» Обсуждение статьи "Групповые политики Active Directory"

Imko, Домен вроде бы называеться is-panchbuh.lan поэтому вряд ли он конфликтует с внешним именем. А инет да раздаеться исой...

Кстати может в этом все проблема.

У меня есть контроллер домена 172,23,5,100

Есть другой физический сервер интернета 172.23.5.151.

По дхцп клиентам раздаються адреса причем в качестве шлюза и днс сервера раздаеться адресс другого сервера который с ISA 2004 (172.23.5.151).

получаеться днс-сервером для пользователей являеться отнюдь не ДС а шлюз. Может в этом косяк? И если так, то чтото не могу сообразить как это исправить...

Привет to all!!!
прошу у Вас совета!
в компании настроен домен. в сети около 100 компов из них 30 ноутбуков.
проблема состоит в том,что сотрудники с ноутбуками постоянно уезжают на объекты и не могут там локально подключить принтер "недостаточно полномочий,обратитесь к сисадмину" для чего вызывают Админа т.е. меня. вчера весь день провел в поиске решения,но так и нашел.
как быть в такой ситуации?

lypky
теоритически DNS и ISA на одном сервере должны работать (есть же решения типа SBS - там все в одном флаконе)
Практически, я с такой структурой не сталкивался, поэтому - хз.
если еще вспомнить , что ISA в первую очередь закрывает себя любимую, то возможно что нужно прописывать на ISA отдельное правило работы внутренней сети с DNS, расположенной на сервере вместе с ISA.
ИЛИ (как вариант) установить DNS на серврер с контролером домена.
DNS лучше ставить через мастер manager your server (это лежит в administrative tools).
Мастер поставить DNS и проведет синхронизацию данных с уже имеющимся DNS.
(потребует перезагрузки).
Старый DNS пока не отключаем.
потом зайти на DHCP сервер и в настройках DHCP установить новый адрес DNS.
далее поудалять все выданные в аренду адреса
Естественно все это делается в нерабочее время.
потом смотрим как все работает в течении недели
Если все ОК, останавливае DNS который вместе с ISA.
ждем еще 2 недели, если все хорошо , тогда DNS можно совсем удалить (через тот же мастер), а лучше оставить в нерабочем состоянии как резервный.

BDO
ну что я могу посоветовать...
если список возможных локальных принтеров конечен, то сразу проставить все эти принтеры на всех ноутбуках.
или придется подымать права пользователей , что не очень хорошо.
локальная группа power user имеет расширенные права и по-моему права установки принтеров и программ (возможно не всех)

Imko
а по другому никак что ли?
права поднимать как то не очень охота...
а группа Power Users же локальная,её никак не привинтишь к доменному пользователю...

BDO
зайти на каждый ноутбук под администратором домена, и занести в локальную группу PowerUsers доменого пользователя, который работает с этим ноутбоком.
Это же действие можно сделать и удалено через консоль Manage или Управление.
далее подсоединяемся к удаленому компу и работаем с локальными группами.

можно все сделать и по другому - вариантов много
все зависит от топологии сети в офисе и филиалах.
кому принадлежат эти "объекты"? входят ли они в домен?
откуда там появляется локальный принтер?
каким образом командированные входят удаленно в домен и входят ли вообще?
Вариантов много - можно сделать канал VPN Site-to-Site и работать с сетевыми принтерами.

Самый простой вариант: тупо купить и поставить на объектах одинаковые принтеры,
и один раз установить локальный принтер на ноутбуках.
я для этих целей рекомендовал бы лазерники hp. а модель - смотрите сами - это зависит от объема.
В последующем можно обновлять модельный ряд принтеров, но только нужно брать принтеры того же производителя.
Ну например: у меня был сетевой Lj1100, когда он сдох , поставил LJ-P2015, так я даже драйвера не менял: нормально печатает, аврально переставлять принтер пользователям не нужно.
но конечно уже дуплексом на воспользуешься , поскольку в 1100 такого нет.
можно потом проставть параллельно новый драйвер и новую очередь и в фоновом режиме переставить его пользователям.

