» Групповые политики (Group Policy, GPO): документация, ссылки

Не выполняются групповые политики в домене (не на серверах, не на рабочих станциях).
Есть домен. Есть два сайта. На серверах стоят win2k3 r2, а на рабочих станциях winxp sp3. Настраиваю синхронизацию времени в домене (синхронизирую со stand-along сервером, а его уже с Интернетом). В Default domain policy делаю необходимые изменения, эта политика распространяется и на серверы и на КД и на рабочие станции.

На любом сервере или рабочей станции перезапускаю службу. Делаю gpupdate /force, и вижу, что значения параметров НЕ изменились.

сервера имеют static IP. рабочие станции dynamic IP.
выполнение dcdiag и netdiag и gptool прошло успешно.
gpresult на рабочей станции и на КД прошли успешно.
В логах ошибок относящихся к GP нет, только предупреждения.
Network Connection-Advanced-Advanced settings подключения по lan стоят первыми.
gpmc(rsop) выдает только, что после установленного софта нужно перезагрузится.
Параметры Enforce и Block Enheritance не установлены

Куда копать? Почему изменения настроек GP не воздействует на компьютеры(не меняет значения в реестре)?

Добавлено:
на рабочей станции в C:\WINDOWS\Debug\UserMode\userenv.log есть такие записи
USERENV(374.51c) 18:21:39:914 PolicyChangedThread: UpdateUser failed with 6.
USERENV(374.520) 20:07:49:027 GetGPOInfo: Local GPO's gpt.ini is not accessible, assuming default state.
USERENV(374.120) 20:08:01:399 PolicyChangedThread: UpdateUser failed with 6.
USERENV(374.31c) 20:08:25:678 GetGPOInfo: Local GPO's gpt.ini is not accessible, assuming default state.

Если кто может помочь подскажите: пару лет назад настроил групповые политики на 2003 все нормально работало неделю назад словил в сети net-worm.win32.kido вирус вылечил но перестали применяться сценарии входа в windows (т.е. юзверя) rsop показывает политики но scripts - logon вообще нет, такое ощущение что вирус повредил WBSH либо вообще незнаю где копать все обновления установил не помогает вобщем если есть у кого мысли то подскажите или может кто сталкивался

lotosall, знаю людей, у которых kido повредил sysvol так, что второй домен контроллер отвалился и не прицепляется обратно. Остались с одним КД до покупки нового сервера(год его выбивали у финотдела). А там и новый домен поднимут. Давай евент логи и на форуме касперского поспрашивай...

eventlog чистый ошибок нет, rsop logging на сервере показывает все ок - политика применяется, gpresult на клиенте - отказано (безопасность), в rsop на клиенте как уже писал папка scripts вообще отсутствует. в общем показывать то особо нечего - ошибок то нет просто перестало работать.

Добавлено:
О кстати обнаружилось что политики если вновь создать с такими же параметрами то отлично принимаются клиентом и начинают работать если кто знает где в клиенте или в сервере хранятся ссылки на политики, т.к. если новые начинают работать то ссылки на старые видно потерты gpupdate /force не помогает

"О кстати обнаружилось что политики если вновь создать с такими же параметрами то отлично принимаются клиентом" - На клиенте на котором политики применились выполни gpresult /v - выдает подробную информацию с путями в реестре.
(Подсказка: Потом можешь данную ветку реестра экспортировать)

Скоррее всего kido порушил настройки политик на серваке. А это кропотливая работа по восстановлению.

Как говорил один человек...
Заходим в MMC на контролере. добавляем ADSI EDIT.
Выберем Контроллер. Открываем Ветку Ищем там CN=System>CN=Policies>
Выбираем нужную политику которая не работает Нажимаем на ней правой кнопкой и делаем properties и ищем Атрибут gPCFileSysPatch.
ДАк вот у меня история была такова, что в этом атрибуте была не правильно прописана зона \\home\SysVol а нужно было \\home.ru\\SysVol
После того как подставил .ru все политики забегали и заработали. У меня порядка 12-15 разных политик Пришлось делать эту фигню почти во всех политиках...

