А можно ли как нибудь использовать групповые политики если поднять домен под линуксом?
» Обсуждение статьи "Групповые политики Active Directory"
IT_profi
Цитата:
Скорее, если домен AD, а клиенты Unix/Linux/Mac. Но, насколько я знаю, только через продукты третьих фирм.
Цитата:
А можно ли как нибудь использовать групповые политики если поднять домен под линуксом?
Скорее, если домен AD, а клиенты Unix/Linux/Mac. Но, насколько я знаю, только через продукты третьих фирм.
Как можно разрешить пользователям в домене менять свои обои, темы, заставки, сейчас при попытке смены любого из этих параметров ругается на отсутствие прав ....
FishHead
Дайте им права Power Users. Кажется так. Или запретите всем, а для избранных создайте отдельный объект групповой политике и включите фильтрацию безопасности.
Дайте им права Power Users. Кажется так. Или запретите всем, а для избранных создайте отдельный объект групповой политике и включите фильтрацию безопасности.
TCPIP:
Большое спасибо за совет
Но к сожалению не помогло
Большое спасибо за совет
Но к сожалению не помогло
FishHead
А в административном шаблоне вы не ограничили доступ к рисунку рабочего стола и заставке?
Посмотрите, не включены ли политики Prevent changing wallpaper и Screen Saver вот здесь User Configuration/Administrative Templates/Control Panel/Display.
Получить список политик, применяющихся для пользователя, можнго выполнив gpresult в контексте (то есть под учетной записью) пользователя или выполнив rsop.msc и проведя фильтрацию для конкретного пользователя.
Странно конечно, что члены Power Users это не могут, ибо у них достаточно широкие права
Цитата:
Так как они могут устанавливать службы и печатать, они еще и драйверы могут устанавливать и загружать в память.
Помните только, что это локальная группа.
Вот полный список прав предоставляемых группе.
Может, у вас фильтрация не так прошла... Вот тут хорошо написано, как использовать функциональность restricted groups.
А в административном шаблоне вы не ограничили доступ к рисунку рабочего стола и заставке?
Посмотрите, не включены ли политики Prevent changing wallpaper и Screen Saver вот здесь User Configuration/Administrative Templates/Control Panel/Display.
Получить список политик, применяющихся для пользователя, можнго выполнив gpresult в контексте (то есть под учетной записью) пользователя или выполнив rsop.msc и проведя фильтрацию для конкретного пользователя.
Странно конечно, что члены Power Users это не могут, ибо у них достаточно широкие права
Цитата:
Power Users can:
Run legacy applications in addition to Windows 2000 certified applications.
Install programs that do not modify operating system files or install system services.
Customize system-wide resources including Printers, Date/Time, Power Options, and other Control Panel resources.
Create and manage local user accounts and groups.
Stop and start system services which are not started by default
Так как они могут устанавливать службы и печатать, они еще и драйверы могут устанавливать и загружать в память.
Помните только, что это локальная группа.
Вот полный список прав предоставляемых группе.
Может, у вас фильтрация не так прошла... Вот тут хорошо написано, как использовать функциональность restricted groups.
Здравствуйте! Помогите пожалуйста советом в решении проблемы:
Есть домен1 со своим контроллером, со своим dhcp, со своим диапазоном выдаваемых адресов 192.*.*.*, есть 250 пользователей с компьютерами входящими в этот домен.
Нужно массово, с рабочего места администратора (не бегая по всем компам) перевести все компьютеры в другой домен2, т.е. нужно как-то автоматизировать процесс:
1. Вывести все компьютеры из домена1.
2. Выключить контроллер домена1.
3. Включить контроллер домена2.
3. Ввести все компьютеры в домен2.
Есть полные права на оба домена и на все компы. На контроллере домена2 стоит dns, dhcp, адреса выдаёт 10.*.*.*.
Пробовал утилитой netdom с параметрами remove, join, move, полностью не получилось. netdom remove при включенном контроллере домена1 выводит удалённо компы из домена1, но почему-то не перегружает комп автоматом, пишет "нет доступа", а это не годится - не перезагружать же мне 250 компов вручную заходя на каждый?!
netdom move, насколько я понимаю требует включенных оба контролера доменов (чтобы вывести из домена1 и ввести в домен2). Данный вариант тоже видимо не совсем оптимален, т.к. домены в разных подсетях (10 и 192).
Что тут можно придумать? Подскажите пожалуйста. Заранее благодарю.
Есть домен1 со своим контроллером, со своим dhcp, со своим диапазоном выдаваемых адресов 192.*.*.*, есть 250 пользователей с компьютерами входящими в этот домен.
