлено:
очевидно что разница в

на работающем
Компьютер является членом следующих групп безопасности:
-------------------------------------------------------
Администраторы
Все
Пользователи
СЕТЬ
Прошедшие проверку
SEKRETAR$
Компьютеры домена

на неработающем
Компьютер является членом следующих групп безопасности:
-------------------------------------------------------
Администраторы
Все
Прошедшие проверку

но по факту если заходить через
Active Directory Users and Computers и смотреть в свойствах учётки компа то написано что он член группы "Компьютеры домена"

Господа, нужен хелп. Стоит задача: для юзверей в терминале (на тонких клиентах) на серваке настроить доступ к флешкам таким образом: чтобы копировать С ФЛЕШКИ можно было строго В ОПРЕДЕЛЕННУЮ ПАПКУ И ТОЛЬКО В НЕЕ, а НА флешку - с другой, тоже четко определенной папки, и только ИЗ НЕЕ. Я тут начальству сказал, что такое невозможно устроить средствами Винды, но, блин, во-первых, начальство не очень-то мне поверило, а во-вторых - самому интересно!... Может, кто что знает??
Флеши-то я перенаправил с тонких клиентов на сервак, но могу сделать только одно - закрыть или открыть доступ на все папки на запись... ... Буду премного благодарен за любую инфу по этому поводу!

formatBCE с безопасностью в папках поиграй...

Э.... Там ведь можно настроить только безопасность на уровне пользователя, а не УСТРОЙСТВ... Как я папке поставлю разрешение или запрет на запись со съемного устройства???

Ну так сделай группу, помести туда нужных юзеров. Оставь им доступной одну единственную папку с возможностью чтения записи для этой группы, на остальное кислород перекрой.
Но вообще не очень понятно что и для чего именно тебе нужно. Немного подробнее требования распиши, что юзеры на серваке делают(1С?), зачем такие ограничения? Может быть можно будет сделать проще.

Доброго дня.

Вопрос по административным шаблонам.
Как добавить в адм.шаблон значение ключа реестра, содержащее кавычки?

Т.е. имеем ключ реестра со значением

Код: "C:\Program Files\7-Zip\7zFM.exe\" "%1"

Доброго времени суток...
Совсем недавно начал заниматься администрированием AD, возникла такая проблема:
При попытке вывести результирующую политику пользователя на КД выдается такая ошибка: "Оснастке RSoP не удалось перечислить пользователей на выбранном компьютере. Пользователь с указанным именем не существует"

Пользователь точно он-лайн, работает под доменной учеткой.
Причем для этого же пользователя формируется результирующая политика на его компьютер.

Также нет проблем с формированием результирующей политики для администраторов домена.

Информация по развернутому домену: 2 КД(основной и резерв), 2 DNS сервера, репликация проходит нормально...

Подскажите пожалуйста, в чем здесь может быть проблема?

Как применить политики для пользователя из дочернего домена?

У меня в домене есть OU к которой привязана нужная политика, она действует для пользователей из этого OU при входе в мой домен (конкретно на терминал). Теперь появились юзвери из дочернего домена. Я создал группу локальную в этом же OU (с политикой) и в группу запихнул чужих пользователей дочернего домена. Результат -политика не применяется для группы с дочерними пользователями. Как разрешить применение политики.

Вариант добавить руками в безопасность политики разрешение на чтение и исполнение группу CHILD\domainusers не прокатывает. Вариант как то разрешать наследование из моего домена в дочерний (не нашел где) и вставить все эту политику - тоже нельзя - политика должна выполняться тока на моем терминале и для избранных юзверей дочернего домена (группа локальная у меня в домене).

Всем thnx заранее и большой как это решить...

приветствую!

столкнулся с такой проблемкой:
на клиенте добавляю в локальные администраторы доменного пользователя.
после перезагрузки этот пользователь переносится в обыкновенные пользователи.

скрипты дополнительные не висят.
понимаю, что надо где-то копать в политиках

подскажите, чего-нибудь?

