[malysh!]

Ivan Bardeen, правильно ли я понял что в русской версии Organizational Unit называется "Подразделение" и создается наравне с Builtin и т.д. (на том же уровне в консоли AD-Пользователи и компьютеры) и оказывается это не то же самое что группы, хотя бы потому что создать можно только "группу безопасности" и "группу рассылки" а нам-то нужен контейнер ??

[Ivan Bardeen]

Цитата malysh!:

правильно ли я понял что в русской версии Organizational Unit называется "Подразделение" и создается наравне с Builtin и т.д. (на том же уровне в консоли AD-Пользователи и компьютеры) и оказывается это не то же самое что группы, хотя бы потому что создать можно только "группу безопасности" и "группу рассылки" а нам-то нужен контейнер ?? »

Все верно. Более того, при необходимости можно внутри одного OU создавать другие OU - тем самым выстраивая удобную для себя иерархию для администрирования.

[zero55]

предлагаю вариант проще, но он имеет одну природу с предложенным Иваном методом.

1. создается набор групп по любому признаку и в группы включаются нужные компьютеры
2 созлается набор групп пользователей
3. на ПК входящие в нужную группу (необходимо настроить как ... Затрудняюсь правильно назвать... в общем в безопасности применение на определенную группу а остальным применение отключить) и в локальную группу Users средствами Resicted Users в группу пользователей вписываются только нужные учетные записи.

Таким образом получаем средство которое управляет возможностью входа на рабочие станции при условии что пользователь входит в группу которой разрешен вход на определенный компьютер.

[malysh!]

Цитата Ivan Bardeen:

С помощью политики "restricted groups" , привязав их к соответствующим OU - замените на компьютерах в группе "пользователи" членство - оставив только соответствующие группы В итоге, потеряв членство в локальной группе компьютера "пользователи" - пользователь не сможет туда залогиниться »

всё же, можно поподробнее ?
правильно ли я понял, что политика "restricted groups" не "существует как-то отдельно", что её нет в объектах GPO по умолчанию default domain policy и другом default'е, что она есть в любом вновь создаваемом объекте GPO
значит, мне нужно создать новый объект GPO (в той же ветке, на том же уровне что и Default Domain Policy), пустой, все политики не заданы, и только в ветке политики "restricted groups" этого нового GPO (а как вообще restricted groups по-русски? "политики ограниченных групп"?) нужно сделать ЭТО. сделать что ?

Цитата zero55:

Таким образом получаем средство которое управляет возможностью входа на рабочие станции при условии что пользователь входит в группу которой разрешен вход на определенный компьютер. »

то что нужно, но
пункт 3. опять не понял ((

[malysh!]

zero55, Ivan Bardeen, мужики, а в чём разница-то ? Ivan Bardeen, Вы предлагаете привязать этот новый_GPO_с_политикой_"restricted_groups" с вновь создаваемым OU, а Вы, zero55, с вновь создаваемой группой безопасности - только и всего ?
или имеется в виду что существует две "restricted" политики - "restricted groups" и "restricted users" и в модели, предложенной Ivan Bardeen, мне нужно (я всё это гипотетически излагаю и прошу прощения - разбираюсь дома, а DCшка разумеется на работе) исправить гипотетический параметр политики "restricted_groups", связанный с builtin группой "Пользователи" (её олицетворением на клиентских машинах) - её переопределить на другую, а в модели, предложенной zero55, наоборот - набрать в неё (builtin группу "Пользователи" - её олицетворением на клиентских машинах) пользователей из числа зарегистрированных в AD на DCшке
я вчера создал (первую в жизни) GPO для ограничения размера профилей, и могу точно сказать, что если слева в дереве консоли мышью выделить GPO, то в центральной части консоли появляется некое окно настройки, в нем 4 вкладки, одна из них - параметры, выбираешь её и в виде дерева отображаются заданные в этом GPO политики, но я не о том - ещё одна вкладка - вроде "применять к..." и там можно выбрать группу и пользователей (а может, компьютеры ?) к которым применять, так вот - об этом ли говорили Вы, Ivan Bardeen,

Цитата Ivan Bardeen:

С помощью политики "restricted groups" , привязав их к соответствующим OU »

, и об этом ли говорили Вы, zero55,

Цитата zero55:

(необходимо настроить как ... Затрудняюсь правильно назвать... в общем в безопасности применение на определенную группу а остальным применение отключить) »

ПОЛНЫЙ ОФТОП
есть ещё вопрос - о получении результирующей политики
правильно ли я предполагаю, что если создать новый GPO наряду с двумя default'овыми, произойдет складывание политик всех GPO по принципу
"определено в любой одной - так же определено в целом"
"не определено ни в одной - не определено в целом"
"определено одинаково - консенсус "
"определено по-разному - ошибка"
не определено - это ещё называют политика не задана, на схеме покажу

___________дефолтовый GPO___________новый GPO_________результирующая политика
...________________..._____________________..._____________________....
политика N_____включена____________не определена_______включена как в дефолт GPO
...________________..._____________________...______________________...
политика S_____не определена__________включена___________включена как в новом GPO
...________________..._____________________..._____________________...
ну и все другие варианты, но особенно интересуют эти два (не перебил ли мною созданный отдельно GPO для ограничения размера профилей пользователей дефолтовый GPO для всех пользователей домена)

[malysh!]