BDO

попробуй подключать по VB. сразу все и все, что наждо, создай несколько файлов, с заданными наборами принтеров, всем покидай в автозагрузку и забудь про принтеры.
\\CompName\c$\Documents and Settings\All Users\Start Menu\Programs\Startup
я бросаю сюда файлик net_use_printer_HP_LJ_4200_CPPN.vbs с таким контентом:

strComputer = "."
Set objWMIService = GetObject _
("winmgmts:" & "!\\" & strComputer & "\root\cimv2")
Set colAdapters = objWMIService.ExecQuery _
("Select * from Win32_NetworkAdapterConfiguration Where IPEnabled = True")
A = 0
'
' Проверка, не на сервере ли запускаем, надо свой ДНС
For Each objAdapter in colAdapters
if objAdapter.DNSHostName = "192.168.142.2" or objAdapter.DNSHostName = "192.168.142.2" then
    A = 1
End If
Next
'
' Подключаем нужный принтер
if A = 0 then
    Set WshNetwork = CreateObject("WScript.Network")
    WshNetwork.AddWindowsPrinterConnection "\\srvsm1\HP_LJ_4200"
'
'Подключаем второй принтер
    Set WshNetwork = CreateObject("WScript.Network")
    WshNetwork.AddWindowsPrinterConnection "\\aksh-cppn-opera\HPLJ1200_CPPN"
'
'если (не)надо принтер по-умолчанию то (не)надо убрать апостроф в следующей строке
WSHNetwork.SetDefaultPrinter "\\aksh-cppn-opera\HPLJ1200_CPPN"
End If

Цитата:

зайти на каждый ноутбук под администратором домена, и занести в локальную группу PowerUsers доменого пользователя, который работает с этим ноутбоком.
Это же действие можно сделать и удалено через консоль Manage или Управление.
далее подсоединяемся к удаленому компу и работаем с локальными группами.

или у меня что то с глазами,или доменный пользователь не отражается в оснастке "Управление компьютером" во вкладке "Пользователи". так как его добавить в локальную группу?


Цитата:

можно все сделать и по другому - вариантов много
все зависит от топологии сети в офисе и филиалах.
кому принадлежат эти "объекты"? входят ли они в домен?
откуда там появляется локальный принтер?
каким образом командированные входят удаленно в домен и входят ли вообще?
Вариантов много - можно сделать канал VPN Site-to-Site и работать с сетевыми принтерами.

дело в том,что это не филиалы компании,а объекты,т.е. сторонние фирмы. к ним и выезжают наши сотрудники. принтеры находятся там же.
удалено в домен не входят.

склоняюсь к самому простому варианту,думаю так и буду делать или буду требовать,что бы фирмы организовывали доступ к сетевому принтеру...

спасибо за содержательный ответ...

но вот интересно,почему Майкрософт не предусмотрел разрешение на подключение устройств с помощью GPO

Добавлено:
roman n1

спасибо за скрипт,очень нужная вешь,но обсуждаем же подключение локального принтера...

BDO

Цитата:

или у меня что то с глазами,или доменный пользователь не отражается в оснастке "Управление компьютером" во вкладке "Пользователи". так как его добавить в локальную группу?

конечно, доменный пользователь не будет отражаться в вкладке Пользователи локального компа. С чего бы это ему там быть. Во вкладке Пользователи сидят локальные учетные записи (сделайте эксперемент: создайте локально нового пользователя, имя которого не совпадает ни с одним доменным пользователем. А затем попробуйте зайти на этот же комп: сначала в домен, а потом в локальный комп. В домен Вас не пустят, а локально пустит, только сетевых ресурсов не будет, пока не пройдете доменный авторизацию)
Я же говорил о группе PowerUsers.
1. заходим на комп под доменным администратором (не под локальным)
2. заходим в группу PowerUsers
3. нажимаем кнопку Add
4. пишем имя доменного пользователя или его первые буквы
5. в строке location должен стоять домен (если туда проставить локальный комп, то поиск будет идти среди учетных записях локального компа)

PS а Вас, случайно так, не стоят ли на ноутах win XP Home или XP MediaCenter? у этих двух ОС проблемы с нормальной работой в домене.

Imko

так,с добавлением пользователя в группу разобрался,но вот все равно не работает.
при подключении принтера,выдаёт что нужны права админа.
какие ещё мысли будуть?

