» Обсуждение статьи "Групповые политики Active Directory"

друзья, а как исключить одного пользователя домена из применения групповой политики? Настроена групповая политика пользователя на загрузку сценария на вход.. нужно, чтоб к одному пользователю эта политика не применялась. как исключить?


РЕШИЛ САМ

XP:
У подписей иконок на рабочем столе фон стал непрозрачным. Active desktop отключен, Lock web items не стоит, галка Icons drop shadow стоит, Disallow wallpaper change - disabled. В чем еще проблема может быть?

при запуске утилиты dcgpofix происходит следующее:
не удается прочитать сертификаты EFS из файла Registry.pol в default domain police. Ошибка: в систему не произведен: выбранный режим входа для данного пользователя на этом компьютере не предусмотрен.

Что с этим делать, кто может подсказать? И еще, в оснастке редактор групповых политик окрываю доменную политику, а там только дерево этой политики, а самих параметров нет вообще. Это из той же оперы, наверное. Как с этим бороться? Заранее благодарен. Да, еще, у меня журнал событий "приложения" весь красный от ошибок 1030 и 1058.

Подскажите где и как настроить групповую политику (интересует именно название параметра , где находится), что бы пользователи домена не могли входить под своей учеткой на разных компах. По умолчанию в моем случае каждый пользователь на своем рабочем месте занесен в группу админы или опытный польз. , имеет возможность устанавливать софт, но при этом пользователь под своей учеткой может зайти на машину к соседу, но с правами гостя, при этом создается новый рабочий стол.
Как запретить вход, когда пользователь НЕ занесен в гр. админы или оптн.польз.?

Народ! Поскажите, пожалуйста, как заставить программу gpupdate работать!
Дело в том, что после установки обновлений от Microsoft (все недостающие, которые выявил MBSA 2.0) на локальные машины, на некоторых из них выполнение команды gpupdate или gpupdate /force идет бесконечно долго (утром поставил на выполнение, и спустя 4-5 часов по-прежнему пишет "Обновление политики..."). А на других машинах, даже после обновлений, всё работает как и должно.

Что можно сделать?

Уважаемые, помогите разобраться в результатах утилиты netdiag. Все ли тут в порядке, если нет, то скажите где ошибки и как их можно исправить!!!

Computer Name: SERVER
DNS Host Name: server.dpf.net
System info : Windows 2000 Server (Build 3790)
Processor : x86 Family 15 Model 47 Stepping 2, AuthenticAMD
List of installed hotfixes :
Q147222

Netcard queries test . . . . . . . : Passed
[WARNING] The net card 'RAS асинхронный адаптер' may not be working because it has not received any packets.
GetStats failed for 'Прямой параллельный порт'. [ERROR_NOT_SUPPORTED]
GetStats failed for 'Минипорт WAN (PPTP)'. [ERROR_NOT_SUPPORTED]
GetStats failed for 'Минипорт WAN (PPPoE)'. [ERROR_NOT_SUPPORTED]
[WARNING] The net card 'Минипорт WAN (IP)' may not be working because it has not received any packets.
GetStats failed for 'Минипорт WAN (L2TP)'. [ERROR_NOT_SUPPORTED]

Per interface results:

Adapter : Подключение по локальной сети

Netcard queries test . . . : Passed

Host Name. . . . . . . . . : server
IP Address . . . . . . . . : 192.168.1.15
Subnet Mask. . . . . . . . : 255.255.255.0
Default Gateway. . . . . . :
Dns Servers. . . . . . . . : 192.168.1.15

AutoConfiguration results. . . . . . : Passed

Default gateway test . . . : Skipped
[WARNING] No gateways defined for this adapter.

NetBT name test. . . . . . : Passed
[WARNING] At least one of the <00> 'WorkStation Service', <03> 'Messenger Service', <20> 'WINS' names is missing.
No remote names have been found.

WINS service test. . . . . : Skipped
There are no WINS servers configured for this interface.

Adapter : {4767F97D-9D64-4E55-89A4-F347850C3D2F}

Netcard queries test . . . : Passed

Host Name. . . . . . . . . : server
IP Address . . . . . . . . : 192.168.44.16
Subnet Mask. . . . . . . . : 255.255.255.255
Default Gateway. . . . . . : 192.168.44.16
NetBIOS over Tcpip . . . . : Disabled
Dns Servers. . . . . . . . : 213.179.247.178
213.179.247.178


AutoConfiguration results. . . . . . : Passed

Default gateway test . . . : Passed

NetBT name test. . . . . . : Skipped
NetBT is disabled on this interface. [Test skipped]

WINS service test. . . . . : Skipped
NetBT is disable on this interface. [Test skipped].


