» Обсуждение статьи "Групповые политики Active Directory"

<!-- start html -->
<!-- start html -->
<div>В этой статье рассмотрены ключевые моменты по работе с групповыми политиками Active Directory на примере политик Microsoft Windows Server 2003.</div>
<a name="c"></a><ol>

<li><a href="http://ru-board.com/new/article.php?sid=174#intro">Введение</a></li><li><a href="http://ru-board.com/new/article.php?sid=174#chap2">Объекты групповых политик</a></li><li><a href="http://ru-board.com/new/article.php?sid=174#chap3">Создание объекта групповой политики</a></li><li><a href="http://ru-board.com/new/article.php?sid=174#chap4">Порядок применения объектов групповой политики</a></li><li><a href="http://ru-board.com/new/article.php?sid=174#chap5">Приоритетность, наследование и разрешение конфликтов</a></li><li><a href="http://ru-board.com/new/article.php?sid=174#chap6">Определение настроек, действующих на компьютер пользователя</a></li><li><a href="http://ru-board.com/new/article.php?sid=174#chap7">Другие инструменты управления групповыми политиками</a></li>
</ol><h3 class="zag"><a name="intro" href="http://ru-board.com/new/article.php?sid=174#c">Введение</a></h2>
С увеличением парка компьютеров на предприятии все более остро встаёт вопрос о стоимости его управления и содержания. Ручная настройка компьютеров отнимает немало времени у персонала и заставляет, с увеличением количества компьютеров, увеличивать штат обслуживающего их персонала. К тому же при большом количестве машин следить за соблюдением принятых на предприятии стандартов настройки становится всё труднее. Групповые политики (<span class="opr">Group Policy</span>) являются комплексным инструментом централизованного управления компьютерами с ОС Windows 2000 и выше в домене Active Directory. К компьютерам под управлением ОС Windows NT4/9x групповые политики не применяются: они управляются системными политиками (<span class="opr">System Policy</span>), которые в данной статье рассматриваться не будут.</p>
<!-- end html -->
<b>Читать</b>

Вопросы по AD GP следует задавать в теме "Групповые политики (Group Policy, GPO): документация, ссылки".
В данной теме производится только обсуждение статьи.

G14
Ну что-ж, не плохо.
Я слабоват в рецензиях - поэтому, извини. В целом понравилось. Про "не перекрывать" несколько сумбурно, там надо не менее двух абзацев. И фразы на английском не плохо бы сопроводить в скобках их русскими аналогами.
И хочется развития, там в каждом абзаце можно ставить ссылку "Подробнее...". Это возможно технически?
Извини за критику. Спасибо за статью. Молодец!

Цитата:

ссылку "Подробнее...". Это возможно технически?

Я не знаю точно, но думаю возможно. Просто это задумывалось как цикл статей. Эта - первая, вводная, основные принципы. То есть что-то, что позволит новичку понять принципы и начать работать с политиками.

Цитата:

И хочется развития

Развитие будет, наверное. Просто учитывая тотальную нехватку тех, кто может редактировать и публиковать статьи, дело встало. На самом деле статья написана чуть более года назад. Если будет время у меня и желание\возможность публиковать у администрации, я скорее всего, продолжу.

Цитата:

Извини за критику

Ничего. Для этого и есть этот топик.
Спасибо за высказаное мнение

Мне статья понравилась только вот скриншоты неплохо бы сделать еще и с русской версии win 2003 server.

Andoros
Я думаю можно будет в будущем ограничиться просто аналогами (переводом терминов) в скобках в самом тексте. Просто если делать скриншоты с двух версий (англ. и русск.) , то статья окажется сильно перегружена скринами...будет смотреться как набор картинок....
Вообще вся проблема с русскими аналогами в том, что для их вставки в текст нужно ставить рускую версию сервера, которой у меня нет. Потому что "переводчики" из MS иногда выдают там в "переводе" такое, что ни за что не догадаешься, что это выглядит именно так. (например в Win2000, насколько я помню, пункт List in Directory в свойствах принтера был переведен как "перечислить в Папке". Я б ни за что не догадался, если б не знал, что это за галка ). Меня вообще перевод directory как "папка" (а это в ней везде)в русской винде коробит

G14

Цитата:

в русской винде коробит

Аналогично. Но вот в связи с лицензированием пришлось...
Еще. Для начинающего все же удобне будет пользовать не стандартными средствами, а GPMC. Но это ИМХО.

А так статья очень даже. Респект. Надеюсь она избавит от многих вопросов.

