» Групповые политики (Group Policy, GPO): документация, ссылки

shadow_kan
Про ошибку не понял. Но вообще это перенос домен контроллера. Я делал так:
1. Ввод с домен второго контроллера простым dcpromo.
2. Настройка на нём ДНС.
3. Установка его глобальным каталогом
4. полная репликация
5. Полная проверка его работы
6. Опускание первого сервера обычным dcpromo.

Ошибок у меня не было. Сервер ставился с нуля. В моём случае это контроллеры субдомена были.

Добавлено:
Wukuze
В рамках леса их можно переносить. Переносите из Group Policy Objects одного домена в другой, простым перетаскиванием и в этот момент увидите Визард соответствующий.
Если же речь об одном домене, то ГПО реплицируется.

Mielofon

Цитата:Версия схемы Active Directory исходного леса несовместима с версией Active Directory на этом компьютере

Win2003 случаем не R2?
У Server 2003 и Server 2003 R2 разные версии леса (вроде 30 и 31).

Цитата:adprep /forestprep
adprep /domainprep
эти команды необходимо выполнять со второго диска Windows Server 2003 R2
всем спасибо будем пробывать

shadow_kan

Цитата:

спасибо пробывал через dcpromo
не проходит установка АД
возможная причина
на 1 машине winserver 2003 STANDAR SP2
на 2 машине winserver 2003 R2 ENTERPRISE SP2
Версия схема АД исходного леса (комп 1) не совместима с версией АД на компе 2

Ошибка Ваша в том, что первый сервер у вас 2003, а второй 2003 R2. В R2 версия схемы выше. Как вариант - обновить 1-й сервер до R2, а уже потом переносить роль. Читать здесь.

большое спасибо что ткнули носом
очень помогло
СПАСИБО ТО ЧТО НУЖНО

Wukuze

Цитата:

игрушки политикой грохнуть

- скрипт при загрузке системы, что то типа "WshShell.Run("RunDll32 advpack.dll,LaunchINFSection %windir%\INF\games.inf,HeartsUninstall")"

Nand спасибо, скриптом правда не хотелось, но уж лучше так чем ничего

RoDeZiya

Цитата:

Ошибка Ваша в том, что первый сервер у вас 2003, а второй 2003 R2. В R2 версия схемы выше. Как вариант - обновить 1-й сервер до R2, а уже потом переносить роль

пытался обновить до R2 выдает ошибку
необходимо обновить версию схемы
запускаю
Adprep.exe /forestprep
следующая ошибка
Adprep не может проверить состояние обновления леса.
[Состояние/результат]
Adprep опрашивает каталог и проверяет, не выполнялась ли ранее подготовка леса.
При отсутствии сведений Adprep продолжает выполняться, пропуская эту операцию.
[Действие пользователя]
Перезапустите Adprep и просмотрите файл Adprep.log. Проверьте по журналу, не был
ли этот лес успешно подготовлен ранее.

При выполнении Adprep обнаружена ошибка LDAP.
Код ошибки: 0x20. Расширенный код ошибки сервера: 0x208d. Сообщение об ошибке се
рвера: 0000208D: NameErr: DSID-031001CD, problem 2001 (NO_OBJECT), data 0, best
match of:
'CN=Servers,CN=Default-First-Site,CN=Sites,CN=Configuration,DC=ups,DC=do
n,DC=ua'
содержимое log
Программа Adprep создала файл журнала ADPrep.log в каталоге C:\WINDOWS\system32\debug\adprep\logs\20080207091433.



