» Обсуждение статьи "Групповые политики Active Directory"

Народ спасайте, срочно надо решить такой трабл:
Надо что бы пользователь получал настройки Proxy-сервера в зависимости от того на какую машину он садится.
Пример: зашол User1 в кабинет №5 и у него проксик 192.168.0.1:3128
а зашол он в кабинет №7 у него проксик 192.168.5.24:3128
сейчас настройки IE выдаются через GP>User Configuration>Windows Settings>IE Maintenanse>Connection>Proxy Setings и выдаются для Authenticated Users
если ту же ветку GP пытаться править применяя её например на Domain Computers, то ни чего не применяется!!!

Добавлено:
пробывал щас следующее извращине:
создал GP в которой изменил следующее Computer Configuration>Administrative Template>Windows Components>IE>Make proxy settings per-mashine и Computer Configuration>Administrative Template>Windows Components>IE>Disable changing Proxy settings тобишь сказал что бы не менял настройки прокси для локальной машины( я так думаю ). Эту политику применил к некоторой группе 7Computers в которую включил компы кабинета №7 из AD. за локального админа выставил конфигурацию, далее вошол за User1 и все равно у него настройки по умолчанию для Authenticated Users

Alukardd
Если в сети есть web сервер, проще pac-файл для автоматической настройки прокси написать и на всех компьютерах прописать его URL в сроке автоопределения прокси. А в нем уже по myIpAddress() подставлять разные прокси сервера.

zvAndrey
Web сервера нет. Есть сетка под управление Win 2003 Server, куча XP SP2 клиентов.
На сервак поставлен прокси сервер, для фильтрации контента. Пока я уже говрил что настройки выдаются через ГП. Мне все равно как они будут попадать к конечному юзеру на комп( могу в ГП прописать что через скрипт автонастройки ). И зачем для этого web сервер? в ГП можно тупо путь указать до скрипта автонастройки... Вообщем исходя из твоей заманчивой идеи, я попробую сделать через скрипт, но ПИСАТЬ ТАКОВЫЕ НЕ УМЕЮ. просьба помочь.

Добавлено:
сейчас имею следующее, по скольку с pac я раньше не работал и JavaScript тоже не владею, то глухо в нем 1 строчка
Код: return "PROXY 192.168.0.1:3128"

Alukardd
Вот посмотри на этом сайте пример pac файла, как раз с твоим случаем. В нем должна быть описана функция - function FindProxyForURL(url, host) { } а не просто код скрипта.
www.returnproxy.com - Complex PAC File

Насчет использования обычной шары ничего сказать не могу, по идее должно работать, но сам не проверял.

zvAndrey

Цитата:

Вот посмотри на этом сайте пример pac файла, как раз с твоим случаем. В нем должна быть описана функция - function FindProxyForURL(url, host) { } а не просто код скрипта.
www.returnproxy.com - Complex PAC File

Насчет использования обычной шары ничего сказать не могу, по идее должно работать, но сам не проверял.

По ссылке ни чего нового для себя я не нашол... Всё это я уже видел в инете пока копался. Вопрос остается прежним... мой скрипт точно такой же как и кусок их кода, кусок т.к. остальное мне за ненадобностью пока.
Если есть возможность проверить с обычной шарой, то пожалуйста проверьте заведомо рабочий скрипт, вроде моего.
А как вообще посмотреть текущие настройки прокси сервера, если получаешь их по сценарию? или он просто каждый раз выполняется и ни чего ни где не прописывается?

Alukardd
С шарой работает.
IsInNet - ошибка здесь, должно быть isInNet. В JS функции регистрозависимые.
Поставь вместо return - alert("..."); увидишь результат выполнения.

Добавлено:
Посмотреть результат настроки нельзя, этот скрипт выполняет браузер перед первым соединением.

zvAndrey
ок теперь буду пробывать уже в понедельник(( я токо что удаленно повесил сервак пока химичил( а функция myIPAddress она как правильно пишется? что б уж сразу все точно было)

Alukardd
myIpAddress - В приведенном скрипте правильно написал, а в последнем посте ошибся.

zvAndrey
спс! скрипт работает как надо, чего не могу сказать про групповые политики(((
в настройках указанно что использовать Proxy Auto Configuration указан путь для него, но на деле ни чего не меняется в настройках браузера... т.е. даже галочка не ставится, что использовать сценарий, не то что путь туда не вписывается...

Alukardd
Попробуй включить следующее:
Computer Configuration -> Administrative Templates -> System/Group Policy
* Internet Explorer Maintenance policy processing: Enabled
* Process even if the Group Policy objects have not changed: Enabled

zvAndrey

Цитата:

Попробуй включить следующее:
Computer Configuration -> Administrative Templates -> System/Group Policy
* Internet Explorer Maintenance policy processing: Enabled
* Process even if the Group Policy objects have not changed: Enabled

не помогло, и мне всегда казалось что секция Computer Configuration вообще в AD не пашет...

zvAndrey
закончились идеи?(((

Alukardd
Есть ещё одна, она мне не очень нравится, но на крайний случай подойдет.
С помощью политик прописать в реестре пользователя параметры настройки IE.
Сохрани следующий текст в ADM файл и подключи его к User Configuration \ Administrative Templates
В View|Filter отключи галку показывать только управляемые параметры иначе не увидишь их

[more=IEProxy.adm]
CLASS USER

CATEGORY "Internet Explorer Settings"
POLICY "Internet Explorer Automatic Configuration Settings"
KEYNAME "Software\Microsoft\Windows\CurrentVersion\Internet Settings"
PART "Automatic configuration script" EDITTEXT
VALUENAME "AutoConfigURL"
DEFAULT ""
END PART

PART "Use Proxy Server" CHECKBOX
VALUEON NUMERIC 1
VALUEOFF NUMERIC 0
VALUENAME "ProxyEnable"
END PART
END POLICY

END CATEGORY
[/more]

Введи путь к pac файлу, а Use Proxy Server не включай

zvAndrey
спасибо! кажется и старый способ тоже работает, но только с вновь зарегистрированными пользователями), а твой пашет на ура! спасибо!

