[monkkey]

Да, если политика применяется в разделе "К компьютеру".

[exo]

следующий вопрос:
есть 100 компов в разных OU, т.е. в каждом отделе кроме Юзерей ещё и компы.
мне нужно на тех 100 пользовтельских компах настроить брендмауер виндовый.
т.е. его включить, включить определённые исключения (RPD для админов, сети для админов).
Нужно сделать так, чтобы никто кроме админов не мог по сети зайти на пользовательские компы.
Даже если открыты шары (есть спец сервер для этого).
Реально ли это через GPO выполнить?

[monkkey]

Конечно.
Управление брандмауэром Windows через групповые политики
Deploying Windows Firewall Settings With Group Policy

[exo]

Цитата monkkey:

Управление брандмауэром Windows через групповые политики »

ооо копий этой статьи навалом. почитаемс...

[exo]

нубский вопрос:
есть IT-отдел, и к нему GPO.
ниже есть "Для тестов" и на неё распрастраняется GPO. Так как мне отвязать ит-ую GPO от "для тестов" ?
и ещё, какая GPO будет главной? т.е. какая перезапишет политики в имеющемся случае?

[exo]

вот и ответы.
- для блокировки нужно сделать так:

читать дальше »

как видно из рисунка, пропала и ит-ая GPO, и доменная GPO. Но мне нужно доменную GPO оставить.

Как быть?

- сначала примениться доменная политика, потом IT-ая, и так далее. Чем ниже OU, тем позже\главнее GPO.
Но, IT-gpo сказанно - локальный вход только группе Programmers и DomainAdmins. В тестовой GPO сказанно "локальный вход для DomainAdmins и Domain\test. Однако захожу в политики - Testa нет, и есть Programmers. Хотя гпапдейт /форс делал и комп ребутал клиентский.

нашёл, как отменить "запрет наследования" для доменной политики. Нужно где-то поставить NO Override... только не могу найти где. Написанно в Options, но там нет.
у меня GPMS установленно
Значит, что я сделал.
Зашёл на ДК без ГПМС, включил в опциях NO Override.
Зашёл на ДК с ГПМС, смотрю - включилась галочка напротив ENFORCED...
Вот как включить NO Override с установленным ГПМС.

так, значит одна GPO заблочена, доменная работает.
Дальше.
Настраиваю GPO для OU, которая перекроет доменную GPO если будут конфликты параметров.
Рза десять уже gpupdate /force и перезагрузка клиентской машины - политика не применяется.
Прошёл час - политиа "применилась", точнее только один параметр.
Я настроили брандмауер так:

и применилось лишь: ремоут администрайшен - удалённый помошник.
а остальное не активно. ещё нужно подождать?

[exo]

Вообще странно.
Не применяется политика. Брандмауер включен, исключения - нет. Да и включен он скоре всего админской учёткой.
Пожалуйста, покажите мне, что я делаю не так, почему политика не применяется?
Делаю Rsop, а там вообще ничего не понятно...

[GreenIce]

Какая операционка на клиентских компьютерах? Если w2000 то скорей всего они эту опцию не поддерживают.
Еще неплохо посмотреть, что показывает планируемая результирующая политика.
А также gpresult и ошибки эвентлога на клиентской машине.

[exo]

Цитата GreenIce:

Какая операционка на клиентских компьютерах? »

XP pro.