Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Серверные продукты Microsoft » Microsoft Windows NT/2000/2003 » Интерактивный вход

Ответить
Настройки темы
Интерактивный вход


Сообщения: 595
Благодарности: 5

Профиль | Отправить PM | Цитировать


Здравствуйте!
Сервер 2003.
Проблема с GPO. Использую GPMC. Взял политику с Domain Controllers под название Default Domain Controllers Policy, создал копию и установил ее на в корень домена. Что хочу добиться - проставить настройки, общие для других OU в домене. Каждой OU присвоена своя GPO.
Теперь при заходе в систему пишется, что Интерактивный вход запрещен локальными политиками. Подскажите, где разблокировать это.
Чтобы обойти это, просто удалил описанную выше GPO. Дал команду gpupdate, но политика перестала действовать только спустя 10 минут. Можно ли ускорить процесс применения этих политик.

Спасибо.

Отправлено: 08:25, 26-10-2009

 

ИО Капитана Очевидности


Contributor


Сообщения: 5387
Благодарности: 1105

Профиль | Отправить PM | Цитировать


Цитата YDen:
Теперь при заходе в систему пишется, что Интерактивный вход запрещен локальными политиками. Подскажите, где разблокировать это. »
Вполне разумная мера безопасности для серверов

Применить к корню домена политику "Default Domain policy", и впредь назначать куда либо производные от неё.
Ибо в политике для контроллеров доменов может быть много других запретов,*которые на рабочих станциях вызовут большие неудобства.


Цитата YDen:
Можно ли ускорить процесс применения этих политик. »
Запускать данную программу с ключом /force (полный список ключей выводится ключом /?)

-------
Самое совершенное оружие, которым забиты арсеналы богатых и процветающих наций, может легко уничтожить необразованного, больного, бедного и голодного. Но оно не может уничтожить невежество, болезнь, нищету и голод. (Фидель Кастро)

Почему всех осужденных за измену Родине при Сталине реабилитировали при Горбачёве по отсутствию состава преступления? Потому что при Горбачёве измену Родине перестали считать преступлением.


Отправлено: 08:53, 26-10-2009 | #2



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Ветеран


Сообщения: 1001
Благодарности: 226

Профиль | Отправить PM | Цитировать


Default Domain Controllers Policy должна быть привязана к OU domain controllers
Зачем вы привязали эту политику к корню домена?

Отправлено: 08:55, 26-10-2009 | #3


Экзорцист


Сообщения: 969
Благодарности: 127

Профиль | Отправить PM | Цитировать


Цитата YDen:
при заходе в систему пишется, что Интерактивный вход запрещен локальными политиками »
Значение параметра "Локальный вход в систему" по умолчанию:
Цитата:
На рабочих станциях и серверах:
"Администраторы",
"Операторы архива",
"Опытные пользователи",
"Пользователи",
"Гость".

На контроллерах домена:
"Операторы учета",
"Администраторы",
"Операторы архива",
"Операторы печати",
"Операторы сервера".
По поводу частоты обновления групповой политики -
Цитата:
По умолчанию, пользовательские групповые политики обновляются в фоновом режиме каждые 90 минут, со случайным смещением времени обновления на интервал от 0 до 30 минут.

Можно задать периодичность обновления от 0 до 64800 минут (45 дней). Если указана периодичность в 0 минут, компьютер пытается обновлять групповую политику каждые 7 секунд. Однако, поскольку обновления могут мешать нормальной работе пользователя и увеличивают сетевой трафик, очень короткие интервалы обновления использовать не рекомендуется.
Помимо команды gpupdate /force форсировать обновление ГП можно перезагрузкой и/или перелогиниванием (в зависимости от измененных параметров ГП) .

В итоге, как правильно указали выше, сносите со всех OU копию политики Default Domain Controllers Policy (разумеется кроме самих контроллеров домена) и назначайте новую, указывая только те параметры, которые вам нужны

Отправлено: 09:32, 26-10-2009 | #4



Сообщения: 595
Благодарности: 5

Профиль | Отправить PM | Цитировать


Цитата Ivan Bardeen:
Default Domain Controllers Policy должна быть привязана к OU domain controllers
Зачем вы привязали эту политику к корню домена? »
Делаю, но эта политика не применяется. Например, делаю в Сообщение для пользователей при входе в систему. Но я не вижу никакого сообщения. А если в корень домена кинуть эту политику, то ОК.

