» Делаю комп.класс, возникают проблемы, помогите решить.

Alan Mon

Цитата:

локальная, доменная, политика сайта, политики OU в порядке вложенности

LSDOU (Local->Site->Domain->OU)
Ici Chacal

Цитата:

Мне кажется, что в зависимости от версии ОС происходят изменения и даже сервис паки вносят коррективы в их применении. А как сочетаются разные версии рабочих станций и серверов мне просто не понятно.

Если речь идет о 2000\XP\2003 то в применении изменений почти нет (навскидку вспоминаю только появление асинхронного применения в XP), только в составе. С новыми версиями (и с сервиспаками) добавляются новые параметры, которые можно регулировать (настраивать) с пом. групповых политик.
Что касаемо сочетаний версий серверных ОС и ОС клиентов. Чем выше версия ОС сервера, тем больше в ней параметров в политиках, имеющихся по умолчанию (без дополнительных телодвижений). Но политики появившиеся, например, с SP2 для XP, можно импортировать в GPO Win2000 для того, чтобы имея контроллеры домена на Win2000 можно было политиками рулить новые фичи клиентов XP SP2...
Клиенты: тут все просто. Либо клиент поддерживает этот параметр политики, либо нет. Около большинства политик в редакторе есть описание типа "требуется не ниже ХР" или "не ниже IE 5.0".... Клиенты Win98\NT4 и ниже групповых политик не поддерживают.
noVel

Цитата:

Я вот делаю в групповой политике именно пользователей (для них создано отдельное подразделение),

Поэтому и не получается. Нужно:
-прикрутить политику к объекту домена
-создать группу безопасности, и ввести в нее все компьютеры, для которых нужно применить политику. Если нужно применить ко всем компам, кроме контроллеров, то группа уже есть: Domain Computers.
-в свойствах объекта групповой политики (кнопка properties на закладке Group policy) добавить эту группу безопасности с правами read и apply group policy и убрать оттуда группу Authenticated Users.

G14
Простите за тупость, ну туплю я на ровном месте. Что значит применяется первой? А если затем следующая применяется и между ними конфликт? Если короче, то "которая главней?" local or OU. Если OU, то почему у меня доменная ее перебивает? Да и локальную тоже
На последний вопрос не нужно отвечать, он риторический.

Ici Chacal
Смотри. Попробую на пальцах объяснить....

Цитата:

Что значит применяется первой?

Политики содержатся в GPO, то бишь объектах групповой политики. То есть Default Domain Policy это GPO, и Default Domain Controller Policy это тоже GPO.
Когда клиент запрашивает политики на контроллере, объеты применяются по очереди как я описал выше(LSDOU). Если какие-то политики указаны в нескольких GPO, действующими будут применившиеся последними.

Цитата:

Если OU, то почему у меня доменная ее перебивает?

В GPO есть 2 раздела: Computer Configuration и User Configuration. Когда включается комп, политики применяются так:
Параметры из разделов Computer Configuration объектов:
-local GPO
-политика сайта, где расположен компьютер
-политика домена в который входит компьютер
-политика OU в которой находится компьютер
Когда пользователь логинится на комп, параметры из User Configuration:
-local GPO
-политика сайта
-политика домена в который входит пользователь
-политика OU в которой находится пользователь

Andoros

Цитата:

Расскажи как ты мунипулируешь свободным местом для юзеров ??? Какты это сделал ?
Стандартные средства Windows 2003 Server. Квотирование. Включается в свойствах диска.

Вопрос: Квотирование можно сделать для расшаренной папки для каждого пользователся ?

G14

Цитата:

политики применяются так

За исключение секции Account Policy и Local Policy, если я не ошибаюсь.... Она применяется только для домена и не перекрывается нижележащими политиками....

Цитата:

Квотирование можно сделать для расшаренной папки для каждого пользователся

Нет, только для логического диска..

noVel
Во первых дисковая квота определяется для пользователя /группы пользователей поэтому можно сделать так создать пользователю папку и разрешить запись пользователю только в эту папку ну и определить для этого пользователя дисковую квоту. Пользователь не сможет ничего записать в другое место кроме папки куда разрешена запись объем доступный для записи пользователю регулировать дисковой квотой.
Ну или как предложил FreemanRU для каждого пользователя создавать логический диск.

