» КАК применить политику именно к нужной группе? (GPO)

САБЖ...
это в свойствах самой политики "Безопасность"....? или в другом месте?

Цитата:

это в свойствах самой политики "Безопасность"....?

да. снять галку "apply policy" у прошедших проверку и добавить нужную группу.

G14
а когда группу добавил - то галочку ставить "apply policy" у прошедших проверку
?

bweb

Цитата:

"apply policy" у прошедших проверку

нет. эта галочка (и галка read)- у тех кому нужно применять политику. прошедшие проверку это все пользователи в домене. у них галка должна быть снята, иначе расставление прав не имеет смысла, политика будет применяться ко всем.

G14
спасибо еще раз меня выручил

А как сделать, чтобы эта политика не применялась для учётной записи "Администратор", но при этом он мог ею управлять (редктировать, изменять права доступа и т.д.).

Etalon
Убери для группы Администраторы галку "apply policy", остальные поставь

Vby
Спасибо
Только вот ещё такой вопрос. Если политика применяется только к конфигурации компьютера, а конфигурацию пользователя не затрагивает, какой учётной записи убирать/ставить галку "apply policy"?

Учётной записи компьютера или учётной записи пользователя?

Etalon
Компьютера

У нас ситуация следующая:
существует OU "Parent" в ней OU "Users" и OU "Computers".
Хочу с помощью GPO сделать определенные настройки Windows Firewall.
Но воткнулся в следующую проблему:
GPO применяется для всего OU "Parent", соответственно при наличии галки "apply policy" у "Authenticated Users" применяется ко всем машинам. Но в OU "Computers" присутствуют машины, которые должны игнорировать данную GP. И вопрос заключается в следующем: Возможно-ли оперируя Группами пользователей разграничить применение GPO только к машинам, на которые эти пользователи заходят (примитивное выставление галок "Reed" и "Apply policy" в соответствующих полях группы на вкладке "Security" не помогает). Или придется распихивать всех в дополнительные OU и ставить "Apply policy" для "Authenticated Users" на эти OU?

Если тех к кому не должна применяться политика мало - можно им тупо запретить ее читать и применять. Правда микрософт не рекомендует так делать...

Ziateles
Вынеси в нижележащее OU эти компы и прикрути к им политику с включенным фаером.
А включать/выключать фаер в зависимости от залогинившегося пользователя нельзя.

Помогите решить проблему! ХР-шку включил в домен. Спустилась политика домена которая запрещает изменять локальную политику безопасности. Например, требования к паролю и тд. После исключения из домена все равно нельзя изменить параметры. Захожу под локальным админом, а там в локальной политике ничего изменить нельзя. Где нужно галочку поставить чтоб можно было опять настраивать политику? В реестре искал - не нашел. Насколько мне известно это все в SAM файле хранится.

Ситуация следующая.
Есть OU допустим OU1. В ней есть OU2. В OU1 есть комп который входит в группу находящуюся в OU2. К OU2 применена политика. Вопрос затронет ли применение политики комп из OU1. Или для этого надо поместить политику на OU1.

Цитата:

затронет ли применение политики комп из OU1.

нет не затронет. политики применяются только к пользователям или компьютерам.

Цитата:

нет не затронет. политики применяются только к пользователям или компьютерам.

А вот это что?
Как уже было сказано выше, политики действуют только на пользователей и компьютеры. Часто возникает вопрос: «как сделать так, чтобы определенная политика действовала на всех пользователей, входящих в определенную группу безопасности?». Для этого GPO привязывается к объекту домена (или любому контейнеру, находящемуся выше контейнеров или OU, в которых находятся все объекты пользователей из нужной группы) и настраиваются параметры доступа. Нажимаем Properties, на вкладке Security удаляем группу Authenticated Users и добавляем требуемую группу с правами Read и Apply Group Policy.


Добавлено:
В догонку вопрос. Группа может располагаться и за пределами конкретного OU в данном случае OU1 или обязательно в него входить?

Цитата:

А вот это что?

Это цитата из моей статьи.

Цитата:

GPO привязывается к объекту домена (или любому контейнеру, находящемуся выше контейнеров или OU, в которых находятся все объекты пользователей из нужной группы

где здесь говорится о местоположении объекта группы? или о том, что политики применяются к группам? групы используются для фильтрации области применения GPO.

Цитата:

Группа может располагаться и за пределами конкретного OU в данном случае OU1 или обязательно в него входить?

группа может находиться где угодно.

Цитата:

где здесь говорится о местоположении объекта группы? или о том, что политики применяются к группам? групы используются для фильтрации области применения GPO.  

Значит не так выразился.

просьба удалить это сообщение

JekaRus
Если узнаешь решение проблемы, отпиши пожалуйста здесь. Я в схожей ситации.

JOOMLA
JekaRus
точно ли выведена машинко из домена?