Программа Adprep скопировала файл D:\bin\_\r2\BRMSCD2FRE_RU\CMPNENTS\R2\ADPREP\schema.ini из папки установки на локальный компьютер в каталог C:\WINDOWS.
Программа Adprep скопировала файл D:\bin\_\r2\BRMSCD2FRE_RU\CMPNENTS\R2\ADPREP\sch31.ldf из папки установки на локальный компьютер в каталог C:\WINDOWS\system32.
Программа Adprep скопировала файл D:\bin\_\r2\BRMSCD2FRE_RU\CMPNENTS\R2\ADPREP\dcpromo.csv из папки установки на локальный компьютер в каталог C:\WINDOWS\system32\debug\adprep\data.
Программа Adprep скопировала файл D:\bin\_\r2\BRMSCD2FRE_RU\CMPNENTS\R2\ADPREP\409.csv из папки установки на локальный компьютер в каталог C:\WINDOWS\system32\debug\adprep\data.
Программа Adprep успешно установила подключение LDAP к локальному контроллеру домена ACE.
Программа Adprep пыталась вызвать следующую API-функцию LDAP. ldap_search_s(). Базовый элемент для начала поиска: (null).
API-функция LDAP ldap_search_s() завершена, код возврата 0x0
Программа Adprep успешно получила данные из локальной службы каталогов.
Программа Adprep успешно инициализировала глобальные переменные.
[Состояние/результат]
Выполнение Adprep продолжается.
Предупреждение ADPREP.
Прежде чем выполнять ADPREP, следует обновить все контроллеры доменов Windows 2000 в составе леса до уровня Windows 2000 с пакетом обновления 1 (SP1) и исправлением QFE 265089 или Windows 2000 с пакетом обновления 2 (SP2) и более поздним.
QFE 265089 (входит в Windows 2000 SP2 и более поздний) требуется для предотвращения возможного повреждения контроллера домена.
Дополнительно о подготовке леса и домена читайте в статье Q331161 базы знаний http://www.microsoft.com
[Действия пользователя]
Если все существующие контроллеры домена Windows 2000 соответствуют этому требованию, введите "C" в командной строке и нажмите клавишу ENTER; для выхода введите любой другой знак и нажмите ENTER.
Adprep не может проверить состояние обновления леса.
[Состояние/результат]
Adprep опрашивает каталог и проверяет, не выполнялась ли ранее подготовка леса. При отсутствии сведений Adprep продолжает выполняться, пропуская эту операцию.
[Действие пользователя]
Перезапустите Adprep и просмотрите файл Adprep.log. Проверьте по журналу, не был ли этот лес успешно подготовлен ранее.
При выполнении Adprep обнаружена ошибка LDAP.
Код ошибки: 0x20. Расширенный код ошибки сервера: 0x208d. Сообщение об ошибке сервера: 0000208D: NameErr: DSID-031001CD, problem 2001 (NO_OBJECT), data 0, best match of:
    'CN=Servers,CN=Default-First-Site,CN=Sites,CN=Configuration,DC=ups,DC=don,DC=ua'
.

Wukuze
более оптимального решения я в свое время не нашел. Однако, сами исполняемые файлы игр остаются на месте. Если нужен сам скрипт - могу озвучить...

Nand Ну это же все же лучше чем ничего, юзвери те исчо хитрованы, насяльника постоянно замечает что они играются, руками с каждого грохать уж совсем не хочется, тем более что компов многа, вот и хотелось чтоб ГП где поправить чтоб игрушки сами удалились да и потом чтоб вводишь комп в домен и вот тебе щастье

Nand
Файлы можно удалить скриптом, при том написанном на чём угодно ) Начиная с бат файлов )

Подскажите pls, а возможно с помощью GPO, добавить определенный сайт в надежные узлы и дать ему там определенные разрешения?

Причем, только для определенной группы юзеров в AD и только при удаленной работе на определенных компьютерах

Добавлено:
И тут же еще один вопрос: почему в разделе "Конфигурация Windows" нет никаких подразделов, а только Remote Installation Services?

ra1n
1. Можно, если я правильно понял, что речь идёт о траст сайтах.
Идёте так:
Настройки пользователя -> Административные шаблоны -> Компоненты винды -> Internet Explorer -> Internet Control Panel -> Security Page
на ней самой найдёте ГПО для разбития сайтов по группам, ГПО включения различных групп, в папках же более тонкие настройки.
2. Поставте ГПО админ нормальный, думаю поможет.

Добавлено:
shadow_kan
А что в целом в сети твориться? Сколько контроллеров всего сейчас, были ли убитые так или иначе? Где сейчас какие роли? Может диагностикой поделитесь, а вообще это в топик про АД.

Цитата:

Настройки пользователя -> Административные шаблоны -> Компоненты винды -> Internet Explorer -> Internet Control Panel -> Security Page

хм.. или что то не так, или одно из двух..
дома посмотрел, есть такое.. а на работе - нет
такое возможно?
т.е. раздел этот есть, а параметра в нем, например "шаблон зоны надежных узлов" - нет


Цитата:

Поставте ГПО админ нормальный, думаю поможет.

это какой например?

Group Policy Management Console with Service Pack 1

Цитата:

хм.. или что то не так, или одно из двух..
дома посмотрел, есть такое.. а на работе - нет
такое возможно?

Проверяйте какие адм файлы подключаются дома, какие на работе. Это тут:
Настройка пользователей -> правая кнопка на административные шаблоны -> добавить\удалить шаблоны.
За интернетэксплорер отвечает inetres.adm

Цитата:

Настройки пользователя -> Административные шаблоны -> Компоненты винды -> Internet Explorer -> Internet Control Panel -> Security Page

нашлось))
Но там же нет параметров, таких чтоб я мог конкретный сайт поместить в надежные узлы

И до сих пор не понятно, почему в Конфигурации пользователя >> Конфигурация Windows нет никаких подразделов..

ra1n
Есть, смотри внимательнее. Там есть настройка список этих сайтов ) Я тоже в первый раз искал минут 10 )

Добавлено:
ALL
Как вы считаете (вопрос к вашей практике скорее, ну можно и рекомендации мелкомягких) Что лучше 1 политика определяющая всё и вся. (Меньше грузить компьютеру с DC, но запутанней в плане пока найдёшь в ней что то)
Или много политик, типа 1 за интернет, другая за доступы и т д. (Можно запутаться в линках, приоритеты, много грузить)

Приветствую всех! Такой вопрос, запретил для юзеров в AD запуск некторых програм, подхожу к юзеру запускаю прогу от Run AS вбиваю всё(являясь администратором), но прога не запускается захожу из под админской учётки всё запускается. Как сделать так что бы она запускалась и у юзера с использованием моих прав, чтоб не переходить в систему!?