Andoros
А как определить для этого пользователя дисковую квоту ?
Где регулировать дисковой квотой ?

noVel
Правой кнопкой на диске, "Свойства", вкладка "Квоты". В ней настраиваешь значения по умолчанию. По кнопке "Записи квот" можешь настроить индивидуально каждому пользователю.

G14

Цитата:

Поэтому и не получается. Нужно:
-прикрутить политику к объекту домена
-создать группу безопасности, и ввести в нее все компьютеры, для которых нужно применить политику. Если нужно применить ко всем компам, кроме контроллеров, то группа уже есть: Domain Computers.
-в свойствах объекта групповой политики (кнопка properties на закладке Group policy) добавить эту группу безопасности с правами read и apply group policy и убрать оттуда группу Authenticated Users.

Кто-нибудь может мне разжевать очень и очень подробно, что нужно делать ?
Я же написал что только учучсь и профязык понять не смогу.

FreemanRU

Цитата:

За исключение секции Account Policy и Local Policy

Насколько я помню - за исключением только первой.
noVel

Цитата:

Кто-нибудь может мне разжевать очень и очень подробно, что нужно делать ?

Поэтому и не получается. Нужно:
-прикрутить политику к объекту домена (то есть правой кнопкой на названии домена в AD U&C там создаем новый объект политик)
-создать группу безопасности, и ввести в нее все компьютеры, для которых нужно применить политику. Если нужно применить ко всем компам, кроме контроллеров, то группа уже есть: Domain Computers. (Это требует комментария ?)
-в свойствах объекта групповой политики (кнопка properties на закладке Group policy) добавить эту группу безопасности с правами read и apply group policy и убрать оттуда группу Authenticated Users.

G14
Всё понял работает, но с компами.

Цитата:

-создать группу безопасности, и ввести в нее все компьютеры, для которых нужно применить политику. Если нужно применить ко всем компам, кроме контроллеров, то группа уже есть: Domain Computers. (Это требует комментария ?)

А если тоже самое сделать но с пользователями (включить в группу, но определённых пользователей и указать эту группу, в место группы компьютеров) и не работает Почему ? И можно сделать так ?

noVel

Цитата:

Почему ?

Параметры, определяемые в разделе Computer Configuration, действуют на компьютеры (независимо от того, кто на них логинится).
Если ты применяешь GPO только к определенной группе пользователей (то есть делаешь
Цитата:

включить в группу, но определённых пользователей и указать эту группу, в место группы компьютеров

) действовать будут ТОЛЬКО настройки из раздела User Configuration. Так как нужная тебе настройка (не показывать последнего входившего юзера) есть только в Computer Configuration, ответ на
Цитата:

И можно сделать так ?

будет - нет.

Использует ли кто нибуть программу ShadowUser Pro Edition 2.05 в компьютерных классах? Что хорошего/плохого можете про нее сказать?

Andoros
А чего за программа ? Чего делает ?

All
Назрело ещё несколько вопросиков

1. Возможно сделать при входе пользователя где вводится логин и пароль, раскладку по умолчанию английскую, а в системе по умолчанию русская. В общем всё должно остаться с раскладками и умолчанием по прежднему, но именно при входе стояла английская раскладка ?

2. Что за папки в сетевом окружении Сервера NETLOGON и SYSVOL ? Какова их надобность ? И можно ли их спрятать от глаз обыкновенных пользователей сети ?

3. Возможно сделать доступ к сетевому принтеру установленному на сервере открыт общий доступ, но через собственный пароль, чтобы не печатали все и всё подряд

noVel

Цитата:

2. Что за папки в сетевом окружении Сервера NETLOGON и SYSVOL ? Какова их надобность ? И можно ли их спрятать от глаз обыкновенных пользователей сети ?

первая из шар, это "наследие" NT4. В ней лежат разные логин-скрипты для юзеров и, в NT4 доменах, файлы системных политик.
Вторая- SYSVOL, это практически то же самое, но для AD-домена. В ней хранятся GPT (шаблоны групповых политик), если ты наберешь в ком. строке net share, то увидишь, что netlogon в AD домене на самом деле является одной из подпапок SYSVOL (...\sysvol\sysvol\domain\scripts). Это сделано для старых клиентов.
Соответственно, так как это очень важные общие ресурсы для работы домена, прятать от пользователей их не надо.