Нужно массово, с рабочего места администратора (не бегая по всем компам) перевести все компьютеры в другой домен2, т.е. нужно как-то автоматизировать процесс:
1. Вывести все компьютеры из домена1.
2. Выключить контроллер домена1.
3. Включить контроллер домена2.
3. Ввести все компьютеры в домен2.
Есть полные права на оба домена и на все компы. На контроллере домена2 стоит dns, dhcp, адреса выдаёт 10.*.*.*.
Пробовал утилитой netdom с параметрами remove, join, move, полностью не получилось. netdom remove при включенном контроллере домена1 выводит удалённо компы из домена1, но почему-то не перегружает комп автоматом, пишет "нет доступа", а это не годится - не перезагружать же мне 250 компов вручную заходя на каждый?!
netdom move, насколько я понимаю требует включенных оба контролера доменов (чтобы вывести из домена1 и ввести в домен2). Данный вариант тоже видимо не совсем оптимален, т.к. домены в разных подсетях (10 и 192).
Что тут можно придумать? Подскажите пожалуйста. Заранее благодарю.
kmax1980
Перезагружать можно через shutdown.exe.
Цитата:
Какжется так.
Нет доступа, потому что брандмауэр, видимо, включен.
Вот тут есть кое-какие сценарии по выводу машин из домена.
Можно сделать это через WMI с помощью PowerShell
Цитата:
А можете попробовать через WMIC - интерпретатор для работы с WMI из командной строки. Здесь можно без сценариев просто через CMD-файл.
Перезагружать можно через shutdown.exe.
Цитата:
shutdown -s \\computer -r
Какжется так.
Нет доступа, потому что брандмауэр, видимо, включен.
Вот тут есть кое-какие сценарии по выводу машин из домена.
Можно сделать это через WMI с помощью PowerShell
Цитата:
$comp = get-wmiobject Win32_ComputerSystem
$comp.Rename(“newComputerName”,”password”,”administrator”)
$comp.JoinDomainOrWorkGroup(“MYDOMAIN”,”domainPassword”,”MYDOMAINdomainAdmin”,$null,3)
А можете попробовать через WMIC - интерпретатор для работы с WMI из командной строки. Здесь можно без сценариев просто через CMD-файл.
kmax1980
а как вы будите подрубать все обратно их профили .... юзера взвоют если вы это будтите делать удаленно ручками через реестор...
Утилита от микросрфта Мгрейшен Тулс спосет отца рруской демократии.... но есть одинньюанс - если у вас в качестве почты используеться микрософт екчендж то миграция каждого юзера будет происходить порядка 20-30 минут (в завимимости конечно от размера почтого ящика
а как вы будите подрубать все обратно их профили .... юзера взвоют если вы это будтите делать удаленно ручками через реестор...
Утилита от микросрфта Мгрейшен Тулс спосет отца рруской демократии.... но есть одинньюанс - если у вас в качестве почты используеться микрософт екчендж то миграция каждого юзера будет происходить порядка 20-30 минут (в завимимости конечно от размера почтого ящика
Цитата:
а как вы будите подрубать все обратно их профили .... юзера взвоют если вы это будтите делать удаленно ручками через реестор...
Утилита от микросрфта Мгрейшен Тулс спосет отца рруской демократии.... но есть одинньюанс - если у вас в качестве почты используеться микрософт екчендж то миграция каждого юзера будет происходить порядка 20-30 минут (в завимимости конечно от размера почтого ящика
С помощью утилиты MT, насколько я понимаю, осуществляется миграция пользователей из домена в домен. Мне же надо лишь вывести компьютеры из одного домена и ввести во второй (в котором пользователи уже заведены). Проблемы в профилями и с почтой не стоит.
на обоих контроллерах домена не запускается Политик безопасности контоллера домена
dcpol.msc / с параметрами и в чистом виде - пишет указанный домен не найден или к нему невозможно подключиться.
как это исправить?
dcpol.msc / с параметрами и в чистом виде - пишет указанный домен не найден или к нему невозможно подключиться.
как это исправить?
Цитата:
Перезагружать можно через shutdown.exe.
Цитата:shutdown -s \\computer -r
Кажется так.
Нет доступа, потому что брандмауэр, видимо, включен.
Перезагружать через shutdown.exe после выполнения команды netdom remove не получается, пишет нет доступа, хотя до выполнения команды перезагружать через shutdown.exe можно, связано это видимо с тем что после того как компьютер выведен из домена я уже не администратор компа, и поэтому он не позволяет делать это.