За совет спасибо огромное но вроде как все в порядке по всем строкам свойства сравниваю за исключением идентификаторов все совпадает с работающими политиками. Большую часть уже заново переписал, так что хоть решение и не найдено выход нашелся - переделать все политики заново. vicwanderer - Спасибо!

Доброго времени суток всем!

Проблема в следующем: захожу на внутрисетевой центр сертификации(MS), хочу получить сертификат, нажимаю "Запроса сертификата" -> "Сертификат пользователя" появляется зеленая табличка с надписью "Загрузка элемента управления ActiveX", на этом моменте ie может остаться навечно..

Просмотрел все разделы, связанные с безопасностью, ничего не нашел.

Грешу на групповые политики.
Просмотрел кучу документации, все шаблоны, связанные с безопасностью, ActiveX, и прочими возможностями, ничего не получается, не помогает.

Но это все касается только ie8.

Еще такой момент: попытался принудительно добавить хост в зону интрасети, не добавляется, однако другие записи касательно этой зоны нормально применяются.

Подскажите, пожалуйста, что можно сделать?

Не ужели никто с таким не сталкивался?

torchock, если грешишь на групповые политики и IE8. Берешь чистую систему с IE6 и чистую систему с IE8 со всеми обновлениями. делаешь для них OU в корне домена.
А потом уже с них заходишь на внутрисетевой центр сертификации(MS)... Дальше смотришь логи(евенты) и это поможет тебе решить проблему.

vicwanderer
Попробую, но ни один ie8 не может загрузить этот элемент ActiveX, а ie6, мозилы могут..
ie7 не проверял..

И еще такой вопрос - почему в ie6 под учеткой админимстратора домена я могу менять настройки хоть и хватает их на 1 сеанс а в ie8 под той же учеткой в win 7 так не выходит, т.е. вообще нельзя никак изменить настройки?

Пробовал запуск от имени Администратора - не помогает..

Создал домен для теста на win 2003 standart R2 SP2.
Настроил ГП перенаправление папок в папку home на сервере.
подключил к нему машинку на win XP SP3.
все нормально работало.

далее
Создал рабочий домен на win 2003 Ent R2 SP2.
Настроил ГП перенаправление папок в папку home на сервере.
Отключил машинку от первого домена и подключил ко второму.
теперь при завершении работы ХР пытается синхронизировать файлы как на новый сервер так и на старый тестовый:

http://i056.radikal.ru/0912/19/c38215a6ef5a.png

gpupdate делал как на сервере так и на ХP, ну и много раз перезагружал....

из реестра на XP(как в домене так и локально) удалил все ветки содержащие
//uho-1becc45964f/home
но при входе в новый домен эти ветки снова появляются...
Вопрос как сделать так чтоб синхронизация производилась только с новым сервером.

Есть компьютер xp sp2 и w2k3 x64. Домена нет. Создал свой шаблон локальной политики безопасности.
secedit /export /cfg <Мой файл>.txt
Задача такая в логон скрипте применить пользователю этот шаблон

secedit /configure /cfg <Мой файл>.txt /db secsetup.sdb /verbose
Эта политика будет сразу работать или после перезагрузки?
Еще имеет ли значение контекст юзера - скрипт запускается от имени не текущего юзера из группылокадминов?

Если возможность ввести удаленно около 30-40 компов в домен?
Скриптом или ещё чем ? есть у кого идеи и мысли?

salavatwest
скрипты то есть. вот, например
через psexec @complist.txt ... запускай на компах

Задача есть компы, к примеру, с с01 по с25 и пользователи u01 - u25
каждый пользователь имеет право входа только на свой компьютер, т.е. u01 на c01 и т.д., что задается в свойствах каждой учетной записи в "Вход на".
Еще есть пользователь с правами админа, назовем ac25, которому в учетной был прописан вход на все компьютеры c01-c25. Но число компов, которыми он управляет превысило 64 и тут сюрприз - больше 64 ввести нельзя. Прочитал, что можно через GPO.
В корне домена в Active Directory создаю подразделение Department.
В нем создаю две группы:
компьютеров GR_C, в которую добавляю нужные компьютеры из контейнера Computers
и админов GR_AC, в которую пока добавляю одного пользователя ac25 из контейнера Users.
В свойствах для подразделения Department создаю групповую политику, например, GPO_ac.