Добавлено:

Цитата:

PS а Вас, случайно так, не стоят ли на ноутах win XP Home или XP MediaCenter? у этих двух ОС проблемы с нормальной работой в домене.

нет,операционки стоят ХР Профешнал...

BDO
ну тогда нужно либо повышать права пользователей до локальных админитсратров
либо сделать заготовки: (основных видов принтеров не так много) проставить основные принтеры те что попроще - более сложные модели того же производителя должны понять язык печати от более простого (hp Lj 1050, hp dj, epson epl, epson stylus
этот вариант муторный и сбойный
может рассмотреть использование флешек
пользователь готовит документ на ноуте, затем переносит на флешку, потом идет с флешкой к местному компу с принтером и оттуда печатает
еще вариант каждому владельцу ноутбука купить по принтеру - пускай с собой возят ))
есть спецальные компактные модели для ноутов - например у canon
правда получаются дорогие отпечатки

Комрады, не набрал я ещё сил в AD, могли бы помочь советом...:

Стоит новый контроллер домена zuza(win2003) с ip 192.168.0.1

Делаю для пользователя папку, оставляю ему там права доступа
Завожу пользователя в домен zuza, завожу ему учётную запись, стоящую в группе пользователей домена. Перезагружаю, и вхожу в домен.


Далее коллизия:
1. Пользователь заходит по ip \\192.168.0.1 и нормально попадает в папку.
2. Пользователь заходит по имени zuza.local и его в папку уже не пускает!


Ошибка
"Нет доступа к \\zuza.local\zuza. Возможно, у вас нет прав на использование этого сетевого ресурса. Обратитесь к администратору этого сервера для получения соответствующих прав доступа.

Не удалось получить данные о конфигурации от контроллера домена. Либо он отключен, либо к нему нет доступа."

з.ю. так-же и с моей учётной записью админа.

Les1at
Попробуй обратится сюда.
А вообще у меня ощущение, что у Вас проблемы с DNS.

Спасиб, ща обращусь.... знать бы поконкретнее с днс что , вроде всё пингуется и резолвится...ан не работает.

vvlasub
Цитата:

обходит все машины не очень приятно
тогда как удалить(выключить) всех локальных пользователей через скрипт

Попробуйте следующее

Код:

strComputer = "ComputerName"

Set colAccounts = GetObject("WinNT://" & strComputer & "")
colAccounts.Filter = Array("user")

For Each objUser In colAccounts
If objUser.Name <> "Administrator" Then
colAccounts.Delete "user", objUser.Name
End If
Next

старшие коллеги, из за чего может быть, что GPO не выполняется ?
Структура и ситуация такая:
На VMWare поднят W2k3 и Winx XP pro SP2. На W2k3 подят DNS, DHCP, AD и IIS.
AD настрил, и гостевой WIND XP ввел в домен ! все прошел БЕЗ никакого ошибки, как надо.
И вот хотел развертовывать ПО, все делал как на видео-уроке, расшарил папку, скопировал туда .msi файл, в GPO сделал запись, показал сетевой путь (как надо).
перезагрузил гостевой клиент, зашел домен, но 0 прогресса, ничего не установился (в AD имеется и уч.запись пользователья и компьютера)
Думал наверно .msi файл испорчен или что то в этом роде.
решил просто в политиках OU "поиграть", опять в политиках отключил пользовательям CONTROL PANEL, заного все перезагрузил и зашол опять в домен и свободно смог зайти Contorl panel (((( и уже окончательно убедился, что не выполняется GPO, по этому решил обратится к вам за помошью.

contrafack
gpupdate /force
rsop.msc


Цитата:

Вопросы по AD GP следует задавать в теме "Групповые политики (Group Policy, GPO): документация, ссылки".
В данной теме производится только обсуждение статьи.

lypky

Цитата:

получаеться днс-сервером для пользователей являеться отнюдь не ДС а шлюз. Может в этом косяк? И если так, то чтото не могу сообразить как это исправить...

насчет этого могу сказать следующее - проверьте разрешение имен на клиентах.
какие настройки dns сервера на исе? он хранит внутренюю(Вашу) зону.

даже интересно. есть у нас в домене группа менеджеров продаж оборудования. вот надо им на всем принудительно на рабочий стол поставить через AD обои вида "скока ты продал принтеров сегодня?"