Уважаемые мои господа !
правильно ли я понял, что
вообще то говоря, "restricted groups" предназначена для переназначения и управления членства в локальных группах на клиентских компьютерах, говоря "локальных группах на клиентских компьютерах" мы имеем в виду те самые группы безопасности, которые можно создавать (и управлять) в консоли "Управление компьютером" на самой рабочей станции с WinXP, так, как-будто бы мы сами вручную, а не автоматически политика "restricted groups", создали локально пользователей, группы безопасности и распихали их по этим группам локально
а попроще решить мою проблему нельзя ?
но это не значит, что я не ценю помощь, которую мне уже оказали

[zero55]

можно и проще.
используйте Group Policy Preference http://www.grouppolicy.biz/2010/01/h...trator-groups/

это позволит оперировать только одним GPO и использую функцию таргетинга назначать набор групп на нужные компьютеры по любому признаку.

Оба метода допустимы, но разница заключена в том что Иван предлагает создать OU и на него назначить политику, а я предлагаю создать группы и на их основе назначить политику.

Мой вариант позволит без изменения структуры OU назначать нужные правила т.е. вам не придется перекраивать текущую структуру OU.

[malysh!]

сделал всё как сказано
созданы пользователи в контейнере (встроенном) Users (пользователи названы U1001, U1002 ...)
созданы глобальная группа УЧЕНИКИ в контейнере Users, эта группа является членом
глобальной группы Пользователи домена (группа по умолчанию, глобальная)
создана группа КОМПЬЮТЕРЫ ДЛЯ УЧЕНИКОВ в контейнере Computers (встроенном), глобальная, эта группа является членом
созданной группы КОМПЬЮТЕРЫ ШКОЛЫ, глобальной, в контейнере Computers (встр), эта группа - член
глобальной группы Компьютеры домена (группа по умолчанию, глобальная)
создан (на том же уровне что и Default domain policy) объект GPO, пустой, в разделе этого GPO Конфигурация компьютера\ Настройки\ Параметры Панели управления\ Локальные пользователи и группы добавлены 2 записи,
первая, за порядком 1 (столбец такой там - Порядок), Имя группы:Пользователи (встроенная и т.д.), действие - Замена, галки Удалить (одна пользователей другая группы) обе стоят, в поле Члены записей нет (не добавлены), на вкладке Общие одна галка - Нацеливание, в редакторе таргеттинга - одна запись - компьютеры в группе (там прям выбираешь Новый->Группа), значение для записи (Группа: ) КОМПЬЮТЕРЫ ШКОЛЫ
вторая запись, (порядок: 2), Имя группы: Пользователи (встр...), действие - Обновить, галки Удалить обе сняты, в поле Члены выбрана группа УЧЕНИКИ, для неё Action:ADD, на вкладке Общие одна галка - Нацеливание, в редакторе таргеттинга одна запись - компьютеры в группе, значение - КОМПЬЮТЕРЫ ДЛЯ УЧЕНИКОВ,
в Диспетчере сервера для этого GPO в поле Применять к: поставлено Компьютеры домена (встр)

и пофик

GPO не используется, (предположить тупую ошибку - включена, я проверил даже), то есть он есть, ошибок система не выдает, но на рабочей станции это никак не отображается, в консоли Управление компьютером\ Локальные пользователи и группы\ Группы\ в окне Свойства:Пользователи, члены группы - 2 по умолчанию ( NT AUTHORITY\ ИНТЕРАКТИВНЫЕ и NT AUTHORITY\Прошедшие проверку ) и один (наверное, добавляемый доменом) - NT AUTHORITY\Пользователи домена
никаких упоминаний о группе учеников (я рассказываю только часть, такая же ситуация для групп учителей и администрации), пользователь U10.. может залогиниться с любой рабочей станции к какой бы группе она не принадлежала,
и есть ещё момент
в Диспетчере сервера для этого GPO (если выбрать его в дереве слева, то справа появляется окно из 4-х вкладок, я рассказывал в пред-предыдущем посте) не показываются связи, то есть для Default domain policy например в поле связан с.. отображается имя домена, для моего GPO - ничего

С надеждой, прошу помощи

[malysh!]

как думаете, вот этот видеодоклад и вот это обновление для XP спасут меня в возникшей ситуации ?

[malysh!]

ещё вопрос
значит ли добавление политики "restricted groups" не при помощи GPO Preferences, классически при помощи Copmuter configuration\ Policies\ , что список членства в локальных группах останется даже при недоступности контроллера домена ?
то есть например, ночью отключали свет, сервер вырублен, утром человек пришёл на работу (учёбу) и ему удаётся залогиниться на рабочую станцию потому что в списке локальных пользователей и групп при загрузке рабочей станции при недоступности контроллера домена, на рабочей станции остались сохранённые с прошлой её загрузки локальные пользователи и группы, или же этот список формируется каждый раз при загрузке рабочей станции заново, и недобавленные на ней локально пользователи и группы не появятся в списке при недоступности контроллера домена с настроенной "restricted groups" ?