Конфигурация компьютера - Конфигурация Windows - Параметры безопасности - Локальные политики -
Назначение прав пользователя и открываем "Локальный вход в систему".
Выбираю "Определить указанные ниже политики" и добавляю группу Администраторов домена, Администраторов и созданные GR_C и GR_AC. Или нужно только GR_AC?

А где задавать право чтения для примера, ссылка на который была в шапке какой-то из тем по AD или GPO.
Цитата:

право чтения политики даешь для HR_computers (удалив Authenticated Users)

Также из версии для печати этой темы:
Цитата:

Теперь для того, чтобы "GPO MineGrouppen" применялось только к группе
"MineGrouppen", нужно в Group Policy Management в политике "GPO MineGrouppen"
- Security Filtering указать только группу MineGrouppen.

Это где задается для rus сервера?
В свойствах для подразделения Department - Групповая политика - Свойства GPO_ac -
Вкладка "Безопасность"?

Для админа ac25 после этого можно полностью очищать "Вход на" в учетной записи?
Право входа только на свой компьютер, т.е. u01 на c01 и т.д. сохраняется?

monsoon

Цитата:

Или нужно только GR_AC?

GR_C не нужно. Оставь только GR_AC.

Цитата:

А где задавать право чтения

Цитата:

В свойствах для подразделения Department - Групповая политика - Свойства GPO_ac -
Вкладка "Безопасность"?

Нет. Установи Group Policy Management Console там ты и найдёшь Security Filtering.

Цитата:

Для админа ac25 после этого можно полностью очищать "Вход на" в учетной записи?

Да

Цитата:

Право входа только на свой компьютер, т.е. u01 на c01 и т.д. сохраняется?

Сохранится, если не будешь убирать "Вход на" в учетной записи у пользователей u01 - u25.

У меня Win XP и не могу войти под логином Admin пишет эту ошибку "интерактивный вход в систему на данном компе запрещен локальной политикой" как это произошло не знаю сам ни чего не менял. Вошел под другим логином не администратором пробовал запустить как тут http://support.microsoft.com/kb/313222/ru написано но утилита не запускается из за прав доступа и secedit /configure /cfg %windir%\repair\secsetup.inf /db secsetup.sdb /verbose тоже не запускается. Пробовал эту строку вставить в текстовый файл и запустить загрузившись с диска из консоли восстановления но это ни чего не дало. Это secpol.msc тоже из за допуска не запускается. Подскажите что можно сделать?

bio2008

Цитата:

У меня Win XP и не могу войти под логином Admin пишет эту ошибку как это произошло не знаю сам ни чего не менял...

Элементарно. Выполни эту инструкцию тогда поможет.

ЗЫ. Надеюсь, что моё сообщение было полезным и информативным.

niichavo какую эту?

bio2008

Цитата:

niichavo какую эту?

Какой вопрос такой и ответ. Ты своё сообщение читал? Прочти. Какой-то поток сознания. Что у тебя в самом начале написано "...пишет эту ошибку как это произошло не знаю сам ни чего не менял"? Какую эту ошибку? Хочешь быть понятым - приложи усилия.

niichavo извиняюсь исправил.
Как теперь для админа включить возможность интерактивного входа?

bio2008
- это рабочий комп? в домене? если "да" - то вопросы к вашему админу.
- если нет и ты ничего не трогал, то возможно это вирус, проверь на вирусы.
- сколько учёток с правами администратора?
- в локальной политике безопасности, в "отклонить локальный вход" и "локальный вход в систему" что у тебя?