Global results:


Domain membership test . . . . . . : Passed


NetBT transports test. . . . . . . : Passed
List of NetBt transports currently configured:
NetBT_Tcpip_{504E9786-DCC8-42F5-95A1-8D1AF1A3D7E0}
1 NetBt transport currently configured.


Autonet address test . . . . . . . : Passed


IP loopback ping test. . . . . . . : Passed


Default gateway test . . . . . . . : Passed


NetBT name test. . . . . . . . . . : Passed
[WARNING] You don't have a single interface with the <00> 'WorkStation Service', <03> 'Messenger Service', <20> 'WINS' names defined.


Winsock test . . . . . . . . . . . : Passed


DNS test . . . . . . . . . . . . . : Passed
PASS - All the DNS entries for DC are registered on DNS server '192.168.1.15'.
[WARNING] The DNS entries for this DC are not registered correctly on
DNS server '213.179.247.178'. Please wait for 30 minutes for DNS server replication.


Redir and Browser test . . . . . . : Passed
List of NetBt transports currently bound to the Redir
NetBT_Tcpip_{504E9786-DCC8-42F5-95A1-8D1AF1A3D7E0}
The redir is bound to 1 NetBt transport.

List of NetBt transports currently bound to the browser
NetBT_Tcpip_{504E9786-DCC8-42F5-95A1-8D1AF1A3D7E0}
The browser is bound to 1 NetBt transport.


DC discovery test. . . . . . . . . : Passed


DC list test . . . . . . . . . . . : Passed


Trust relationship test. . . . . . : Skipped


Kerberos test. . . . . . . . . . . : Passed


LDAP test. . . . . . . . . . . . . : Passed


Bindings test. . . . . . . . . . . : Passed


WAN configuration test . . . . . . : Passed
Entry Name: 192.168.17.11
Device Type: Framing protocol : PPP
LCP Extensions : Enabled
Software Compression : Enabled
Network protocols :
TCP/IP
IP Address : Server Assigned
Name Server: Server Assigned
IP Header compression : Enabled
Use default gateway on remote network : Enabled

    Connection Statistics:
    Bytes Transmitted : 92492417
    Bytes Received : 700803426
    Frames Transmitted : 634481
    Frames Received : 677682
    CRC Errors : 677682
    Timeout Errors : 0
    Alignment Errors : 0
    H/W Overrun Errors : 170
    Framing Errors : 0
    Buffer Overrun Errors : 0
    Compression Ratio In : 2
    Compression Ratio Out : 11
    Baud Rate ( Bps ) : 115200
    Connection Duration : 94820641


Modem diagnostics test . . . . . . : Passed

IP Security test . . . . . . . . . : Skipped

Note: run "netsh ipsec dynamic show /?" for more detailed information


The command completed successfully

nikikoko


Цитата:

Народ! Поскажите, пожалуйста, как заставить программу gpupdate работать!
Дело в том, что после установки обновлений от Microsoft (все недостающие, которые выявил MBSA 2.0) на локальные машины, на некоторых из них выполнение команды gpupdate или gpupdate /force идет бесконечно долго (утром поставил на выполнение, и спустя 4-5 часов по-прежнему пишет "Обновление политики..."). А на других машинах, даже после обновлений, всё работает как и должно.

Что можно сделать?

Она у тебя уже заработала, токо боюсь ты мог завалить сервак. Смотря скоко у тебя обновлдений насчиталось и смотря скоко компов в сети. Ты использовал ключ /force вот и получай. все твои компы ринулись на сервер и все дерут себе обновления. Вот и подумай, что будет. Обновления лучше делать частями, не всем компам сразу. Например сделать OU (надеюсь объяснять не надо, что это). Туда поместить часть компов и на них накатить....

nikikoko

Цитата:

утром поставил на выполнение, и спустя 4-5 часов по-прежнему пишет "Обновление политики..."

Что в эвентлоге этих машин?
m2a

Цитата:

боюсь ты мог завалить сервак.

Цитата:

Ты использовал ключ /force вот и получай.

оооооо
иногда лучше жевать, чем говорить (с)


Цитата:

надеюсь объяснять не надо, что это

прежде чем кому-то что-то объяснять, нужно самому обладать хотя бы минимальными знаниями о предмете.