Цитата:

3. Возможно сделать доступ к сетевому принтеру установленному на сервере открвт общий доступ, но через собственный пароль, чтобы не печатали всё подряд

А не проще установить разрешения ?

noVel

Цитата:

1. Возможно сделать при входе пользователя где вводится логин и пароль, раскладку по умолчанию английскую, а в системе по умолчанию русская. В общем всё должно остаться с раскладками и умолчанием по прежднему, но именно при входе стояла английская раскладка ?

Код: Windows Registry Editor Version 5.00

[HKEY_USERS\.DEFAULT\Keyboard Layout\Preload]
"1"="00000409"
"2"="00000419"

noVel

Цитата:

Вот это поистине супер-программа... Почти все скачивают антивирусы, файрволы, антиспай программы, чтобы обезопасить свой компьютер от всякой гадости, которая блуждает по интернету... Зачем тратить столько времени, трафика и сил? Среди тысяч программ искать лучший антивирус, файрвол и т.д., боясь, что выйдет ещё лучше или новый вирус окончательно убьёт Ваш компьютер? Можно отбросить все эти ненужные домыслы и поставить себе одну программку - ShadowUser... Что же она делает такого, что заменяет сразу все программы для безопасности ПК? Ничего особенного - она просто скрывает Ваш системный диск; объясню нормально: ставите чистенькую операционную систему (это не обязательно), устанавливаете все драйвера, необходимые программы и всё такое, а потом устанавливаете ShadowUser и активируете ShadowMode - тем самым программа делает снимок диска C: и следит за абсолютно всеми изменениями, Вы можете лазить по сайтам любой тематики, загрязнять компьютер хоть чем: черви, трояны, спай, даунлоадеры, диалеры и всё прочее... Как только Вам нужно всё вернуть на свои места, просто перезагрузите компьютер - всё, что Вы нахватали, разом удалится и система будет работать чётко как часики... Эта программа не делает файл-образ диска, как, например, Norton Ghost или Drive Image, она действует по другой уникальной технологии, Вы пользуетесь компьютером как обычно, он загружается ничуть не медленнее, просто когда активен ShadowMode, Вы как будто сидите за виртуальным компьютером, которого как бы не существует, и когда система уже под ноль загрязнена, просто перезагружаетесь - и, вуаля, всё на своих местах как будто бы ничего не было... "А если я скачивал программы, нужные мне, а потом полезли вирусы, я перезагрузил компьютер, и то и это удалилось?" - скажите Вы, не волнуйтесь, в программе всё чётко можно настроить, чтобы Вы не теряли то, что кровью и потом выкачали из интернета на протяжении долгих часов или нескольких минут... Определённо, лучшая программа в своём классе, правда ей очень трудно найти аналог! Просто обязана присутствовать у каждого уважающего себя пользователя!

------

Цитата:

Компания ShadowStor создала продукт, который позволяет Вам все: запускать трояны, вирусы, да все подряд, всепрограммы с неизвестным происхождением - чем обычно люди и занимаются на своих компьютерах. У вас что-то стерли на диске, записалась программа, которая при запуске explorerа выводит рекламу? Что делать? Куда звонить? Ничего. Просто перезагрузись.
Для безопасного тестирования программ и прочих издевательств над Windows. Позволяет операционной системе работать как бы на образе диска (снапшоте). То есть вы работаете на компьютере как обычно, но после перезагрузки диск выглядит совершенно чистым как при начально зафиксированной конфигурации. С точки зрения файловой системы – она монтируется не на реальном диске, а на образе (снапшоте) диска. То есть после загрузки операционной системы вы работаете и изменяете не сам диск, а его образ, который удаляется после перезагрузки. Отличительной особенностью данной системы является то, что образ нигде не хранится. Точнее хранится, но в незанятых данными секторах диска, что не замечает пользователь. Управляет всей переадресацией записи и чтения фильтр файловой системы. Поддерживаются все имеющиеся в Windows файловые системы. Заметьте, что тратить время на создание образа не нужно. Все делается мгновенно.

Привет!
Подскажите... где надо поменять настройки ?!
Работала раньше сеть в рабочей группе, перевёл её в домен, но на компьютерах теперь стал вход в домен и локально на компьютер...
Так вот, вопрос такой:
Когда логинишься на компьютер локально, то к принтеру не пускает сервер...
а когда логинишься в домене всё ок, печатает, к опциям допускает и т.п.
-
принтер установлен на сервере.

