Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Microsoft Windows NT/2000/2003 (http://forum.oszone.net/forumdisplay.php?f=5)
-   -   GPO, параметры безопасности (http://forum.oszone.net/showthread.php?t=156399)

YDen 09-11-2009 11:46 1265509
GPO, параметры безопасности
 
Здравствуйте!
Подскажите, что я мог настроить не так.
Контроллер домена на Вин 2003, GPO. Клиенты на Вин 2000 и ХР. В GPO создал политику с нуля. Поставил ее в корень домена - назвал Общая. В Default Domain Controllers Policy для контроллера домена поставил Enforsed (Не перекрывать). Для других OU так же создал GPO, в них снято Enforsed.
Идея: все политики выполняются после Общей и принимают установленные в ней настройки - чтобы 100 раз не дублировать одни и те же настройки во всех GPO. Доменный пользователь со всеми админисраторскими правами (администратор домена, администратор схемы и т.д.) на машине с Вин ХР, пытаюсь установить любую программу - ругается "Чтобы установить данную программу, Вы должны выполнить вход в систему как Администратор". Где "болт"? Охота разобраться.

Спасибо

stolyar 09-11-2009 19:06 1265943
Цитата:
Цитата YDen
Доменный пользователь со всеми админисраторскими правами (администратор домена, администратор схемы и т.д.) »
Цитата:
Цитата YDen
..Вы должны выполнить вход в систему как Администратор »
Как локальный администратор. А Вы заходить пытаетесь из под пользовательской доменной учетки с правами админскими...
Я так понимаю?

YDen 09-11-2009 19:17 1265958
Цитата:
Цитата stolyar
А Вы заходить пытаетесь из под пользовательской доменной учетки с правами админскими...
Я так понимаю? »
Да.
До описанных процедур, все устанавливалось под этим же доменным пользователем с правами администратор домена. Сейчас что-то это перекрывает.

Локальный администратор, т.е локальная учетка с правами администратора - может все устанавливать все настраивать.

stolyar 09-11-2009 19:45 1265999
Цитата:
Цитата YDen
Сейчас что-то это перекрывает. »
Так права админа у пользователей есть, или их нет?

Может быть попробовать через Restricted Groups назначить права юзерам? (как вариант..)

YDen 09-11-2009 20:17 1266024
Цитата:
Цитата stolyar
Так права админа у пользователей есть, или их нет? »
Доменный админ-есть, локальный админ - нет. Это у одной доменной учетки.

Интересно разобраться. Данный трабл появился, когда я в корень домена добавил одну общую GPO. В ней пробыты только настройки для Firefox, не запоминать имя последнего пользователя, сообщение для пользователей при входе в в систему и права админа на одну ветку реестра. Все остальное - не назначено.

stolyar 09-11-2009 21:15 1266070
Попробуйте посмотреть через Group Policy Management Console. Может Там будет более ясная картина видна..

Delirium 10-11-2009 02:15 1266273
YDen, просмотрите внимательно результат выполнения команды rsop.msc. Увидите результат применения результирующей политики.
А, простите, зачем отключать дефолтовую политику и вместо нее делать опять же общую на всех? Не проще ли навесить отдельные политики на нужные OU, а в дефолтовой настроить что надо?
Цитата:
Цитата YDen
Доменный пользователь со всеми админисраторскими правами (администратор домена, администратор схемы и т.д.) на машине с Вин ХР, пытаюсь установить любую программу - ругается "Чтобы установить данную программу, Вы должны выполнить вход в систему как Администратор" »
Болт наверняка в том, что на машине в группе локальных пользователей нет группы Domain Admins. Видно, после отключения дефолтовой политики, эти настройки изменились.

YDen 10-11-2009 06:55 1266335
Цитата:
Цитата Delirium
Не проще ли навесить отдельные политики на нужные OU »
Это как раз сделано.

Цитата:
Цитата Delirium
зачем отключать дефолтовую политику и вместо нее делать опять же общую на всех »
Боязнь сделать изменения, могущие "положить" сеть и сервер. А так можно легко на крайний случай удалить созданную.

Цитата:
Цитата Delirium
а в дефолтовой настроить что надо »
Т.е как включить дефолтную?

Спасибо


Время: 00:37.

Время: 00:37.
© OSzone.net 2001-