Если будешь добавлять что-то, то надо бы сказать как подключить ADM-файлы и что это такое и в "наслдеовании" указать что применение политик также можно ограничивать настройками безопасности (такой вопрос тоже часто всплывает).

FreemanRU

Цитата:

Для начинающего все же удобне будет пользовать не стандартными средствами, а GPMC. Но это ИМХО.

Нет уж. Сначала нужно понять что к чему, получить представление об исходном продукте. А потом уж пользоваться повышающими удобство и функционал "надстройками".

Цитата:

ADM-файлы и что это такое

Была идея написать отдельно о них. О том, как их писать с нуля, как прикручивать в объекты...Но это только если время будет опять же

Кстати о GPMC. У меня сервер 2003 русский, GPMC нашел только английский.. он русский бывает вообще в природе ?

Oleg_ka
Нет, не бывает. Он есть на английском, французсском, немецком, испанском, китайском и японском...вроде все..

G14
Так я и думал, тогда я спокоен, спасибо

Ici Chacal

Цитата:

И хочется развития

ПолучИте

G14
Прочитал. Хорошо написал, молодец.
Только в разделе "порядок применения", имхо, надо было построить чуть по другому. Всё же классическим педагогическим является подход: формулировка правила, пример его применения. А у тебя получается наоборот - сперва пример, а потом правило.

Duke Shadow

Цитата:

классическим педагогическим является подход

Ну извиняй Мы пединститутов не кончали

Спасибо.

G14

Цитата:

Мы пединститутов не кончали

Думаешь я заканчивал? Достаточно просто вспомнить как в школе учился.

Продолжение понравилось. Я даже в кишочках AD поковырялся и ничего не упало! Правда переход от общих начал к таким тонкостям показался несколько неожиданным, но сейчас оцениваю положительно.

Хочется развития ©
Кстати, а может посоветует кто хорошую книгу по AD Windows Server 2003, если таковая есть в природе?

Ici Chacal

Цитата:

хорошую книгу по AD Windows Server 2003, если таковая есть в природе?

Конечно есть. Издательство Syngress. Книга по экзамену 70-294. (syngress.com).
"Syngress - MCSE Exam 70-294. Planning, Implementing and Maintaining a Windows Server 2003 Active Directory Infrastructure"
Не рекомендую читать в переводе (если он есть.)

Добавлено:

Цитата:

Хочется развития ©

Времени пока не хватает Но следующая станция - custom administrative templates. Когда именно - не заню

Да, блин, на родном русском языке. Я, к сожалению, не настолько владею великим английским языком, что-б читать Шекспира в подлиннике. Ну не дано, не все же такие как ты. По 2000 были и есть хорошие учебники и справочники, да и по 2003 есть... Насчет тонкостей перевода, есть такое дело, но это мелочь, все понятно интуитивно.


Цитата:

Времени пока не хватает

Это точно. Есть такой момент.
Ждем-с.

Как через групповые политики произвести настройку журнала событий, а именно, чтоб все события в нем перезаписывались через 7 дней. Заранее спасибо.

ccna
Нужно писать свой .adm шаблон. Требуемые параметры реестра:
EventLog Service Entries

В теории всё ясно, а вот применить новую политику
к стандартной учётной записи Guest (клиенты win2000 pro, сервак 2003)
не получается, может кто скажет где грабли. Заранее thanks

Цитата:

может кто скажет где грабли

Если нормально опишешь что делал и что именно не получается, может кто и скажет. А ясновидящих здесь нет, и телепатов тоже...

Как установить и настроить LDAP сервер под WinXP?

ccna
default domain policy - computer configuration - windows settings - security settings - event log:
Для Security log например:
Retain Security Log выставляем 7 days
для Retenion Method For Security Log выставляем необходимый метод перезаписи
думаю так проще...
P.S. все действительно для Win 2003 SP1

При попытке открыть "Политика безопасности контроллера домена" или "Политика безопасности домена" выдает ошибку:

"Не удалось открыть объект групповой политики. Возможно, вы не имеете достаточных прав."

Домен Win2k AdvServ + Win2003 EE
До этого был только Win2k, было все ОК. Затем поднял резервный Win2003, перенес на него все 5 ролей, были ошибки, полечил, но с этим не могу разобратся.

У меня цель потушить сервак Win2k. С помощью DCpromo не удается.

Какие показать логи для размылений?

AgelNick
Добавь себя в группу Enterprise Admins для полной верности и попробуй еще раз

ITeXPert
Был все время в группах администратор предприятия/схемы/домена.

не выходит.