Брандмауэр выключен.
В принципе утилита netdom c командой move как раз то что мне нужно, только разобраться бы как правильно с ней работать, какой/какие домены должны быть доступны при выполнении дянной команды.... У меня нет возможности сделать так чтобы оба домена были доступны с компьютера, т.к. у доменов разные подсети, друг другу не видимые. Как быть?
kmax1980
А Вы не расматривали возможности утилиты sysprep (запечатывания образа перед клонированием)
там сносятся ключи winxp, пароли администратора и регистрации в домене
но можно писать сценарии с указанием этих данных
Я в одной мелкой конторе использовал ее - результат был в целом удовл.
но примерно 25% компов пришлось переставлять систему , в основном это были компы апдайтные с win2k на winxp.
Цитата:
можно попробывать увеличить маску (255.255.0.0) если подсети совпадают.
и еще можно увидить обе подсети используя статический ip адрес и указание альтернотивного адреса
А Вы не расматривали возможности утилиты sysprep (запечатывания образа перед клонированием)
там сносятся ключи winxp, пароли администратора и регистрации в домене
но можно писать сценарии с указанием этих данных
Я в одной мелкой конторе использовал ее - результат был в целом удовл.
но примерно 25% компов пришлось переставлять систему , в основном это были компы апдайтные с win2k на winxp.
Цитата:
У меня нет возможности сделать так чтобы оба домена были доступны с компьютера, т.к. у доменов разные подсети, друг другу не видимые
можно попробывать увеличить маску (255.255.0.0) если подсети совпадают.
и еще можно увидить обе подсети используя статический ip адрес и указание альтернотивного адреса
Коллеги подскажите пожалуйста о процессе применения групповых политик:
Во всех источниках говорится о том, что при первом включении компьютера накатываются политики для компьютера, при логоне накатываются политики для пользователя, здесь все понятно.
Но в случае второго, третьего и последующих запусков компьютера и логонах пользователя, применение политик происходит по той же схеме или все-таки есть механизм, который определяет, что параметры политики для компьютера и для пользователя не менялись и заново применять ничего не надо.
Вопрос возник исходя из того, что default domain policy на sysvol занимает примерно 4MB, но при запуске компьютера, и логоне пользователя, который уже заходил в этот домен генерируется сетевой трафик порядка 200Kb, а default domain policy не единственная политика действующая на этого пользователя и компьютер.
Может кто-нибудь подсказать про этот механизм?
ссылки на первоисточник приветствуются..
Во всех источниках говорится о том, что при первом включении компьютера накатываются политики для компьютера, при логоне накатываются политики для пользователя, здесь все понятно.
Но в случае второго, третьего и последующих запусков компьютера и логонах пользователя, применение политик происходит по той же схеме или все-таки есть механизм, который определяет, что параметры политики для компьютера и для пользователя не менялись и заново применять ничего не надо.
Вопрос возник исходя из того, что default domain policy на sysvol занимает примерно 4MB, но при запуске компьютера, и логоне пользователя, который уже заходил в этот домен генерируется сетевой трафик порядка 200Kb, а default domain policy не единственная политика действующая на этого пользователя и компьютер.
Может кто-нибудь подсказать про этот механизм?
ссылки на первоисточник приветствуются..
Цитата:
А Вы не расматривали возможности утилиты sysprep (запечатывания образа перед клонированием)
там сносятся ключи winxp, пароли администратора и регистрации в домене
но можно писать сценарии с указанием этих данных
Я в одной мелкой конторе использовал ее - результат был в целом удовл.
но примерно 25% компов пришлось переставлять систему , в основном это были компы апдайтные с win2k на winxp.
А можно поподробнее про запечатывания образа перед клонированием? Это прийдётся переустанавливать на машинах систему?
С удалённой перезагрузкой компьютера я справился - не получалось из-за того что компьютер с которого пытался перезагрузить был в домене, а перезагружаемый был в рабочей группе. И ещё пришлось в групповой политике домена (старого) пункт «Параметры безопасности - Локальные политики - Параметры безопасности» политику «Сетевой доступ: модель совместного доступа и безопасность для локальных учетных записей» в положение «Обычная – локальные пользователи удостоверяются как они сами». Вывел из домена первый комп и всё заработало.