G14
гы... видно ты жевал, когда я говорил.... раз уж челу ничо не сказал сразу. Книжки листал лихорадочно?..... ))))))))))))))))))))))) или скал подходящую "цитату" в разделе?? ))))))))))))))))))))))).
Какую инфу чел предоставил - на то и получил ответ.

nikikoko
скорее всего проверить настройки днс...

Никто не сталкивался:
после ввода в домен (2003AD) на клиентских компах (XP SP2) переодически (раз в 2-5 минут) пропадает фокус окна... допустим окно MS Word активно, юзер печатает текст, затем на 2-3 секунды оно перестает быть активным, и потом опять активируется... В итоге у юзера лажа с текстом. Причем такая ерунда не только с word...

В event log'e все гладко. Политики обновляются раз в 30 минут.
Из-за чего такое может быть?

ДНС функционирует нормально, обновление записей работают. DHCP - тоже работает, параметры 003, 006, 015, 044, 046 настроены.

Команда gpupdate "зависает" только на локальных машинах. Из 22 компов, на 2-их работает как должна. На серваке тоже всё работает. Обновления устанавливались для локальных операционных систем, а не для групповой политики, поэтому по сетке с сервака компы ничего не получают и не виснут.

В логах локальных машин выполнение команды gpupdate не отражается. Сгенерировал result policy через MS GPMC, на тех компах, где "зависает" gpupdate, пишет статус применения Security Settings как "In progress" с желтым восклицательным знаком.

Сервер и AD работают нормально.

У кого-нибудь была похожая ситуация с gpupdate?

Цитата:

В логах локальных машин выполнение команды gpupdate не отражается.

А ошибки, связанные с работой компьютера в домене отражаются?
Что дает запущеная из под администратора домена (через runas) команда dcdiag /s:имя_контроллера_домена ?

Команда dcdiag /s:master, где "master" - имя контроллера домена, запускает серию тестов. Все они, как на локальной машине с "подвисающей" командой gpupdate, так и на контроллере, успешно пройдены (везде написано "passed").

Народ, подскажите, что происходит с gpupdate?

А все-таки есть ли возможность локально настроить рабочую станцию xp, являющуюся членом домена с AD (win2003) так, чтобы групповые политки на ней игнорировались? Насколько могу судить об этом, сделать этого нельзя, но вдруг я ошибаюсь?

vskr
ИМХО это возможно только отключением от сервера (физически, или фаерволом).

Добавлено:
з\ы - ..надеюсь, вопрос о взломе ActiveDirectory рассматриваться не будет

Отключение станции от сервера не рассматривается (какая же это станция без сетки?). Файервол, боюсь, столь избирательно тоже не настроить. AD "ломать" мы тоже не будем - проще уж пароль одного из админов добыть.
В общем, "беспредельничать" не хочется, и вполне бы устроила тонкая настройка станции.

Объекты GPO обладают свойствами наследования в Active Directory и накопления. Они также влияют на все компьютеры и на всех пользователей в соответствующем контейнере Active Directory. На клиентских компьютерах Windows 2000 Windows ХР Professional или Windows Server 2003 объекты GPO обрабатываются в следующ порядке.
1. Локальный объект Group Policy (LGPO), конфигурируемый на уровне отдельной машины.
2. GPO, присоединенные к сайтам.
3. GPO, присоединенные к доменам.
4. GPO, присоединенные к организационным единицам (OU).
a) GPO, присоединенные к родительским OU.
b) GPO, присоединенные к дочерним OU.
c) GPO, присоединенные к дочерним OU внутри этих дочерних OU, и т.д. до максимального уровня вложенности (в Active Directory допускается до 64 уровней).
Таким образом, первые настройки, применяемые при загрузке или входе, берутся из локального объекта (LGPO), который вы конфигурируете на уровне отдельной машины.

Глава 22. Использование Group Policy, с. 702-703

Microsoft Windows Server 2003. Полное руководство. /Пер. с англ., - М.:Издательство "СП ЭКОМ", 2004. - 896с.: ил.

Цитата:

Таким образом, первые настройки, применяемые при загрузке или входе, берутся из локального объекта (LGPO), который вы конфигурируете на уровне отдельной машины.

ну да, а затем она "перебивается" более приоритетной

Цитата:

GPO, присоединенные к организационным единицам (OU).

Добавлено:

Цитата:

Файервол, боюсь, столь избирательно тоже не настроить.

Отчего же - заблокировать весь трафик от IP с DC, ..но это чревато тем что вы просто не сможете залогиниться, т.к. "негде" (домен то фаерволом заблокирован)

друзья, а как через GPO удалить на рабочих станциях ветку реестра?