Посмотреть я не могу так как вошел под обычной учетной записью и не открывается эта локальная политика. Одна утечка с правами администратора. Прочитал что для win2000 можно сделать вот так
Код: copy c:\winnt\repair\security c:\winnt\system32\config\security

niichavo

Цитата:

Установи Group Policy Management Console там ты и найдёшь Security Filtering

Установил, попутно был запрос на MSXML, тоже установил. Filtering нашел. Но сколько я не тыкался так доступа для админа ac25 на тестируемый комп из GR_C не получил. Прежде чем описывать заново (т.к. для подразделения Department в свойствах уже нет групповых политик все перекочевало в gpmc) м.б. можно сократить количество групп для моей задачи? Т.е. для подразделения Department содать одну группу, в которую включить пользователя ac25 и компьютеры с01 по с25?
Также пока не вычищал у пользователя ac25 в свойствах учетной записи "Вход на", т.к. как-то стремно удалять не убедившись, что все работает через ГП.

monsoon

Цитата:

Но сколько я не тыкался так доступа для админа ac25 на тестируемый комп из GR_C не получил

Цитата:

Также пока не вычищал у пользователя ac25 в свойствах учетной записи "Вход на", т.к. как-то стремно удалять не убедившись, что все работает через ГП.

Я так и не понял, получается у тебя админом заходить или нет. И вообще что работает а что нет.

После применения политики
- пользователи из u01 - u25 могут заходить только на свои компы?
- член группы GR_AC может заходить на любой из компов u01 - u25?

Для проверки работы политики, сделай через эту же оснастку результирующую политику для обычного пользователя, у которого имеются ограничения на вход и для админа. И смотри что мешает.

зы. зачем тебе компьютеры в списке групп локального входа? ты же не сетевой вход, с какого-нить компьютера. какую роль они здесь играют? лучше убрать.

Добавлено:

Цитата:

м.б. можно сократить количество групп для моей задачи?

Как я понимаю. Нужно:
- если нужно чтобы политика применялась только для некоторых компов, то создаём группу компов GR_C
- группа пользователей (админов) GR_AC, которые могут входить на любой комп из заданного списка компьютеров GR_C

вроде всё.

niichavo, спасибо за помощь.

Цитата:

- пользователи из u01 - u25 могут заходить только на свои компы?

могут т.к. не убирал "Вход на" в учетной записи у пользователей u01 - u25 на соответсвующий компьютер.

Цитата:

- член группы GR_AC может заходить на любой из компов u01 - u25?

ac25 (член группы GR_AC) входит на любой из этих компов, т.к. тоже его учетную запись я не трогал. Но в группу GR_C я добавил свой комп, назовем MyComp, чтобы для проверки не бегать к другим компам И пользователем ac25 я не могу войти в домен со своего компьютера.


Цитата:

Для проверки работы политики, сделай через эту же оснастку результирующую политику для обычного пользователя, у которого имеются ограничения на вход и для админа. И смотри что мешает.

Сори за ламерский вопрос. Что значит результирующая политика и как посмотреть, что мешает?


Цитата:

зачем тебе компьютеры в списке групп локального входа? ты же не сетевой вход, с какого-нить компьютера. какую роль они здесь играют? лучше убрать.

бр... кажется начинаю запутываться. А как тогда указать, что ac25 имеет право входить в домен с моего компьютера, если его нигде не указывать? И похоже мне нужно было использовать "Доступ к компьютеру из сети"?

Цитата:

ac25 (член группы GR_AC) входит на любой из этих компов, т.к. тоже его учетную запись я не трогал

Ну так попробуй убрать "разрешения на вход" с учётки. Повторяю, что группа компов нужна только в том случае, если ты собираешься ограничивать применение этой групповой политики группой компов. Ну а если эти компы из группы находятся в OU, где есть и другие компы, к которым не нужно такую политику применять, то тут уже нужно задействовать Security Filtering

Цитата:

Что значит результирующая политика

Group Policy Results. То что в итоге, с учётом всех политик применяется на компе и/или пользователе.

Цитата:

А как тогда указать, что ac25 имеет право входить в домен с моего компьютера

Что такое в домен? Как это со своего компьютера? Ты входишь используя доменную аутентификацию на компьютер, не важно какой. Ты не со своего же компьютера подключаешься к другому компьютеру. Ты входишь на комп, который в домене, используя свою доменную пользовательскую учётку. Или что?

