Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Microsoft Windows NT/2000/2003 (http://forum.oszone.net/forumdisplay.php?f=5)
-   -   структура AD подразделений + GPO (http://forum.oszone.net/showthread.php?t=118634)

exo 29-09-2008 18:17 911823
структура AD подразделений + GPO
 
Windows Server 2003 SP1
Active Direcory
есть подразделение VIP. В нём 5 users и 5 computers.
Через GPO хочу разрешить локальный вход на эти 5 компов только этим 5 пользователям, входящим в одну группу.
Это просто.
А вот как разрешить локальный вход на каждый комп определённого пользователя через GPO ?
т.е. на комп1 только пользователь1 и т.д.
Не создовая другие OU и другие GPO. В голову приходит WMI фильтр.
Спасибо.

GreenIce 29-09-2008 19:25 911878
Как вариант можно в свойствах пользователя указать с каких компьютеров он может работать и соответственно каждому пользователю прописать по одному компу.

monkkey 30-09-2008 08:41 912170
Свойства учетной записи в AD - Account - Log on to... и прописываем каждому пользователю его компьютер.

exo 30-09-2008 10:21 912229
Цитата:
Цитата monkkey
AD - Account - Log on to... »
у меня много-много пользовотателей. я кучу времени убъю всем прописывать лог он ту...
а мне нужно, чтобы на эти компы заходили только эти пользователи. что бы эти пользователи могли заходить и на другие компы, а на их компы только они. т.е. не юзерская политика, а компутерная.

monkkey 30-09-2008 11:32 912283
Если всего 5 компов - каждому политику Deny Log on locally - всем, кроме нужных людей.
У меня 100 компов, каждому пользователю определены компы, на которые они могут заходить. И зачем людям лазить по разным компьютерам?
Цитата:
Цитата exo
что бы эти пользователи могли заходить и на другие компы »
Им ограничения не прописывать, а всем остальным - да.

exo 30-09-2008 12:02 912290
Цитата:
Цитата monkkey
5 компов - каждому политику »
5 политик... а одной можно?

monkkey 30-09-2008 13:38 912363
Цитата:
Цитата exo
на их компы только они »
Если на 5 компов - всем можно, то - конечно.

exo 30-09-2008 13:46 912374
Цитата:
Цитата monkkey
всем можно »
надо подумать...
а вот в политиках есть фишка Security Filter: Authenticated Users по умолчанию. Какой смысл этого фильтра?
Т.е. если я укажу в GPO Log on localy ---- User1, а в фильтре User2 - то будет работать фильтр для User1 ?

monkkey 30-09-2008 15:02 912444
Там же написано:
Can only apply to the following groups... и т.д.
Т.е. применяется только к содержащейся там группе пользователей (или отдельным пользователям)

exo 30-09-2008 15:15 912446
Цитата:
Цитата monkkey
Т.е. применяется только к содержащейся там группе пользователей (или отдельным пользователям) »
я могу указать вместо пользователей копьютеры ???

monkkey 30-09-2008 15:59 912510
Да, если политика применяется в разделе "К компьютеру".

exo 02-10-2008 12:57 914081
следующий вопрос:
есть 100 компов в разных OU, т.е. в каждом отделе кроме Юзерей ещё и компы.
мне нужно на тех 100 пользовтельских компах настроить брендмауер виндовый.
т.е. его включить, включить определённые исключения (RPD для админов, сети для админов).
Нужно сделать так, чтобы никто кроме админов не мог по сети зайти на пользовательские компы.
Даже если открыты шары (есть спец сервер для этого).
Реально ли это через GPO выполнить?

monkkey 02-10-2008 14:37 914171
Конечно.
Управление брандмауэром Windows через групповые политики
Deploying Windows Firewall Settings With Group Policy

exo 02-10-2008 15:36 914220
Цитата:
Цитата monkkey
Управление брандмауэром Windows через групповые политики »
ооо копий этой статьи навалом. почитаемс...

exo 02-10-2008 16:19 914256
нубский вопрос:
есть IT-отдел, и к нему GPO.
ниже есть "Для тестов" и на неё распрастраняется GPO. Так как мне отвязать ит-ую GPO от "для тестов" ?
и ещё, какая GPO будет главной? т.е. какая перезапишет политики в имеющемся случае?

exo 03-10-2008 14:42 915014
вот и ответы.
- для блокировки нужно сделать так:

как видно из рисунка, пропала и ит-ая GPO, и доменная GPO. Но мне нужно доменную GPO оставить.

Как быть?

- сначала примениться доменная политика, потом IT-ая, и так далее. Чем ниже OU, тем позже\главнее GPO.
Но, IT-gpo сказанно - локальный вход только группе Programmers и DomainAdmins. В тестовой GPO сказанно "локальный вход для DomainAdmins и Domain\test. Однако захожу в политики - Testa нет, и есть Programmers. Хотя гпапдейт /форс делал и комп ребутал клиентский.

нашёл, как отменить "запрет наследования" для доменной политики. Нужно где-то поставить NO Override... только не могу найти где. Написанно в Options, но там нет.
у меня GPMS установленно
Значит, что я сделал.
Зашёл на ДК без ГПМС, включил в опциях NO Override.
Зашёл на ДК с ГПМС, смотрю - включилась галочка напротив ENFORCED...
Вот как включить NO Override с установленным ГПМС.

так, значит одна GPO заблочена, доменная работает.
Дальше.
Настраиваю GPO для OU, которая перекроет доменную GPO если будут конфликты параметров.
Рза десять уже gpupdate /force и перезагрузка клиентской машины - политика не применяется.
Прошёл час - политиа "применилась", точнее только один параметр.
Я настроили брандмауер так:

и применилось лишь: ремоут администрайшен - удалённый помошник.
а остальное не активно. ещё нужно подождать?

exo 06-10-2008 15:25 917085
Вообще странно.
Не применяется политика. Брандмауер включен, исключения - нет. Да и включен он скоре всего админской учёткой.
Пожалуйста, покажите мне, что я делаю не так, почему политика не применяется?
Делаю Rsop, а там вообще ничего не понятно...

GreenIce 06-10-2008 21:34 917405
Какая операционка на клиентских компьютерах? Если w2000 то скорей всего они эту опцию не поддерживают.
Еще неплохо посмотреть, что показывает планируемая результирующая политика.
А также gpresult и ошибки эвентлога на клиентской машине.

exo 07-10-2008 11:25 917782
Цитата:
Цитата GreenIce
Какая операционка на клиентских компьютерах? »
XP pro.


Время: 07:49.

Время: 07:49.
© OSzone.net 2001-