Теперь проблема в другом - включил новый домен, машины все в рабочей группе, пытаюсь их ввести в новый домен через netdom join - пишет "Вход в систему не произведен: имя пользователя или пароль не опознаны". Видимо ещё влияет что после выведения из старого домена политика «Сетевой доступ: модель совместного доступа и безопасность для локальных учетных записей» "слетает" на гостевую. Если её ручками поставить в положение «Обычная – локальные пользователи удостоверяются как они сами», то комп удается ввести в домен. Соответственно вопрос - есть ли средства удалённого изменения локальной политики безопастности в рабочей группе?
kmax1980
sysprep находится на установочном диске XP \SUPPORT\TOOLS\DEPLOY.CAB
там же и хелп для него
для использования утилиту нужно поместить на комп и запустить (можно создать сценарий ответов) после перезапуска компа стираются номера лицензий, пароль локального админа, осуществляется автоматический выход из домена.
"...Программа Sysprep может быть запущена только в том случае, когда компьютер входит в рабочую группу, а не в домен. Если компьютер присоединен к домену, программа Sysprep удаляет его из домена. ..." - это из хелпа.
если запускали без сценария то придеться все данный вносить руками. Или писать сценарий.
Для работы с таким количеством компов (250 шт) , да еще при желании полного автомата, этот метод может вообще не подойти, например когда номера лицензии на winxp для каждого компа свой.
При VolumeLicense код на все один. тогда можно попробывать при помощи ГО и скриптов осуществить копирование утилиты со всем необходимым на каждый локальный диск и ее запуск. После запуска утилита сама перегружает комп и стирает саму себя.
как я говорил в прошлый раз, 25% компов мне пришлось все равно переставлять.
Вот что я еще подумал.
У вас стоит проблема, что перевод компов через netdom невозможен из-за того, что домены лежат в разных подсетях.
А почему бы второй домен временно не разместить в подсети первого. Друг другу они мешать не будут. Так как оба домена расположены в одном физическом сегменте предлаю:
запустить domain1, DNS1, DHCP1
запустить domain2 DNS2 . DHCP2 - выключен - все равно в одной физическом сегменте может существоват только один DHCP
domain2 и dns2 временно ввести в подсеть первого домена 192.168.*.*
на этом шаге провести проверку, чтобы рабочая станция видела контролер domain2 - обратиться к нему по ip адресу. А наверное еще будет лучше в DNS1 сделать А-запись на комп с DC домена2. Тогда рабочие станции должны его увидить и по имени.
провести перевод компов утилитой netdom.
перевести домен2 и dns2 на родной сектор, выключить DHCP1 и включить DHCP2.
вот примерно так
А если подумать, то перевод домена2 в подсеть домена1 - это необходимый шаг.
Рабочая станция получает сетевые данные на стадии запуска ОС, до регистрировании в домене. И следовательно там будут настройки с DHCP1. А там нет никаких данных о втором домене. Поэтому второй домен станция тупо не увидит.
Если же в dns1 просто занести адрес dc домена2 (10.1.1.1), то связи не будет, так как подсети доменов сильно разняться (10.*.*.* 192.168.*.*) и маска не позволит. Можно конечно покрутить с таблицами маршрутинизации, но это еще тот гемор.
sysprep находится на установочном диске XP \SUPPORT\TOOLS\DEPLOY.CAB
там же и хелп для него
для использования утилиту нужно поместить на комп и запустить (можно создать сценарий ответов) после перезапуска компа стираются номера лицензий, пароль локального админа, осуществляется автоматический выход из домена.
"...Программа Sysprep может быть запущена только в том случае, когда компьютер входит в рабочую группу, а не в домен. Если компьютер присоединен к домену, программа Sysprep удаляет его из домена. ..." - это из хелпа.
если запускали без сценария то придеться все данный вносить руками. Или писать сценарий.
Для работы с таким количеством компов (250 шт) , да еще при желании полного автомата, этот метод может вообще не подойти, например когда номера лицензии на winxp для каждого компа свой.
При VolumeLicense код на все один. тогда можно попробывать при помощи ГО и скриптов осуществить копирование утилиты со всем необходимым на каждый локальный диск и ее запуск. После запуска утилита сама перегружает комп и стирает саму себя.
как я говорил в прошлый раз, 25% компов мне пришлось все равно переставлять.
Вот что я еще подумал.
У вас стоит проблема, что перевод компов через netdom невозможен из-за того, что домены лежат в разных подсетях.
А почему бы второй домен временно не разместить в подсети первого. Друг другу они мешать не будут. Так как оба домена расположены в одном физическом сегменте предлаю:
запустить domain1, DNS1, DHCP1
запустить domain2 DNS2 . DHCP2 - выключен - все равно в одной физическом сегменте может существоват только один DHCP
domain2 и dns2 временно ввести в подсеть первого домена 192.168.*.*
на этом шаге провести проверку, чтобы рабочая станция видела контролер domain2 - обратиться к нему по ip адресу. А наверное еще будет лучше в DNS1 сделать А-запись на комп с DC домена2. Тогда рабочие станции должны его увидить и по имени.