Цитата:

Как вы считаете

чем больше политик, "Организационных единиц", групп тем удобнее администрировать.
называть группы и обьекты ГП логичными названиями т.е. internet_marketing, allowed web sites, ipsec enabled и т.д.

не запутаетесь. используйте GPMC и правильные(логичные названия) - и путаться не прийдется.

Добавлено:
Frizen13
какой конкретно политикой вы запрещали?
политикой ограниченного использования программ (Computer Policy)
или политикой запрет на запуск программ (User Policy)

если второе то работать, должно так как и хочется.
если первое то пользователь значения не имеет.

второе Computer Policy по компам... Software restriction policies\ в это разделе я указал програмы которые незя запускать юзерам.

Frizen13
ну тогда и на администратора будет действовать пока не загрузится его профиль.

Member
А как сделать так чтобы мне не надо было загружать свой профиль чтобы я мог использовать учётку юзера но запускать файлик со своими правами... т.е. Run as вбил пароль и учётку и запустил... чтобы не требовалось заходить из под админа?

Frizen13
с политикой Per Computer никак.

Цитата:

или политикой запрет на запуск программ (User Policy)

Цитата:

если второе то работать, должно так как и хочется

А не подскажите, где можно найти Internet Explorer Enhanced Security Configuration

Я так понял, что пока этот параметр ВКЛЮЧЕН, не работает импорт настроек в Security Zones and Content Ratings (user conf. > win. sett. > ie maintenan. > security)

Добавлено:
Вопрос снимается)))

На данный момент ситуация такая - все вроде работает, с одним НО.

Когда захожу на сервак по RDP и запускаю IE, все ок. А когда запускаю через CITRIX чисто IE, то вылезает окошо -


И такое ощущение, что из за него не цепляется настройка групповой политики, и сайт не попадает в трастед зоне

Я так понимаю, что проблема в том, что недоступна информация о том, когда сертификат будет аннулирован
Можно где нибудь настроить IE так, чтоб ему пофиг было, есть эта информация или нет..

Добавлено:
Как сделать нашел..

tools > inet options > advanced

тама пару галочек убрать в подразделе security, связанные с аннулированием сертификатов

Теперь вопрос, как то же самое можно через групповые политики замутить?
Что то я там не видел параметров аля на закладке Advanced <_<

вообщем все вроде норм, но опять ПОЧТИ)))

взял книжку по политикам, буду изучать

Frizen13
конфигурация пользователя- административные шаблоны - запрет на запуск приложений.(тут список типа winword.exe, excel.exe)

se111
эт не мне наверно было))

Добавлено:
Наткнулся на такой момент:

Цитата:

Групповые политики применяются к клиентам с ОС Windows XP асинхронно, а с ОС Windows 2000 — синхронно

А если ситуация следующая - терминальный доступ (Citrix) на сервер (Win2k3). Если запускается чисто IE, то некоторые политики не применяются, а именно сайт в трастед зоне не добавляется. Захожу через RDP под этим пользователем, выхожу, запускаю IE - все норм, нужный сайт в нужной зоне.

Мне кажеться как раз из за этих асинхронных/синхронных режимов.

Поправьте если неверно мыслю

Frizen13
Цитата:

А как сделать так чтобы мне не надо было загружать свой профиль чтобы я мог использовать учётку юзера но запускать файлик со своими правами... т.е. Run as вбил пароль и учётку и запустил... чтобы не требовалось заходить из под админа

Если таких файлов не много и то у команды Runas (подсказали в свое время в сисдаминком флейме) есть очень интересный ключ /savecred . У меня некоторые проги запускаются под обычным пользователем, но от админской учетки. Пароль вводится только один раз (при организации всего этого дела).
Как это применить вместе с групповой политикой - не знаю

Frizen13
Но надо иметь в виду, что RUNAS /SAVECRED is huge security hole

Нет. Чтобы они потом без меня запускали мне ето не надо. Это не безопасно. Надо чтобы я подошёл и запустил от своего имени какую либо программу.

Frizen13
Цитата:

Надо чтобы я подошёл и запустил от своего имени какую либо программу.

Тогда какие проблемы? Подошел. В проводнике нажимаешь Shift, тыкаешь на файле правой кнопкой мыши и выбираешь запуск от имени.