AgelNick
ошибки какие были - поподробнее можно???
выключи просто 2000 и посмотри как будет работать 2003...

Gunslinger

dcdiag /test:fsmocheck

Domain Controller Diagnosis

Performing initial setup:
Done gathering initial info.

Doing initial required tests

Testing server: Default-First-Site-Name\STORAGE1
Starting test: Connectivity
......................... STORAGE1 passed test Connectivity

Doing primary tests

Testing server: Default-First-Site-Name\STORAGE1

Running partition tests on : ForestDnsZones

Running partition tests on : DomainDnsZones

Running partition tests on : Schema

Running partition tests on : Configuration

Running partition tests on : vecherniy

Running enterprise tests on : vecherniy.kharkov.ua
Starting test: FsmoCheck
......................... vecherniy.kharkov.ua passed test FsmoCheck

и...

nltest /dsgetdc:vecherniy.kharkov.ua /server:Storage1
DC: \\storage.vecherniy.kharkov.ua
Address: \\192.168.21.1
Dom Guid: f45f4da3-7bdc-406c-938b-9fbad96ba6df
Dom Name: vecherniy.kharkov.ua
Forest Name: vecherniy.kharkov.ua
Dc Site Name: Default-First-Site-Name
Our Site Name: Default-First-Site-Name
Flags: DS LDAP KDC TIMESERV WRITABLE DNS_DC DNS_DOMAIN DNS_FOREST CLOSE_
SITE
The command completed successfully


Для справки:
Storage = Windows 2000 Adv Server
Storage1 = Windows 2003 EE


Если отключаю Windows 2000, пользователи не имеют доступа к сетевым русурсам (сервер, рабочие станции).

Т.е. сейчас главным контролером домена является Storage

Собственно проблема в том, КАК переключить его на Storage1?

В службе репликации файлов пишет:

Тип события:    Предупреждение
Источник события:    NtFrs
Категория события:    Отсутствует
Код события:    13566
Дата:        09.04.2006
Время:        8:26:03
Пользователь:        Н/Д
Компьютер:    STORAGE1
Описание:
Служба репликации файлов просматривает данные на системном томе. Компьютер STORAGE1 не сможет стать контроллером домена, пока этот процесс не завершится. Затем системный том станет общим ресурсом с именем SYSVOL.

Для проверки ресурса SYSVOL введите в командной строке:
net share

Когда служба репликации файлов завершит процесс сканирования, на экране появится общий ресурс SYSVOL.

Инициализация системного тома может занять некоторое время. Это время зависит от объема системного тома.

Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".

==========================================================

Тип события:    Предупреждение
Источник события:    NtFrs
Категория события:    Отсутствует
Код события:    13508
Дата:        09.04.2006
Время:        8:27:44
Пользователь:        Н/Д
Компьютер:    STORAGE1
Описание:
Служба репликации файлов столкнулась с проблемами при включении репликации с "\\storage.vecherniy.kharkov.ua" на "STORAGE1" для "c:\windows\sysvol\domain", использующего DNS-имя "\\storage.vecherniy.kharkov.ua". Служба репликации файлов (FRS) продолжит повторные попытки.
Ниже указаны причины, по которым может выдаваться это предупреждение.

[1] FRS не может разрешить DNS-имя "\\storage.vecherniy.kharkov.ua" с этого компьютера.
[2] FRS не запущена на "\\storage.vecherniy.kharkov.ua".
[3] Сведения в Active Directory о топологии для этой реплики реплицированы еще не на все контроллеры домена.

Это сообщение об ошибке записывается в журнал для каждого подключения один раз. После исправления ошибки в журнал будет записано другое сообщение, означающее, что соединение установлено.

Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".
Данные:
0000: 00 00 00 00

==========================================================

Тип события:    Предупреждение
Источник события:    NtFrs
Категория события:    Отсутствует
Код события:    13509
Дата:        09.04.2006
Время:        8:33:34
Пользователь:        Н/Д
Компьютер:    STORAGE1
Описание:
Служба репликации файлов разрешила репликацию с \\storage.vecherniy.kharkov.ua на STORAGE1 для c:\windows\sysvol\domain после нескольких повторных попыток.

Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".

Как через GPol замутить, чтоб, к примеру, если пользователь отошел от компа, через 10 минут система автоматом блокировалась?

default domain policy - user configuration - administrative templates - control panel - display
Там выставляем:
Screen saver - enabled
password protect the screen saver - enabled
screen saver timout - 600 секунд
Получаем назначенный через ГП автоматический скринсейвер через 10 минут после отхода от компа и пароль на вход, при выходе из скрин сейвера