провести перевод компов утилитой netdom.
перевести домен2 и dns2 на родной сектор, выключить DHCP1 и включить DHCP2.
вот примерно так
А если подумать, то перевод домена2 в подсеть домена1 - это необходимый шаг.
Рабочая станция получает сетевые данные на стадии запуска ОС, до регистрировании в домене. И следовательно там будут настройки с DHCP1. А там нет никаких данных о втором домене. Поэтому второй домен станция тупо не увидит.
Если же в dns1 просто занести адрес dc домена2 (10.1.1.1), то связи не будет, так как подсети доменов сильно разняться (10.*.*.* 192.168.*.*) и маска не позволит. Можно конечно покрутить с таблицами маршрутинизации, но это еще тот гемор.
Цитата:
Вот что я еще подумал.
У вас стоит проблема, что перевод компов через netdom невозможен из-за того, что домены лежат в разных подсетях.
А почему бы второй домен временно не разместить в подсети первого. Друг другу они мешать не будут. Так как оба домена расположены в одном физическом сегменте предлаю:
запустить domain1, DNS1, DHCP1
запустить domain2 DNS2 . DHCP2 - выключен - все равно в одной физическом сегменте может существоват только один DHCP
domain2 и dns2 временно ввести в подсеть первого домена 192.168.*.*
на этом шаге провести проверку, чтобы рабочая станция видела контролер domain2 - обратиться к нему по ip адресу. А наверное еще будет лучше в DNS1 сделать А-запись на комп с DC домена2. Тогда рабочие станции должны его увидить и по имени.
провести перевод компов утилитой netdom.
Об этом я тоже думал. В DC domain2 2 сетевых. вторую воткнул в сеть domain1, после чего DC domain2 стал виден рабочим станциям и по имени и по ip. Вручную любая рабочая станция вводится/выводится из любого домена безпроблемно.
Строчка NETDOM MOVE 192.168.3.25 /Domain:domain2 /UserD:Администратор@domain2 /PasswordD:* /userf:Administrator@domain1 /passwordf:* /REBoot:2 выдаёт ошибку: Указанный домен не существует или к нему невозможно подключиться. The command failed to complete successfully.
Не пойму почему не даёт выполнить команду.
kmax1980
...хз.
как вариант: указать рабочей станции два DNS: DNS1 и DNS2 разных доменов.
еще вариант - это когда плохо назван домен, например domain.ru, тогда комп пытается его найти во внешней сетке и еще хуже если найдет.
Был у меня прецендент, когда имя домена совпало с существующим доменом в Америке.
тогда, как только подключил инет, так сразу и отгреб проблем.
...хз.
как вариант: указать рабочей станции два DNS: DNS1 и DNS2 разных доменов.
еще вариант - это когда плохо назван домен, например domain.ru, тогда комп пытается его найти во внешней сетке и еще хуже если найдет.
Был у меня прецендент, когда имя домена совпало с существующим доменом в Америке.
тогда, как только подключил инет, так сразу и отгреб проблем.
Цитата:
как вариант: указать рабочей станции два DNS: DNS1 и DNS2 разных доменов.
Завтра попробую.
Цитата:
еще вариант - это когда плохо назван домен, например domain.ru, тогда комп пытается его найти во внешней сетке и еще хуже если найдет.
Был у меня прецендент, когда имя домена совпало с существующим доменом в Америке.
тогда, как только подключил инет, так сразу и отгреб проблем.
Ха, прикольно.
У меня этот вариант исключен, т.к. сеть орезана от инета проксёй.Здравствуйте уважаемые коллеги! Статья супер, помогла во многом. Автору бесспорно "респект и уважуха" 
Но хочу задать вопрос, может у кого-то была такая проблема. С GP в домене было всё хорошо до сегодняшнего дня... захотел создать политику и ограничить юзерам функции explorer-а (борзеть начали). Сказал в оснастке Active Directory...>имярек домена>Properties>Group Policy>New... и получил сообщение "Group Policy Error. You do not have permission to perfom this operation. Detalis: access is denied.". Также не даёт корректировать существующие политики: при сохранении изменений появляется ошибка о невозможности записи в каталоги политик (причем это каталоги дефолтовых политик DD или DD_CP), хотя неделю назад спокойно правил другую политику. Всё происходит на любом из двух моих контроллеров домена, логинюсь на них естественно администратором домена. Есть мысли на этот счет?