Kovryga
тебе надо что бы у юзеров было лок.админовские права на конкретной машине?
а что если добавишь его в группу Administrators, то есть
Start->Programs->Admin Tools->Computer Managment->Подключаешься нужному компьютеру->Local Users and Groups->Groups-> Administrators-> добавляешь нужную учетную запись, который(е) будет(будут) иметь админовские права для этой машины.

так как раз и делаю...
после перезагрузки доменный пользователь удаляется из из группы Админов

Уважаемые знатоки,

Все-таки как сделать политики для пользователей дочернего домена при логине на мой терминал?


Цитата:

Как применить политики для пользователя из дочернего домена?

У меня в домене есть OU к которой привязана нужная политика, она действует для пользователей из этого OU при входе в мой домен (конкретно на терминал). Теперь появились юзвери из дочернего домена. Я создал группу локальную в этом же OU (с политикой) и в группу запихнул чужих пользователей дочернего домена. Результат -политика не применяется для группы с дочерними пользователями. Как разрешить применение политики.

Вариант добавить руками в безопасность политики разрешение на чтение и исполнение группу CHILD\domainusers не прокатывает. Вариант как то разрешать наследование из моего домена в дочерний (не нашел где) и вставить все эту политику - тоже нельзя - политика должна выполняться тока на моем терминале и для избранных юзверей дочернего домена (группа локальная у меня в домене).

Всем thnx заранее и большой как это решить...

Добавлено:
Kovryga

Есть способ политиками назначать админские локальные права на машину какой то группе в AD (и выкидывать всех остальных, кто себя руками добавит вдруг).

Доменная политика (в локальной нет такого), конф.комп - конф. виндовз - параметры безопасности - группы с ограниченным доступом (папка) в ней создать группу administrators и в ее свойствах вписать нужную группу из AD (dom\admins; dom\programers).

При применении политики из компа выкидываются все админы (локальная группа Администраторы) и назначаются вышеуказанные. при выкидывании машины из домена (отмены политики) + 2 перезагрузки - список админов вернется какой был раньше на этой машине - до создания политики.

Чтобы некоторым юзверям (ноутбуков, руководству и тд.) эту политику не распространять - то в безопасности политики (всегда создавать новую политику а не править default) поставить запрет чтения и выполнения для группы BezPolotiki а в нее добавить нужные компы (для отмены).

http://wraxall.blogspot.com/2008/04/disabling-autoruninf-adm-file-for-group.html

Код:
CLASS MACHINE

CATEGORY !!CustomIniFileMapping

POLICY !!DisableAutorunInf
KEYNAME "SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf"
EXPLAIN !!DisableAutorunInf_Explain
VALUENAME ""
VALUEON "@SYS:DisableAutoRun"
VALUEOFF DELETE
END POLICY

END CATEGORY

[strings]
CustomIniFileMapping="Custom Ini File Mapping"
DisableAutorunInf="Map autorun.inf"
DisableAutorunInf_Explain="Maps autorun.inf to DisableAutoRun"

amstudia

Цитата:

Как применить политики для пользователя из дочернего домена?

Попробуйте сделать вот так, как советует Гай Теверовский.
Иными словами, снимите флажок Block Policy Inheritance на объекте дочернего домена. (По умолчанию, наследование политик выключено на дочерних объектах)

Решение было найдено, отвечу сам себе, может пригодится...


Цитата:

amstudia
Цитата:Как применить политики для пользователя из дочернего домена?

Итак,

Задача: Есть сервер терминалов, есть дочерние домены или домены с доверительными отношениями.
Есть политики которые ограничивают некоторых пользователей терминала.

Когда эти ограниченные пользователи в моем корневом домене - к ним применяется политика их OU и все и так хорошо. Воросы начинаются когда ограниченные пользователи в других доменах - к ним политику для терминала надо применять по другому, а именно:

Инструментарий: GPMC.msi (скачивается с MS, требует framework 1.1, можно ставить на XP) и AD - Users&Comp.