X_Factor

Цитата:

Подскажите... где надо поменять настройки ?!

В голове. Шутка
Принтер, подключенный к серверу (я так понимаю к контроллеру домена) является ресурсом домена, доступ к которому имеют только пользователи домена. Когда ты логинишься локально, ты им не являешься. Потому и в доступе отказано.
Это просто идеология такая. С этим ничего не поделаешь. Как говорится, by design.

G14

Цитата:

Возможно сделать доступ к сетевому принтеру установленному на сервере открвт общий доступ, но через собственный пароль, чтобы не печатали всё подряд

А не проще установить разрешения ?

С доступом не получится.
К примеру вот делаю лабораторную и по лабораторной нужно распечатать результат выбирают принтер, учитель вводит пароль и распечатывают. А вот когда вдруг кто то из учеников побалуется или промахёнтся как начнёт принтер печатать по 100 страниц ерунды, они то нажимаю, а принтер печатает

Ищу замену Symantec Antivirus Corporate Edition для комп. класса ибо выше означенный продукт со свежей базой не справился и пропустил вирь в сеть. Что посоветуете на замену?

Andoros
я бы посоветовал на серваке оставить Symantec (работает довольно шустро.. при активной работе с документами на сервере тормозов не возникало), а на рабочие станции ставить что-нить альтернативное - например тот же dr web...
получается как бы двойной контроль... - и шанс пропустить незнакомый вирус падает.. не в два раа конечно но все же. хотя конечно теряется преимущество от корпоративных антивирусных систем и добавляется геммор с настройкой...

IJCuper
Почти так и было сделано. На сервере стоит NOD32 и сервер выстоял а вот рабочие станции с Symantec Antivirus Corporate Edition попадали. Отказываться от удобства корпоративного антивиря в пользу чего то локального не хочется за год как то уже привык поэтому ищу замену именно из семейства корпоративных антивирей.
Еще конечно Symantec Antivirus Corporate Edition был v. 9 rus хотя конечно думаю что и v. 10 не спасла бы.

Новый вопрос.
Не решил заводить новую тему на форуме, а решил тут, так как по теме.
Системы XP и Server 2003 (поднят домен)

Нужно знать какой пользователь когда заходил ???
А главное знать когда и на каком компе входил под Админом или .... если конечно возможно, хотябы пытался войти под Админом ?

P.S. По форуму не посылать, нужна конкретика.

noVel
в групповых политиках "Конфигурация компьютера -> Конфигурация Windows -> Параметры безопасности -> Локальные политики -> Политика аудита"

kazavo4ka

Цитата:

в групповых политиках "Конфигурация компьютера -> Конфигурация Windows -> Параметры безопасности -> Локальные политики -> Политика аудита"

А это можно чем-то собирать по локальной сети и смотреть на сервере ?

noVel
http://gfi.com/
или тут
Я знаю только этот продукт.

kazavo4ka
Спасибо ! Но по этому поводу есть ещё вопрос, но по позже

Ещё
Не могу понять, чего обозначает маленьки ярлычок на файлах. Ярлычок в том месте где маленькая стрелка когда создаешь ярлык на раб.столе. Но ярлык выглядит по другому. Он квадратный и белый, а внутри две синии стрелки обозначающие как бы круговое движение.
Кто понял или выложить картинку ? Подскажите что он обозначает и как его убрать ?

noVel

Цитата:

Не могу понять, чего обозначает маленьки ярлычок на файлах. Ярлычок в том месте где маленькая стрелка когда создаешь ярлык на раб.столе. Но ярлык выглядит по другому. Он квадратный и белый, а внутри две синии стрелки обозначающие как бы круговое движение.
Кто понял или выложить картинку ? Подскажите что он обозначает и как его убрать ?

Ни кто не понял или нет выхода ?

Вернусь к папкас сервера NETLOGON и SYSVOL.
И можно ли их спрятать от глаз обыкновенных пользователей сети ?

А то заходят в эти паки и ковырятся там, запускаю чужие скрипты, ведь они там лежат для всех...... в сети явных папок нет, кроме NETLOGON и SYSVOL как убрать ?