Но хочу задать вопрос, может у кого-то была такая проблема. С GP в домене было всё хорошо до сегодняшнего дня... захотел создать политику и ограничить юзерам функции explorer-а (борзеть начали). Сказал в оснастке Active Directory...>имярек домена>Properties>Group Policy>New... и получил сообщение "Group Policy Error. You do not have permission to perfom this operation. Detalis: access is denied.". Также не даёт корректировать существующие политики: при сохранении изменений появляется ошибка о невозможности записи в каталоги политик (причем это каталоги дефолтовых политик DD или DD_CP), хотя неделю назад спокойно правил другую политику. Всё происходит на любом из двух моих контроллеров домена, логинюсь на них естественно администратором домена. Есть мысли на этот счет?я вот сколько время пытаюсь на виртуальных машинах через GPO разветовывать MSI пакеты, но как-то не устанавливается.
например, все делаю так, как в видеокурсе по ISA 2004, через AD на клиент.машинах поставить firewall clinet, но не ставляется
комп в домене, пингуются все на всех, все IP адреса написано правильно..
когда перезагружаю клиента, во время загрузки netlogon, там отображается, что типа пакеты устанавливает, но когда захожу в систему там ничего на самом деле не установлен.
ручным пробовал настроить - все великолепно установился.
в логах ничего нету. и на клиенте и на сервере.
OS сервера - w2k3
ОС клинета - win XP sp2 pro
например, все делаю так, как в видеокурсе по ISA 2004, через AD на клиент.машинах поставить firewall clinet, но не ставляется
комп в домене, пингуются все на всех, все IP адреса написано правильно..
когда перезагружаю клиента, во время загрузки netlogon, там отображается, что типа пакеты устанавливает, но когда захожу в систему там ничего на самом деле не установлен.
ручным пробовал настроить - все великолепно установился.
в логах ничего нету. и на клиенте и на сервере.
OS сервера - w2k3
ОС клинета - win XP sp2 pro
kmax1980
Цитата:
Это здесь ни причем. Куда пойдут DNS-запросы и что получит рабстанция при вызове компа в одноимном доменной зоне? DNS запрос вполне может пойти через шлюз. Вот я и наблюдал плавающую неисправность, когда по непонятным мне причинам, часть машин периодически теряла связь с доменом. Конечно, можно настроить DNS и шлюз так чтобы запросы ходили правильно. В тот случай я не стал с этим заморачиваться, и поскольку домену было всего 2 дня отроду, я его снес и поставил другой.
weniceman
с GP я работаю через коноль mmc.exe (можно набрать прямо в командной строке) там подключаю оснаску редактора GP. А лучше всего использовать GroupPolicyConsole - очень удобно
http://www.microsoft.com/downloads/details.aspx?FamilyId=0A6D4C24-8CBD-4B35-9272-DD3CBFC81887&displaylang=en
contrafack
поробуете проставить на компы более новый инсталер Installer 3.1
(поищите у MS).
Цитата:
У меня этот вариант исключен, т.к. сеть орезана от инета проксёй.
Это здесь ни причем. Куда пойдут DNS-запросы и что получит рабстанция при вызове компа в одноимном доменной зоне? DNS запрос вполне может пойти через шлюз. Вот я и наблюдал плавающую неисправность, когда по непонятным мне причинам, часть машин периодически теряла связь с доменом. Конечно, можно настроить DNS и шлюз так чтобы запросы ходили правильно. В тот случай я не стал с этим заморачиваться, и поскольку домену было всего 2 дня отроду, я его снес и поставил другой.
weniceman
с GP я работаю через коноль mmc.exe (можно набрать прямо в командной строке) там подключаю оснаску редактора GP. А лучше всего использовать GroupPolicyConsole - очень удобно
http://www.microsoft.com/downloads/details.aspx?FamilyId=0A6D4C24-8CBD-4B35-9272-DD3CBFC81887&displaylang=en
contrafack
поробуете проставить на компы более новый инсталер Installer 3.1
(поищите у MS).
Imko
поставил даже Windows Installer 4.5.
да дела в том, что просто на компе запустить MSI пакет - запускается и даже устанавливается на ура, а вот через GPO - никак немогу заставить установится
поставил даже Windows Installer 4.5.
да дела в том, что просто на компе запустить MSI пакет - запускается и даже устанавливается на ура, а вот через GPO - никак немогу заставить установится
contrafack
хз, может прав не хватает.
Вы в какой части GO ставите загрузку в Computer или User?
хз, может прав не хватает.