Описание: Чтобы применить политики для пользователей дочерних/доверительных доменов, политику надо применять к самому серверу терминалов и включить в ней замыкание (то есть применение блока конф.польз. политики ко всем пользователям в рамках этого выбранного компа).


Порядок работ:

1. Создать OU Terminal Servers (с нему будем крутить политики).
2. Скопировать имеющиеся политики с ограничениями - нужна копия т.к. мы будем у политик менять списки доступа ACL по отношению к тем что уже у нас были раньше.
Копируем политики через gpmc.msc - контейнер Group Policy Objects - на политику пр.кн. копировать - на этот контейнер Group вставить. Скопированная политика вставится как copy of... и ее можно переименовать F2.
3. Скопированные политики применяем к OU (в User&Comp - OU - пр.кн.свойства - гр.политика - добавить - все - выбираем наши.
4. В политиках которые мы скопировали и прикрутили выше включаем замыкание (конф.комп. – адм.шаблоны – система – груп.политики. – режим обработки замыкания - включить).
5. Настраиваем ACL для применения политик, здесь самое интересное! Можно настраивать через User&Comp - OU - пр.кн.свойства - гр.политика - свойства - безопасность, но значительно нагляднее через GPMC - правда через GPMC можно только добавлять группы на чтение/применение, но нельзя ставить запрет - а через безопасность можно запрет на политику.
6. В этот OU запихиваем сервер терминалов и перегружаем его.
Все!

Про 5й пункт и тонкости.

В корневом домене создадим локальную группу Chuzhie_Users, в нее помещаем пользователей из дочернего домена. В корневом домене создаем группу Nashi_Users с супер-доверенными юзверями - для них не будет ограничений, либо это будет domain users вся.

За выполнение политики отвечают две галки в безопасности политики 1) чтение 2) применение. Они всегда и на разрешение политики и на запрет должны ставиться в паре, иначе что-то может не срабатывать (то есть группе (а) разрешено чтение+применение, группе (б) запрещено чтение+применение конкретной политики).

Дальше два варианта:

1) Мы всем пользователям всех доменов (группа прошедшие проверку) ставим применение ограничивающей политики и тогда любой зашедший на терминал видит все обрезанное - что хорошо. И уже потом нужным группам ставим запрет на чтение+применение политики то есть делаем исключения - например группе (Nashi_Users = запрет чтение+применение и тогда на них политика не будет распространяться - они будут видеть нормальный терминал).

2) Обратный вариант: Мы убираем у политики разрешение на Прошедшие проверку вообще (GPMC). Ставим применение политики для Chuzhie_Users и тогда только у них будет обрезанный терминал, у всех остальных нормальный.

3) И теперь тонкость - сам сервер терминалов тоже должен считывать политику (а как же!). Поэтому создаем еще группу Term_SRVs в нее закидываем комп сервер терминалов (компы тоже можно в группы добавлять - кнопка типы объектов при добавлении в группу - и этой группе ставим чтение / применение. В случае 1) это не нужно - там прошедшие проверку уже читают политику. В случае 2) без этого не работает!

PS.
To TCPIP

Цитата:

Block Policy Inheritance

к сожалению не подошел, наследование у дочернего включено (кажется по умолчанию), только политика применялась к OU (дочерний домен с ней не пересекается).

amstudia

Цитата:

к сожалению не подошел, наследование у дочернего включено (кажется по умолчанию)

Ух-ты. Ясно. Спасибо что ответили. Очень интересно!

Добрый день. Ситуация такая:
Если пользователь не состоит в группе администраторов, но ему были добавлены роли администратора, то после перезагрузки сервера эта роль убивается. Как сделать, чтоб этого не происходило. Спасибо!)

shadyflash есть политики вышестоящие или ниже?

