Как запретить вход польз-лей домена на опред-ные компы домена Групповыми политиками
 

Здравствуйте, уважаемые друзья.
(поисковики в очередной раз не помогли и ) назрел вопрос

Можно ли ограничить вход пользователей в домен WinSrv2008 только входом с определенных компьютеров этого домена
и сделать это использованием групповых политик
терминальные службы не используются, все в пределах одной Ethernet 100Mb сети

уточнение. конечно, можно выставить для каждого пользователя "Вход на..." на вкладке "Учетная запись" окна "Свойства: пользователь", но вот только машин 60, пользователей 300, разным группам пользователей нужно разрешить вход на разные группы машин и на отдельные машины, как-то 60*300=18000 записей делать руки не поднимаются... в этом окне не выбираются машины, зарегистрированные в AD, и группы машин, только Net-BIOS имена компов вводятся вручную

С уважением,

Какую задачу пытаетесь решить?

Ivan Bardeen, школа, комп. классы, компы учителей, администрация школы, просто учителя - вот небольшой перечень агентов домена

ученики не должны иметь вход на компьютеры учителей и администрации ... и так далее

Все же я спросил про задачу - кто "входит" или должен "входить" в домен - это вопрос шестнадцатый

Ivan Bardeen, тогда я не понимаю вопрос :(

Чего вы хотите добиться реализовав то, что вы озвучили в самом вопросе? - вот мне это непонятно.
Конечная цель какая?

понятно, что у всех свои профили, но тем не менее..

1. Создайте в домене группы "ученики", "учителя", "администрация"
2. Создайте OU "ученики", "учителя", "администрация" - переместите туда соответствующие компьютеры
3. С помощью политики "restricted groups" , привязав их к соответствующим OU - замените на компьютерах в группе "пользователи" членство - оставив только соответствующие группы
В итоге, потеряв членство в локальной группе компьютера "пользователи" - пользователь не сможет туда залогиниться.

Ivan Bardeen,
1 сделано
2 не знаю что такое OU - много видел но видимо так и не понял, был уверен что это группы ..
о 3 и говорить не приходиться - не понял ничего .. :(

2. Organizational Unit - грубо говоря "папки" в консоли AD, к которым привязывается политика
3. Вот неплохой мануал на ангельском с картинками http://www.windowsecurity.com/articl...ed-Groups.html

Ivan Bardeen, правильно ли я понял что в русской версии Organizational Unit называется "Подразделение" и создается наравне с Builtin и т.д. (на том же уровне в консоли AD-Пользователи и компьютеры) и оказывается это не то же самое что группы, хотя бы потому что создать можно только "группу безопасности" и "группу рассылки" а нам-то нужен контейнер ??

Все верно. Более того, при необходимости можно внутри одного OU создавать другие OU - тем самым выстраивая удобную для себя иерархию для администрирования.

предлагаю вариант проще, но он имеет одну природу с предложенным Иваном методом.

1. создается набор групп по любому признаку и в группы включаются нужные компьютеры
2 созлается набор групп пользователей
3. на ПК входящие в нужную группу (необходимо настроить как ... Затрудняюсь правильно назвать... в общем в безопасности применение на определенную группу а остальным применение отключить) и в локальную группу Users средствами Resicted Users в группу пользователей вписываются только нужные учетные записи.

Таким образом получаем средство которое управляет возможностью входа на рабочие станции при условии что пользователь входит в группу которой разрешен вход на определенный компьютер.

всё же, можно поподробнее ? :dont-know
правильно ли я понял, что политика "restricted groups" не "существует как-то отдельно", что её нет в объектах GPO по умолчанию default domain policy и другом default'е, что она есть в любом вновь создаваемом объекте GPO
значит, мне нужно создать новый объект GPO (в той же ветке, на том же уровне что и Default Domain Policy), пустой, все политики не заданы, и только в ветке политики "restricted groups" этого нового GPO (а как вообще restricted groups по-русски? "политики ограниченных групп"?) нужно сделать ЭТО. сделать что ?