Вы в какой части GO ставите загрузку в Computer или User?
Imko
Цитата:
нет, прав должен "хватать". пользователь имеет права админ домена.
Цитата:
в computer.
в видеокурсе так показано.
Цитата:
хз, может прав не хватает.
нет, прав должен "хватать". пользователь имеет права админ домена.
Цитата:
Вы в какой части GO ставите загрузку в Computer или User?
в computer.
в видеокурсе так показано.
Цитата:
как вариант: указать рабочей станции два DNS: DNS1 и DNS2 разных доменов.
Не помогает - при попытке
NETDOM MOVE 192.168.5.68 /Domain:domain2 /UserD:Администратор@domain2 /PasswordD:*
после ввода пароля админа domain2 пишет "Указанный домен не существует или к нему невозможно подключиться.". Причем один раз именно такой командой получилось перевести в другой домен. Пинг на dc2 идёт с обоих машин. Как-то странно он (netdom) выдаёт ошибки - то есть ошибка, то нет ошибки.... Чё за бред?
Кто-нибудь знает, как ограничить доступ определенной группе или пользователю к интернету? А то надо ограничить доступ студентам, т.е. сделать так чтобы они ходили только на определенные сайты, а не на все. А сотрудникам оставить на все. Я знаю, как это делается в ISA-сервере, но он так тормозит систему. После перестановки виндоса че-то так неохота опять его устанавливать. Можно ли как-то это сделать средствами самой Windows 2003 без посторонних файерволов? Сервер Win2003 является контроллером домена.
Пробовал это сделать с помощью групповой политики - не получается. Эта политика почему-то действует всегда на всех сразу, хотя я создал отдельный контейнер для студентов и редактировал политику для него.
Пробовал это сделать с помощью групповой политики - не получается. Эта политика почему-то действует всегда на всех сразу, хотя я создал отдельный контейнер для студентов и редактировал политику для него.
Подскажите как политикой регулировать пользователям сохранения файлов в ту или иную папку только определенного формата
kmax1980
Цитата:
Тогда нужно олицетворяться от имени локальной учетной записи. Для этого на удаленной машине должна быть локальная учетная запись с тем же именем и паролем, по которыми вы выполняете shutdown.
Впрочем, вы поди уж решили все давно. Расскажите, пожалуйста, интересно, каково правильно решение?
Добавлено:
vovney
Цитата:
Ищите проблему в DNS или в настройках сетевых интерфейсов.
Попробуйте выполнить команду dcdiag /test:dns на компьютере, на котором вы получате сообщения об ошибках GP Engine.
Попробуйте также включить режим отладки GP.
Добавлено:
snovitsi
Цитата:
Вот здесь рассказывается (в блок-схемах) как работает механизм групповых политик.
Добавлено:
olpi
Цитата:
Если я правильно понимаю, это делается через политики IPSec. Но могу и врать. Попробуйте в этом направлени сперва посмотреть.
Был еще дедовский способ. Создаете 2 группы - Internet Access и No Internet Access. Теперь всей группе No Internet Access задаете пустой прокси, который ведет никуда. Все. Эта группа не будет иметь доступа в интернет вообще. Однако, незабудьте отключить на сервере службу wpad, если у вас настроено web-proxy autodiscovery и вы пускаете разные подсети по разным прокси. (Кстати, это еще один способ - создание *.wpad-файла, который расписывает, какая подсеть получает какой прокси. Wpad-файл пишется на JScript и содержит всего лишь условия IF THEN ELSE)
А что вы так студеров мучаете? Что плохого в том, что у них будет доступ в интернет? Ну, будут студеры голову ломать над тем, как его найти. И, уверяю вас, найдут...
Добавлено:
contrafack
Цитата:
Так как клиент - WinXP, он может входить в домент по кешированым учетным данным. Поэтому установка MSI-пакета (assign или publish) произойдет только после второй перезагрузки, потому как с первого раза не выполнится вся процедура аутентификации (нужно чтобы он выполнялась синхронно, а она выполняется асинхронно). Чтобы установка происходила с первого раза, нужно отключить в политиках logon optimization и влючить политику wait for link.
Цитата:
Цитата:
Перезагружать через shutdown.exe после выполнения команды netdom remove не получается, пишет нет доступа, хотя до выполнения команды перезагружать через shutdown.exe можно, связано это видимо с тем что после того как компьютер выведен из домена я уже не администратор компа, и поэтому он не позволяет делать это.
Тогда нужно олицетворяться от имени локальной учетной записи. Для этого на удаленной машине должна быть локальная учетная запись с тем же именем и паролем, по которыми вы выполняете shutdown.