Парни такой вопрос: Я хочу расшарить несколько папок только мне нужно чтобы из моей рабочей группы достп к ним имели только отдельные юзеры! Как такое воплотить?

Gabzya
Ну наверное точно, я в свойствах компьютера вместо домена, имя рабочей группы. Вводил пароль и вроде как после перегрузке оказываюсь в рабочей группе. Т.е вывел из домена!?
CRueL46
Переводи файловую систему в NTFS и управляй правами расшаренных ресурсов.

Цитата:

Как уже было сказано выше, политики действуют только на пользователей и компьютеры. Часто возникает вопрос: «как сделать так, чтобы определенная политика действовала на всех пользователей, входящих в определенную группу безопасности?». Для этого GPO привязывается к объекту домена (или любому контейнеру, находящемуся выше контейнеров или OU, в которых находятся все объекты пользователей из нужной группы) и настраиваются параметры доступа. Нажимаем Properties, на вкладке Security удаляем группу Authenticated Users и добавляем требуемую группу с правами Read и Apply Group Policy.

У меня ТРАБЛ такой -политика не применяется, если удалить Authenticated Users.

Вышел из положения так: оставляю Authenticated Users с правом Apply Group Policy.
и требуемую группу с правом Read, (можно и Apply Group Policy добавить -не влияет).

т.е. Получается что без Authenticated Users не хочет работать, а с нею -у кого прав на чтение нет -тем не применяется.

В чем может быть проблема ?? почему одной требуемой группы безопасности с правами чтения и применения политик не достаточно, а приходится применение через Authenticated Users делать?? (Группа безопасности локальная в домене, но и домен один)
----------------------------------------------------------------------------------
Кажется нашел загвоздку: все зависит от Группы- Локальная или Глобальная группа безопасности и используется.. Поэксперементирую на днях - расскажу результаты.

Цитата:

КАК применить политику именно к нужной группе? (GPO)

Для решения этой проблемы хорошо использовать Group Policy Management
http://www.microsoft.com/downloads/details.aspx?FamilyID=0a6d4c24-8cbd-4b35-9272-dd3cbfc81887&displaylang=en

В дереве домене прилинковать необходимую политику к необходимой OU.
Кроме этого консоль позволяет определить результирующую политку, создавать бекапы и делать рестор политик, импортировать политики, управлять разрешениями на объекты GPO делать фильтрацию групп.

Народ правильно ли я сейчас применяю ГПО.В домене около 20 OU.Поставили задача-отк. Все чат программки(m-agen,ICQ,MSN).Нашел в ГПО как запретит эти проги.Потом взял применил данный ГПО домену,но в свойствах ГПО>Security : Authenticated Users (read & Apply GP ) и добавил группы “1)Who can use ICQ<2)m-agent3)MSN>” (Allow-read & deny – Apply GP).После такой настройки не будет ли каша в дальнейшем, если другие способы решения данной задачи?

rkhodjaev
Не почеловечески это как-то Мне кажется проще создать одну глобальную политику применимую ко всем OU, а Избранных поместить в нижележащие OU и явно разрешить им пользоваться этими прогами. Тут делов будет создать 2 политики и максимум 20 подконтейнеров. Зато прозрачность IMHO не в пример выше.

Добавлено:
Главное за очередностью смотреть

Цитата:

rkhodjaev
Не почеловечески это как-то Мне кажется проще создать одну глобальную политику применимую ко всем OU, а Избранных поместить в нижележащие OU и явно разрешить им пользоваться этими прогами. Тут делов будет создать 2 политики и максимум 20 подконтейнеров. Зато прозрачность IMHO не в пример выше.

Я сделал глоб. ГПО для всего домена + несколько групп которым не будет прим. данная политика

Объясните пож. такую ситуацию. Или так и должно быть или я чета не допонимаю ?
Ситуация. Домен 2000 . Есть группа ИНЕТЮЗЕРЗ. Нужно что бы пользователи этой группы ходили в инет и наоборот. Создал ГПО где прописал (через конфиг юзера- конфиг вындовз-настройки ИЕ-подключение) проксик, порты ну и те сайты для которых не нужен проксик. Поцепил данный ГПО только на эту группу.
Захожу на компе (ХР) юзером не принадлежащим группе ИНЕТЮЗЕРЗ ..как бы все ОК не применяется. Добавил юзера в группу, перегрузился - все ОК (все прописалось, все работает). Теперь вывожу юзера из группы ИНЕТЮЗЕРЗ, перегружаюсь, а проксик и все остальное как было прописано так и есть? Обратно что не действует? Нужно как-то обнулять?

Спасибо.

Serggg

Цитата:

Обратно что не действует? Нужно как-то обнулять?

По умолчанию политика стоит "не установлено", и поэтому параметры не меняются. Тебе надо явно задать в политике по умолчанию параметры для IE,