Добавлено:
хнык( на PDC поставил не очень функциональный но все же proxy server - "FreeProxy" работает все ок, но мне нужно что бы все остальные прокси сервера работали как тунели с промежуточным контролем на PDC. не знаете чем можно такое организовать? тем же FreeProxy не удалось( запрос проходит сквозь промежуточный проксик и дальше мне его судьба не известна((

Цитата:

мне всегда казалось что секция Computer Configuration вообще в AD не пашет...

совершенно согласен. тоже вот сижу бьюся лбом об стену, почему юзерские настройки применяются, а компьютерные нет

Что бы политики действовали на компьютеры домена их (компьютеры) необходимо перемещать в соответствующие UO, а не хранить в дефолтном Computers

PS политики работают на 100%

Появилась проблема одновременного использования 2х прокси серверов на базе ms isa 2006 с разделением по времени. Т.е., например, в рабочее время с 8 до 18 используется прокси на proxy1:8080, а в нерабочее время с 18 и до 8 утра используется proxy2:8080
для решения задачи используем test.pac файл автоматического определения параметров прокси. Содержание test.pac следующее.

function FindProxyForURL(url, host)
{

if (timeRange(8, 18)) {return "PROXY c001-pr-04:8080";}
else {return "PROXY c001-pr-01:8080";}

}

вопрос по использованию функции timeRange(). Какие бы переменные не задавались в качестве переменных, даже timeRange(1, 23), все равно браузер идет через PROXY c001-pr-01:8080.
Для проверки использовал pactester от google http://code.google.com/p/pactester/, он возвращает верный прокси, т.е. PROXY c001-pr-04:8080
Возможно ли какое-то решение?

Может, ссылки на картинки подправите? А то большая часть картинок в статьях не отображается.

Как открыть доступ к прокси на локальной машине которая в домене, в политиках домене стоит запрет на смену прокси. "Некоторыми параметрами управляем системный администратор" - ниже кнопки настройки сети данное сообщение.

Добрый день.

Пожалуйста, помогите принять решение.

Есть центральная сеть предприятия (около 100 компьютеров). В сети поднят домен. Все прекрасно работает.
Есть около 20 удаленных точек. На каждой от 2 до 5 компьютеров. Связь между центром и точками через интернет. Считаем, что VPN и маршрутизация отстроена и компы всех точек спокойно видят друг-друга и центр, а центр в свою очередь видит все удаленные компы.
В групповых политиках есть ряд настроек. В том числе установка программного обеспечения и др. Не суть важно.
В данный момент все компы удаленных точек заведены в домен. Все работает нормально и, в принципе, устраивает.
Но недавно вылезла проблема, которая требует срочного решения. Если пропадает связь между удаленной точкой и центром, т.е. удаленные компьютеры не видят контроллер домена, то в удаленных точках стопорится вся работа: внутри одной удаленной точки становится невозможным вход в расшаренные папки других компьютеров этой же точки. Хотя залогинится пользователю на компе дает и без контроллера.
Подскажите, такое поведение нормально? Должна ли операционка блокировать доступ к расшаренной папке с разрешением Все Полный доступ, если она не видит контроллер домена? Можно ли это полечить?

Ну, и встал идеалогический вопрос: правильный ли, вообще, подход к организации сети выбран? Конечно, идеально было бы в каждой подсетке поднять свой дополнительный контроллер домена, но это не целесообразно для подсети из двух компьютеров. Да и дорого. Можно ли обойтись клиентскими операционками? А может нет другого варианта, кроме как рабочая группа?

Короче, нужны советы гуру.

Вопрос сначала разместил в отдельной теме, но потом наткнулся на эту тему: похоже, надо было писать сюда.

Max_Tarasov
как я понял,
Цитата:

блокировать доступ к расшаренной папке

это значит при попытке зайти на "шару" выскакивает стандартное окно для указания логина и пароля? Можно обойти, как я думаю, разблокировав учётку "Гость" на этом удаленном компьютере, который не подпускает к себе, и дополнительно подкрутив в Локальной политике безопасности параметр "Отказ в доступе к компьютеру по сети" - тут надо убрать гостя, да собственно, всех убрать из этого поля. А в "Разрешить доступ к компьютеру из сети" добавить "Гостя".

Цитата:

Можно обойти, как я думаю, разблокировав учётку "Гость"

Так пробовал, но не помогло.

Max_Tarasov
Цитата:

Так пробовал, но не помогло.

Подкручивание локальной политики имело место?

Цитата:

Подкручивание локальной политики имело место?

Гость включен, безопасность исправлена, применение анонимных ко всем включено, модель доступа - гостевая.

Тогда я опускаю руки. Если появятся ещё какие-то соображения, то сообщу.

Где можно найти первую статью? Здесь она не грузится что-то...

Цитата:

Где можно найти первую статью? Здесь она не грузится что-то...

Присоединяюсь к вопросу, может есть ссылки на другие места?

+ присоединяюсь... где статья то первая? )

Где разрешить опытному пользователю запуск программ из командной строки?

Цитата:

Где можно найти первую статью? Здесь она не грузится что-то...

Вообще весь сайт ru-board.com перестал грузиться. Перекидывает на форум. Что случилось?