Вообще, мне не всё до конца понятно. С пользователями, которые должны заходить на свои компы вроде всё понятно. А вот с тем, кто может заходить на любой комп тех самых пользователей, не очень. Этот "админ" не должен иметь возможность заходить на другие компы, которые не в группе GR_C? Если не должен, то можно просто создать другую политику, которая применяется к остальным компам, где прописать кому "отклонить локальный вход". Если этот пользователь должен заходить на любой комп, даже тот который не в группе GR_C. То тут вообще ничего делать не нужно.

niichavo

Цитата:

Ты входишь используя доменную аутентификацию на компьютер, не важно какой.
... Ты входишь на комп, который в домене, используя свою доменную пользовательскую учётку.

да ты прав, именно так.


Цитата:

Этот "админ" не должен иметь возможность заходить на другие компы, которые не в группе GR_C

тоже все верно.


Цитата:

Если не должен, то можно просто создать другую политику, которая применяется к остальным компам, где прописать кому "отклонить локальный вход".

Нет, лучше через "Локальный вход в систему", т.к. компов, куда он входить не должен гораздо... больше.


Цитата:

Ну так попробуй убрать "разрешения на вход" с учётки.

для выбора дается только "на все компьютеры" и "только указанные компьютеры", т.е. выбрать первый?
Одновременно ограничения в учетной и ГП не могут работать?

Не заметил сразу, что ты дописал:
Цитата:

- если нужно чтобы политика применялась только для некоторых компов, то создаём группу компов GR_C
- группа пользователей (админов) GR_AC, которые могут входить на любой комп из заданного списка компьютеров GR_C

Вроде ж так и сделал, кроме очистки входа в учетной ac25.

monsoon

Цитата:

для выбора дается только "на все компьютеры" и "только указанные компьютеры", т.е. выбрать первый? Одновременно ограничения в учетной и ГП не могут работать?

Выбери на "на все компьютеры". Какие одновременные ограничения?

Итак, чтобы ac25 мог заходить на компы GR_C нужно, чтобы ничего не мешало ему ни в "локальный вход в систему" ни в "отклонить локальный вход". Чтобы этот пользователь/группа не могла заходить на другие компы, для этих компов нужно либо убрать (через другую групповую политику, например) этого пользователя из "локальный вход в систему" или прописать в "отклонить локальный вход". Всё. В итого пользователь сможет заходить только на компы из GR_C.

Т.е. достаточно создать только одну политику, в которой этому пользователю не разрешат вход.

niichavo

Цитата:

Какие одновременные ограничения?

т.е. тогда имел ввиду, если к примеру в ГП будут заданы компы с01-с25, куда ac25 входить не может и в свойствах учетной записи "Вход на" компы с26-с30, ac25 не сможет войти на c01-c30?


Начал все сначала. Для ac25 в свойствах учетной записи задал вход на все компьютеры.
Снес созданную политику и группы для Department. Для подразделения Department заново создаю две группы:
компьютеров GR_DC, в которую добавляю компьютеры из контейнера Computers, на которые ac25 входить не должен.
и админов GR_AC, в которой один пользователь ac25 из контейнера Users. Сразу вопрос, когда я вхожу в Cвойства подразделения Department и обеих вновь созданных групп в вкладке "Безопасность" нужно добавлять GR_AC и назначать какие-либо права?

Перехожу в GPM. Для Department в Delegation нужно кого-то добавлять? Там есть группы Администраторы, System. Создаю политику GP_ac. В Delegation для политики есть группы Администраторы, System, "Прошедшие проверку", последнюю удаляю.
Когда во вкладке Scope я в Filtering добавляю GR_DC, она добавляется и в Delegation.
Далее назначаю в gp Конфигурация компьютера - Конфигурация Windows - Параметры безопасности - Локальные политики - Назначение прав пользователя и для "Отклонить локальный вход" указываю GR_AC

Вообщем, все равно что-то не получается.
Сначала включил свой комп в GR_DC. При логине c ac25 пишет, что интерактивный вход в систему запрещен локальной политикой. Все правильно.
Но когда я удалил свой комп из GR_DC все равно тоже самое. На всякий случай выполнял на сервере команду gpupdate /force - не помогло.

Также со списком компьютеров, в которые нельзя входить менее удобно работать, по крайней мере мне, т.к. трудно определить, если на какие-то из них давался временный доступ и нужно его убрать.