:up то что нужно, но
пункт 3. опять не понял ((

zero55, Ivan Bardeen, мужики, а в чём разница-то ? Ivan Bardeen, Вы предлагаете привязать этот новый_GPO_с_политикой_"restricted_groups" с вновь создаваемым OU, а Вы, zero55, с вновь создаваемой группой безопасности - только и всего ?
или имеется в виду что существует две "restricted" политики - "restricted groups" и "restricted users" и в модели, предложенной Ivan Bardeen, мне нужно (я всё это гипотетически излагаю и прошу прощения - разбираюсь дома, а DCшка разумеется на работе) исправить гипотетический параметр политики "restricted_groups", связанный с builtin группой "Пользователи" (её олицетворением на клиентских машинах) - её переопределить на другую, а в модели, предложенной zero55, наоборот - набрать в неё (builtin группу "Пользователи" - её олицетворением на клиентских машинах) пользователей из числа зарегистрированных в AD на DCшке
я вчера создал (первую в жизни) GPO для ограничения размера профилей, и могу точно сказать, что если слева в дереве консоли мышью выделить GPO, то в центральной части консоли появляется некое окно настройки, в нем 4 вкладки, одна из них - параметры, выбираешь её и в виде дерева отображаются заданные в этом GPO политики, но я не о том - ещё одна вкладка - вроде "применять к..." и там можно выбрать группу и пользователей (а может, компьютеры ?) к которым применять, так вот - об этом ли говорили Вы, Ivan Bardeen, , и об этом ли говорили Вы, zero55, ПОЛНЫЙ ОФТОП
есть ещё вопрос - о получении результирующей политики
правильно ли я предполагаю, что если создать новый GPO наряду с двумя default'овыми, произойдет складывание политик всех GPO по принципу
"определено в любой одной - так же определено в целом"
"не определено ни в одной - не определено в целом"
"определено одинаково - консенсус :) "
"определено по-разному - ошибка"
не определено - это ещё называют политика не задана, на схеме покажу

___________дефолтовый GPO___________новый GPO_________результирующая политика
...________________..._____________________..._____________________....
политика N_____включена____________не определена_______включена как в дефолт GPO
...________________..._____________________...______________________...
политика S_____не определена__________включена___________включена как в новом GPO
...________________..._____________________..._____________________...
ну и все другие варианты, но особенно интересуют эти два (не перебил ли мною созданный отдельно GPO для ограничения размера профилей пользователей дефолтовый GPO для всех пользователей домена)

Уважаемые мои господа !
правильно ли я понял, что
вообще то говоря, "restricted groups" предназначена для переназначения и управления членства в локальных группах на клиентских компьютерах, говоря "локальных группах на клиентских компьютерах" мы имеем в виду те самые группы безопасности, которые можно создавать (и управлять) в консоли "Управление компьютером" на самой рабочей станции с WinXP, так, как-будто бы мы сами вручную, а не автоматически политика "restricted groups", создали локально пользователей, группы безопасности и распихали их по этим группам локально
а попроще решить мою проблему нельзя ? :dont-know
но это не значит, что я не ценю помощь, которую мне уже оказали

можно и проще.
используйте Group Policy Preference http://www.grouppolicy.biz/2010/01/h...trator-groups/

это позволит оперировать только одним GPO и использую функцию таргетинга назначать набор групп на нужные компьютеры по любому признаку.

Оба метода допустимы, но разница заключена в том что Иван предлагает создать OU и на него назначить политику, а я предлагаю создать группы и на их основе назначить политику.

Мой вариант позволит без изменения структуры OU назначать нужные правила т.е. вам не придется перекраивать текущую структуру OU.