помогите решить проблему плиз.
мониторы компов в домене отрубаются по умолчанию через 20 минут.
как можно через active derictory решить проблему?
как запретить выключение?

Через AD низя кажись, там только защставку и время срабатывания можно, а так.... надо найти ключ реестра, который за это отвечает и с помощью скрипта при входе пользователя в систему можно разок запустить.

Добавлено:
ccna

Цитата:

друзья, а как через GPO удалить на рабочих станциях ветку реестра?

напиши батник, гду будет удалятся нужная ветка и запускай через групповые политики при входе, например.

создал политику запретил запуск допустим opera.exe , все ок с рабочего стола не запускается, с ярлыка не запускается через пуск программы не запускается.. типа все ок...
запускай Фар Манагер - с него Opera.exe запускается в лет,
деинсталлирую инсталлирую Opery , в процессе инсталляции ставлю галочку запустить Оперу после установки.. и что ?? запускается ВЛЕТ ... как понять !!! ???
P.S. AD на Windows 2003 , клиенты Win XP

ПО случайности удалил DC из списка *Computers* в AD в следствии чего групповая политика безопасности неопознает его. В частности перестали работать RPC - удаленный вызов процедур. Как вернуть запись в AD в вкладку *Computers*?

Каждые 5 минут такая ошибка

Тип события: Ошибка
Источник события: Userenv
Категория события: Отсутствует
Код события: 1053
Дата: 01.03.2007
Время: 9:18:22
Пользователь: NT AUTHORITY\SYSTEM
Компьютер: S1
Описание:
Не удалось определить имя пользователя или компьютера. (Сбой при удаленном вызове процедуры. ). Обработка групповой политики прекращена.

Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".

Цитата:

ПО случайности удалил DC из списка *Computers* в AD

Это как это ты удалил ДС из "Компьютерс" ?
ДС он не в этом контеинере. Если ты простой компьятер удалил, то просто сделай ему "move from domain" и после чего "add computer to domain"

Объясните про Interactive logon, на сайте мелкософта следующая инфа:

Цитата:

Interactive logon: Number of previous logons to cache (in case domain controller is not available)

Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options

Description
Determines the number of times a user can log on to a Windows domain using cached account information.

Logon information for domain accounts can be cached locally so that, in the event a domain controller cannot be contacted on subsequent logons, a user can still log on. This setting determines the number of unique users for which logon information is cached locally.

Так все таки, что же такое Interactive logon по умолчанию равный 10 ?

Это:

а) Number of times a user can log on to a Windows domain using cached account information - т.е. количество возможных логонов юзера используя закэшированные данные,
б) number of unique users for which logon information is cached locally - т.е. количество уникальных пользователей, чьи реквизиты будут закэшированы для входа?

Или а+б вместе?

Ситуация в общем-то грустная. Человек с ноутбуком (XP SP2) уехал в командировку, через 5 дней его перестало пускать под доменными реквизитами, появляется сообщение о неправильном пароле. Однако пароль при всем желании он поменять не мог, т.к. не имел контактов с контроллером домена.

Кроме того, вряд ли с момента отъезда он успел 10 раз залогиниться... хотя разлочка компа считается логоном?

Господа, приветствую! Следующая проблемка: через GPO указал logon script в политиках пользователя, пару дней все было нормально, скрипт применялся, а после стал ругаться в журнале событий рабочих станций пользователей следующим образом:
"Не удалось выполнить следующий сценарий: C:\WINDOWS\SYSVOL\sysvol\domain.ru\scripts\script.bat. Не удается найти указанный файл."

из-за чего это и как это лечить? При настройке политик не указывал параметры сценария, оставлял это поле пустым..

Люди простите за ламерский вопрос: научите, как копировать GPO???

Пользуюсь GPMC. Раскрываю папку Group Policy Objects, тыкаю правой кнопкой на любой из представленных в папке групповой политике, и вижу в контекстном меню "Copy". Однако от нажатия на него никакого эффекта не замечаю. Помогите неродивому скопировать GPO, пожалуйста...

PIL123
да проблем обычно не возникает с копированием... Трудно что-то сказать.

Добавлено:
Вообще там должен работать механизм -copy-paste

Цитата:

"Не удалось выполнить следующий сценарий: C:\WINDOWS\SYSVOL\sysvol\domain.ru\scripts\script.bat. Не удается найти указанный файл."

Указать нормальный UNC путь. Как \\domain.ru\ .... и тд