Впрочем, вы поди уж решили все давно. Расскажите, пожалуйста, интересно, каково правильно решение?
Добавлено:
vovney
Цитата:
на обоих контроллерах домена не запускается Политик безопасности контоллера домена
dcpol.msc / с параметрами и в чистом виде - пишет указанный домен не найден или к нему невозможно подключиться.
Ищите проблему в DNS или в настройках сетевых интерфейсов.
Попробуйте выполнить команду dcdiag /test:dns на компьютере, на котором вы получате сообщения об ошибках GP Engine.
Попробуйте также включить режим отладки GP.
Добавлено:
snovitsi
Цитата:
Во всех источниках говорится о том, что при первом включении компьютера накатываются политики для компьютера, при логоне накатываются политики для пользователя, здесь все понятно.
Но в случае второго, третьего и последующих запусков компьютера и логонах пользователя, применение политик происходит по той же схеме или все-таки есть механизм, который определяет, что параметры политики для компьютера и для пользователя не менялись и заново применять ничего не надо.
Вот здесь рассказывается (в блок-схемах) как работает механизм групповых политик.
Добавлено:
olpi
Цитата:
Кто-нибудь знает, как ограничить доступ определенной группе или пользователю к интернету? А то надо ограничить доступ студентам, т.е. сделать так чтобы они ходили только на определенные сайты, а не на все.
Если я правильно понимаю, это делается через политики IPSec. Но могу и врать. Попробуйте в этом направлени сперва посмотреть.
Был еще дедовский способ. Создаете 2 группы - Internet Access и No Internet Access. Теперь всей группе No Internet Access задаете пустой прокси, который ведет никуда. Все. Эта группа не будет иметь доступа в интернет вообще. Однако, незабудьте отключить на сервере службу wpad, если у вас настроено web-proxy autodiscovery и вы пускаете разные подсети по разным прокси. (Кстати, это еще один способ - создание *.wpad-файла, который расписывает, какая подсеть получает какой прокси. Wpad-файл пишется на JScript и содержит всего лишь условия IF THEN ELSE)
А что вы так студеров мучаете? Что плохого в том, что у них будет доступ в интернет? Ну, будут студеры голову ломать над тем, как его найти. И, уверяю вас, найдут...
Добавлено:
contrafack
Цитата:
когда перезагружаю клиента, во время загрузки netlogon, там отображается, что типа пакеты устанавливает, но когда захожу в систему там ничего на самом деле не установлен.
ручным пробовал настроить - все великолепно установился.
в логах ничего нету. и на клиенте и на сервере.
Так как клиент - WinXP, он может входить в домент по кешированым учетным данным. Поэтому установка MSI-пакета (assign или publish) произойдет только после второй перезагрузки, потому как с первого раза не выполнится вся процедура аутентификации (нужно чтобы он выполнялась синхронно, а она выполняется асинхронно). Чтобы установка происходила с первого раза, нужно отключить в политиках logon optimization и влючить политику wait for link.
Цитата:
Assigning Software to Users
After a software package is assigned to users in a site, domain, or OU, administrators can use the Install this application at logon option to install the whole application the next time the computer starts, or after the user logs off and then logs on again. Alternatively, for users of Windows XP Professional, Logon Optimization can delay the installation of software to the second logon to prevent installation during the first logon. The application is also immediately available in Add or Remove Programs
Цитата:
Был еще дедовский способ. Создаете 2 группы - Internet Access и No Internet Access. Теперь всей группе No Internet Access задаете пустой прокси, который ведет никуда. Все. Эта группа не будет иметь доступа в интернет вообще. Однако, незабудьте отключить на сервере службу wpad, если у вас настроено web-proxy autodiscovery и вы пускаете разные подсети по разным прокси. (Кстати, это еще один способ - создание *.wpad-файла, который расписывает, какая подсеть получает какой прокси. Wpad-файл пишется на JScript и содержит всего лишь условия IF THEN ELSE)
А что вы так студеров мучаете? Что плохого в том, что у них будет доступ в интернет? Ну, будут студеры голову ломать над тем, как его найти. И, уверяю вас, найдут...
Дело в том, что у меня прокси вообще не используется. Просто разрешен общий доступ к Интернету для сетевого подключения на сервере.
А студентов никто и не мучает. Ограничить им доступ надо потому, что у нас внешний трафик - платный, а внутригородской - бесплатный. А то накачают много, надо оставить им только внутригородской.
Страницы: 1234567891011121314151617181920
Предыдущая тема: "Документирование сети"
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.