никак не могу найти где это сделать только для одной группы в AD...

помогите плз.

Добавлено:
всё, спасибо, уже разобрался.

Господа, приветствую!
Помогите разобраться, пожалуйста! Я создаю правило для хеша, блокирую майл агента. Но вместе с этим у пользователей не работает автокад и некоторые программы ещё. Сервер 2003, клиеты WinXP.

Статья отличная. Однако мне непонятно одно:
"Будет ли работать групповая политика OU для пользователя, если компьютер с которого пользователь вхдит в локальную сеть отсутствует в контроллере домейна?"
Спасибо.

у меня в AD пропала группа "опытные пользователи". После чего пропала не знаю. Игрался с групповыми политиками, потом все восстановил с помощью "dcgpofix /target:domain" "dcgpofix /target:dc" и "dcgpofix /target:both" . группа так и не появилась...Группа с таким же именем создается без проблем, но без нужных прав. Как ее можно восстановить?

Подскажите как сделать так чтобы на клиентской машине в домене не накатывались определенные политики. Как правило это скрипты .js. Например скрипт удаления локальных доменных админов и добавления нужных для домена админов (скрипт есть в наличии).

Помогите с проблемкой, происходит частичное применение политики...
настроил разные ограничения они пашут, а вот настройка квот не работает... если зайти под админом то естественно вручную добавить можно... но оббегать 100 машинок несерьёзно
может что не так делаю, просто если локально настраивать там есть галочка не давать записывать при достижении квоты, в GPO этого нет

vfksi
у тебя везде NTFS?

agagik

Цитата:

"Будет ли работать групповая политика OU для пользователя, если компьютер с которого пользователь вхдит в локальную сеть отсутствует в контроллере домейна?"

Если этот компьютер не входит в домен (и никогда до этого не входил), то не только групповая политика работать не будет, но и пользователь домена в систему никак не войдет. Подумай сам: как система узнает, кто хочет войти? Смогут войти только локальные пользователи, данные о которых хранятся локально в системе.


violant

Цитата:

Подскажите как сделать так чтобы на клиентской машине в домене не накатывались определенные политики. Как правило это скрипты .js.

Например, при помощи групп безопасности. Создаешь группу, включающую компьютеры, на которых должны выполнятся скрипты, а затем разрешаешь чтение групповой политики этой группе.

razernov, такой группы Builtin не существует в АДу. Это локальная группа. Очевидно, эта группа у тебя исчезла либо после повышения сервера до АД сервера, либо это была не Builtin группа.

sLap

Цитата:

vfksi
у тебя везде NTFS?

нет у нас труктура разбития такая
1) C: Fat32 2Гб загрузочный с дистрибом винды при сбое можно грузануться с него и переставить систему
2) D: NTFS 8гиг - тут система стоит
3) E: NTFS оставшееся место - под хранилище

Что имеем.
Сервер на Win2003ser и 15 компьютеров на WinXPprof. Включаем в эту сеть еще один дополнительный комп, прописываем его в Active Directory на сервере, включаем его в домен, что и все остальные компьютеры, все работает.
В чем проблема.
После добавление этого компьютера в домен ему и всем остальным применяется политика безопасности, которая находиться на Сервере. Проблема в следующем. На некоторых компьютерах нет ни где сетевого подключения, ни в папке, ни в трее, но сеть и интернет есть. Где это исправить, на сервере в групповой политики все параметры пишет, что не заданы. И на всех компьютерах нельзя устанавливать программы которые используют службу Windows Installer, причем когда заходишь в эту службу то она работает нормально, а когда переходишь в вкладку зависимости, на любой службе, то выдает сообщение что: "Win32: Отказано в доступе", как это исправить и где???
Если что-то не понятно пишите, попытаюсь более подробно описать. Спасибо.

macromedia23
где-то при настройке AD накосякал..
попробуй посмотреть вот этим
http://www.microsoft.com/downloads/details.aspx?FamilyId=0A6D4C24-8CBD-4B35-9272-DD3CBFC81887&displaylang=en

Добавлено:
а вобще странно всё это.. чтоб вобще не было видно сетевого подключения... странно

sLap
Причем когда я выхожу из домена, все появляется.