Может кто сталкивался с такой проблемой. Хотелось бы реализовать такую схему:
- при входе на контроллер домена использовать логин Domenadmin
- при входе на компьютер пользователя использовать логин Localadmin
Для тестирования в Vmware создал контроллер домена и клиентский комп под ХР. Создал сеть виртуальную (работает, комп видит контроллер, получает с него IP c DHCP). Прочитал это. Далее сделал следующее:
- для GPO домена в ветке Конфигурация компьютера-Конфигурация Windows-Параметры безопасности-Локальные политики-Параметры безопасности для Учетные записи: переименовывать учетную запись администратора задал Domenadmin. Учетные записи: состояние учетной записи "Администратор" поставил включено
- создал OU
- для GPO OU сделал так же, как и для GPO домена, только здесь Учетные записи: переименовывать учетную запись администратора задал Localadmin
- ввел клиентский комп в домен и переместил его в созданное OU, где Учетные записи: переименовывать учетную запись администратора задано Localadmin
Вот далее и непонятки. Если захожу на контроллер, то логин Domenadmin. При входе на клиентский комп должен (ИМХО) срабатывать логин Localadmin. Но этого не происходит, работает логин Domenadmin. Это вот и непонятно мне. Может что не так сделал. Или же эта ветка GPO отрабатывает только на уровне домена. Хотя везде сказано, что такое ограничение наложено на ветку Политики учетных записей.

Есть домен с АД, и есть несколько админов в штате фирмы. Нужно сделать так чтобы только некоторые с админов могли изменять групповую политику, тоесть: как запретить некоторым администраторам изменять групповую политику?

lavren
DACL

veryom

Цитата:

DACL

А можно по подробнее? Что, как и после чего сделать?

lavren

Цитата:

А можно по подробнее? Что, как и после чего сделать?

Загрузите и установите Microsoft Group Policy Management Console SP1 на свой сервер.
А теперь делегируйте права на редактирование/применение/чтение групповой политики, выставив соответствующий Discretionary Access Control List. Тем самым, вы установите, кто из ваших администраторов сможет выполнять конкретные действия с конктретными групповыми политиками или контейнерами Active Directory.

Karlik
Скорее всего, я не до конца понял, что вы хотите, но, возможно, вам стоит попробовать воспользоваться техникой фильтрации пользователей (и локальных администраторов в well-known SID BUILTIN\Administrators) с помощью функционала Restricted group.
Читайте как это можно сделать в следующей статье: Adding a Global Group to the Local Administrators Group
Кроме того, раз вы хотите переименовать ваших администраторов, читайте статью Securing the Local Administrators Group on Every Desktop. Другое дело этого не рекомендуется делать. По простой причине. Бессмысленно. Имя меняется, а идентификатор, по которому собственно и происходит идентификация (SID) - остается прежним. Он же well-known SID.
Если вы все же хотите переименовать администратора, вот еще статьи.
Protecting the Administrator Account
HOW TO: Rename the Administrator and Guest Account in Windows Server 2003
Rename The Administrator Account
Вот неплохой треп на эту тему.
А вот, что Микрософт говорит по поводу переименовываания учетных записей:

Цитата:

We have stopped recommending renaming the account for some time now.
Security by obscurity is never a good idea. If someone wants to find your
admin accounts, they will, no matter what you name them

В списке Baseline Server Hardening процедура переименования учетных записей, тем не менее, все еще присутствует...
Вот неплохая статья по защите сервера: 19 Smart Tips for Securing Active Directory
Вот неплохой пример, объясняющий почему переименовывание учетной записи больше запутывает вас самих, нежели защищает домен. Смотрите, как просто выяснить, была ли переименована учетная запись How Can I Determine if the Local Administrator Account has been Renamed on a Computer?.

подскажи после моих урезок у юзеров не отображаются системные в шрифты в разных программах http://s46.radikal.ru/i113/0901/76/0497c0910cfc.jpg

тупой вопрос........
А где находяться эти групповые политики....... как их найти если есть домен ???
Вот локально знаю - набрал gpedit.msc и вот все политики локальные.....
А де это все находиться ели есть домен ???