Отправлено: 09:43, 26-10-2009 | #5


Ветеран


Сообщения: 1001
Благодарности: 226

Профиль | Отправить PM | Цитировать


Цитата YDen:
Сообщение для пользователей при входе в систему »
Для этого сделайте отдельную политику, привяжите куда вам надо,потом сообщите результат.
Default Domain Controllers Policy верните линк по умолчанию к OU Domain controllers

Отправлено: 10:06, 26-10-2009 | #6



Сообщения: 595
Благодарности: 5

Профиль | Отправить PM | Цитировать


Цитата Michael:
Значение параметра "Локальный вход в систему" по умолчанию:
Цитата:
На рабочих станциях и серверах:
"Администраторы",
"Операторы архива",
"Опытные пользователи",
"Пользователи",
"Гость".
На контроллерах домена:
"Операторы учета",
"Администраторы",
"Операторы архива",
"Операторы печати",
"Операторы сервера". »
Т.е правый щелчок мышью по названию домена, далее Link and ...GPO, выбираю Default Domain policy. Редактирую ее, в Конфигурации компьютера в Назначении прав пользователя, далее Локальный вход в систему, вот здесь каких пользователей нужно прописать.
Данные настройки делаются на контроллере домена для того чтобы на рабочих станция не было сообщения Интерактивный вход запрещен локальными политиками и происходил вход в домен.

Спасибо.

Отправлено: 10:14, 26-10-2009 | #7


Экзорцист


Сообщения: 969
Благодарности: 127

Профиль | Отправить PM | Цитировать


Цитата YDen:
Т.е правый щелчок мышью по названию домена, далее Link and ...GPO, выбираю Default Domain policy. Редактирую ее »
Нет, не так - не стоит трогать существующую политику. Лучше создать новую и ее править. Для этого ПКМ на Group Policy Objects, затем New. Здесь надо будет указать имя для новой ГП (например GPO1). Правишь нужные тебе параметры в GPO1. Затем ПКМ на названии домена, Link and Existing GPO и указываешь GPO1. Только учти, что если на OU Domain Controllers не стоит Block Inheritance (блокирование наследования) или на ГП, применяемой для всего домена, стоит Enforced (не перекрывать) то данная ГП политика будет применяться в том числе и к контроллерам домена, что может привести к неприятным результатам. Поэтому лучше пользователей разнести по разным OU и GPO1 применять к конкретным OU.

Отправлено: 11:24, 26-10-2009 | #8



Сообщения: 595
Благодарности: 5

Профиль | Отправить PM | Цитировать


Michael,

Спасибо большое вам и всем кто принял участие в обсуждении. Проблему решил. Изменения в Default Domain policy убрал. Создал новую GPO, поставил в корень домена. В Default Domain policy сказал Enforced. Остальные GPO, относящиеся к OU - снял галку с Enforced - в этом был трабл (стояла на всех). Заработало.

Чуть непонятно следующее:

1. Default Domain policy - применяется к контроллеру домена? Если не прав, то какая политика к нему применяется.
2. где в GPMC установить Block Inheritance (блокирование наследования)? Не мог найти.
3. Установил текст сообщения при входе пользователей. На некоторых машинах (Вин 2000 проф) он отображается весь, а на некоторых обрезан, примерно половина. Почему так происходит?

Спасибо

Отправлено: 17:29, 27-10-2009 | #9


Экзорцист


Сообщения: 969
Благодарности: 127

Профиль | Отправить PM | Цитировать


YDen, по умолчанию Default Domain Policy применяется ко всем нижестоящим OU, в том числе и к OU Domain Controllers. Если есть еще ГП привязаннные к корню домена, то они будут также применяться к OU Domain Controllers. Исключение - на Domain Controllers установлено Block Inheritance (однако если на вешестоящих ГП стоит Enforced то блокирование не поможет - политика применится)
Block Inheritance устанавливаетсяне для ГП, а для OU (ПКМ на OU и там увидишь)

Отправлено: 21:37, 27-10-2009 | #10



Компьютерный форум OSzone.net » Серверные продукты Microsoft » Microsoft Windows NT/2000/2003 » Интерактивный вход

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
Доступ - Интерактивный вход в систему на данном компьютере запрещен локальной политикой menpavel Microsoft Windows 2000/XP 2 17-12-2009 12:34
2008 R2 - Как разрешить интерактивный вход в систему доменным пользователям не администраторам apkis Windows Server 2008/2008 R2 12 29-11-2009 16:01
[решено] Интерактивный вход в систему VOX13 Microsoft Windows NT/2000/2003 3 31-07-2009 11:43
Интерфейс - [решено] Включить ИНТЕРАКТИВНЫЙ вход в систему salikoff Microsoft Windows 2000/XP 1 20-07-2009 09:24
интерактивный вход запрещен лок.политикой Cricket Хочу все знать 3 30-06-2008 16:54




 
Переход