[Dennis]

Время совпадает на сервере и на рабочих станциях?
Что говорит команда "net time" ?
Если не совпадает - то отшибает kerberos.
У тебя ip - статические? Тогда, возмжно, рабочая станция не знает сервер времени...
Попробуй на рабочей станции дать команду net time /domain:mydomain /set /yes

на клиентах стоит DNS суффикс домена?

[PEREPIRKA]

Если чесно, то все вышесказанные советы - фигня! Все дело в том было, что не работал ДНС на сервере- все! Настроил его -и телемаркет!
Так что тема закрыта.

[sanykool]

Снова вопрос по GPO.

Задачка: Группе пользователей необходимо выдать полные права на определенную ветку их локального реестра.

Как решаю:

Создаю групповую политику в нужном мне OU.
В самой политике захожу: Конфигурация компьютера -> Конфигурация Windows -> Параметры безопасности -> Реестр. Добавляю сюда нужную мне ветку реестра, в свойствах ее безопасности добавляю нужную мне группу,
ставлю ей полный доступ.

Опции: Настроить этот раздел, Распространить наследуемые разрешения на все подразделы.

В Security Filtering опять же оставляю только нужную мне группу.

Вроде, все. Но не работает! Что я упустил?

PS. А не кажется ли вам, господа, что по Active Directory стоит сделать отдельный раздел на форуме?

[Fighter]

Цитата:

В Security Filtering опять же оставляю только нужную мне группу

компутеров?

[Dennis]

Цитата:

В самой политике захожу: Конфигурация компьютера

А в самом OU лежит объект компьютер?

[SkyF]

sanykool
посмотрите утилиту GPMC с сайта Microsoft - она позволяет выполнить анализ и моделирование настроек и работы ваших Объектов групповой политики.

Цитата:

PS. А не кажется ли вам, господа, что по Active Directory стоит сделать отдельный раздел на форуме?

вы и нахидитесь в этом разделе
только нигде об этом не написано, надо полагать чтобы никто об этом не догадался.

предложение ваше правильное, только раздел выделять не стоит ,а возможно просто добавить к названию:
Microsoft Windows NT/2000/2003 + AD

Хотя я бы переименовал во что-либо такое: Microsoft Windows Sever + AD

[gults]

Мучаясь к доменом набрел на утилитку. Нехотели машины поднимать групповую политику с контроллера, помогло. Попробуй на рабочих станциях запустить
если win2000
secedit /refreshpolicy user_policy /enforce
secedit /refreshpolicy machine_policy /enforce
если XP и выше
gpupdate /force (кажется, не помню точно, глянь в справке - /?)

Попутно вопрос: Security Filtering - это где? Или торможу, или не знаю.

[sanykool]

Всем спасибо, проблема решена. Грабли были в репликации между контроллерами домена (на одном остановилась служба NtFrs), и с одного контроллера не срелицировалось удаление нескольких старых политик. Они-то и мешали обработке групповых политик клиентами. Удалил вручную, сдлелал gpupdate /force, и все стало хорошо. Кстати, GPMC - вещь жизненнонеобходимая, без ее режима тестирования результатов применения групповых политик я бы этот косяк нашел нескоро.

[SkyF]

gults

Цитата:

Security Filtering - это где? Или торможу, или не знаю.

фильтрация через параметры безопасности.
У каждого Объекта групповой политики (GPO) есть список доступа - в котором определяется по умолчанию те объекты безопасности (пользователи и группы) которым разрешен доступ к этому объекту и какой.

по умолчанию это административные группы - полный доступ, системные конечно же и упоминаются группы "Прошедших проверку" - с правом чтения и выполнения этого объекта - вот почему эти настройки применяются к пользователям и компьютерам, попавшим под ее воздействие.

фильтрация заключается в том, что вы:

1. либо добавляете группу исключения и устанавливаете параметр ЗАПРЕТ применения политики из этого объекта
2. либо удалив группу "прошедших проверку" - добавляете ТОЛЬКО ТЕ группы - членам которых вы хотите политику применять, вместо всех.