сделал всё как сказано
созданы пользователи в контейнере (встроенном) Users (пользователи названы U1001, U1002 ...)
созданы глобальная группа УЧЕНИКИ в контейнере Users, эта группа является членом
глобальной группы Пользователи домена (группа по умолчанию, глобальная)
создана группа КОМПЬЮТЕРЫ ДЛЯ УЧЕНИКОВ в контейнере Computers (встроенном), глобальная, эта группа является членом
созданной группы КОМПЬЮТЕРЫ ШКОЛЫ, глобальной, в контейнере Computers (встр), эта группа - член
глобальной группы Компьютеры домена (группа по умолчанию, глобальная)
создан (на том же уровне что и Default domain policy) объект GPO, пустой, в разделе этого GPO Конфигурация компьютера\ Настройки\ Параметры Панели управления\ Локальные пользователи и группы добавлены 2 записи,
первая, за порядком 1 (столбец такой там - Порядок), Имя группы:Пользователи (встроенная и т.д.), действие - Замена, галки Удалить (одна пользователей другая группы) обе стоят, в поле Члены записей нет (не добавлены), на вкладке Общие одна галка - Нацеливание, в редакторе таргеттинга - одна запись - компьютеры в группе (там прям выбираешь Новый->Группа), значение для записи (Группа: ) КОМПЬЮТЕРЫ ШКОЛЫ
вторая запись, (порядок: 2), Имя группы: Пользователи (встр...), действие - Обновить, галки Удалить обе сняты, в поле Члены выбрана группа УЧЕНИКИ, для неё Action:ADD, на вкладке Общие одна галка - Нацеливание, в редакторе таргеттинга одна запись - компьютеры в группе, значение - КОМПЬЮТЕРЫ ДЛЯ УЧЕНИКОВ,
в Диспетчере сервера для этого GPO в поле Применять к: поставлено Компьютеры домена (встр)

и пофик

GPO не используется, (предположить тупую ошибку - включена, я проверил даже), то есть он есть, ошибок система не выдает, но на рабочей станции это никак не отображается, в консоли Управление компьютером\ Локальные пользователи и группы\ Группы\ в окне Свойства:Пользователи, члены группы - 2 по умолчанию ( NT AUTHORITY\ ИНТЕРАКТИВНЫЕ и NT AUTHORITY\Прошедшие проверку ) и один (наверное, добавляемый доменом) - NT AUTHORITY\Пользователи домена
никаких упоминаний о группе учеников (я рассказываю только часть, такая же ситуация для групп учителей и администрации), пользователь U10.. может залогиниться с любой рабочей станции к какой бы группе она не принадлежала,
и есть ещё момент
в Диспетчере сервера для этого GPO (если выбрать его в дереве слева, то справа появляется окно из 4-х вкладок, я рассказывал в пред-предыдущем посте) не показываются связи, то есть для Default domain policy например в поле связан с.. отображается имя домена, для моего GPO - ничего

С надеждой, прошу помощи

как думаете, вот этот видеодоклад и вот это обновление для XP спасут меня в возникшей ситуации ?

ещё вопрос
значит ли добавление политики "restricted groups" не при помощи GPO Preferences, классически при помощи Copmuter configuration\ Policies\ , что список членства в локальных группах останется даже при недоступности контроллера домена ?
то есть например, ночью отключали свет, сервер вырублен, утром человек пришёл на работу (учёбу) и ему удаётся залогиниться на рабочую станцию потому что в списке локальных пользователей и групп при загрузке рабочей станции при недоступности контроллера домена, на рабочей станции остались сохранённые с прошлой её загрузки локальные пользователи и группы, или же этот список формируется каждый раз при загрузке рабочей станции заново, и недобавленные на ней локально пользователи и группы не появятся в списке при недоступности контроллера домена с настроенной "restricted groups" ?

бррр.
у вас вопрос такой - был вход, контроллер недоступен, войдет ли заново этот пользователь?

ответ - да, войдет.