|
Групповые политики работают только Default
Всем привет, вопрос такой, я создал некие групповые политики(типа подключить сетевой диск, поменять к.ч. в реестре и т.д.). Но на клиентах тишина, ничего не применяется.
Тогда я воспользовался gpresult /V и он мне сказал что политики применяются только из ветки Default Domain Politics, а мои следовательно даже не пытаются применяться. Кто-нибудь подскажет почему? Может я что-то забыл где-то? |
На кого политики применяете? Юзеры/компы? Они (эти юзеры/компы) лежат в OU, к которой эти политики прилинкованы? "gpupdate /force" делали на клиентах?
|
Цитата:
|
Мои действия:
В AD завожу группу group1, в нее добавляю пользователя test. Иду в оснастку групповые политики, во вкладки Group Politicects завожу политику с одноименным названием group1(хотя можно с любым). Щелкаю на нее и в окошке security filtering удаляю группу "Авторизованные пользователи" и добавляю свою group1 из AD. Далее щелкаю на групповой политики правой кнопкой->edit ->User Configuration->Preference->Windows setting->Registry и здесь в ветки HKU в run просто добавляю значение новое. Далее все сохраняю, Пуск->Выполнить->gpupdate /force Загружаю тестовую машину, она в домене, nslookup работает на ура, захожу под пользователем test. Иду в ветку реестра HKU смотрю, НИЧЕГО не появилось. Пуск->Выполнить->gpupdate /force на тестовой машине(хотя смысл Групповых политик, если потом бегать по клиентским машин и gpupdate писать руками), перезагружаю машину.. Иду в ветку реестра HKU смотрю, НИЧЕГО не появилось. запускаю gpresult /z читаем...... Тип домена: Windows 2000 Примененные объекты групповой политики --------------------------------------- Default Domain Policy Следующие политики GPO не были приняты, поскольку они отфильтрованы -------------------------------------------------------------------- Local Group Policy Фильтрация: Не применяется (пусто) Пользователь является членом следующих групп безопасности --------------------------------------------------------- Domain Users Все Пользователи ИНТЕРАКТИВНЫЕ КОНСОЛЬНЫЙ ВХОД Прошедшие проверку Данная организация ЛОКАЛЬНЫЕ mart Средний обязательный уровень Привилегии безопасности данного пользователя Т.Е. применяется только Default Domain Policy, а моя вновь созданная нет. Ну и ради эксперимента добавляю все в Default Domain Policy, то на тестовой машине все работает. И вот в чем проблема? подскажите... че не так? |
Политики не применяются на группы. Вам нужно прилинковать политику к OU, в котором лежит ваш пользователь.
|
Заработало, но всеравно как то странно, я же при создании политики выбирал пункт Создать ГПО в данном домене и прилинковать ее
|
Цитата:
Когда вы создаёте политику, в её параметрах безопасности политики автоматически указывается группа ACL "Прошедшие проверку", которая включает в себя все компьютеры и всех пользователей домена. Когда вы связываете политику со всем доменом или с конкретными подразделениями (OU) домена, эта политика применяется ко всем пользователям и всем компьютерам этого подразделения. Однако если вы в параметрах безопасности замените группу "Прошедшие проверку" на другую группу, то политика применится только к тем пользователям и компьютерам этого подразделения, которые входят в указанную группу. Но если вы не назначили политику какому-либо подразделению (или всему домену), то она ни к кому не применится. Цитата:
Средства редактирования политик в Windows 2008 позволяет наглядно видеть, с какими разделами домена связана политика, а также отключать и включать эту связь. |
Честно, наглядно ничего не вижу, в противном случае здесь бы меня не было)). Ладно, сейчас руководствуясь вашими словами попробую проверить все выше сказанное.
|
И так продолжаем бороться с политиками:
Решил я тут всех пользователей(исключая некоторых) завернуть на Proxy, т.е. прописать в настройках браузера ip и порт. В групповых политиках для этого есть ветка Settings for Proxy, задал в ней нужные мне параметры и ничего, хотя правил эту ветку в уже работающей политике. проверил gpresult /z - политика выполняется. Так же в груповых политиках нашел ветку Connection settings в ней тоже есть возможность задать прокси, так что я для верности и тут прописал, но все же ничего не работает. Есть какие у кого мысли? или может кто что подскажет |
Цитата:
Цитата:
|
Цитата:
Политика прилинкована ко всему домену, если нажать на имя домена то во вкладке linked group polici object она есть. Прилинковывал ее так: правой кнопкой на имя домена -> Link exiting GPO -> из списка выбрал нужную политику. Самое то интересно, что данная политика работает давно, закрывает usb- накопители. Я просто в нее еще добавил настройки proxy. Сегодня прошелся по некоторым клиентам, картина следующая: У некоторых proxy прописался(причем и меньшенство), у тех у кого proxy не прописался доступ к флеш-накопителям запрещен, значит политика работает, да и gpresult /z выдает что политика загружена, и ниже пишет: Следующие политики не были применены Local group policy (но они мне и не к чему). На моем PC все отрабатывает сразу, без проблем... вчера раз 5 баловался, запрещал разрешал, прокси менял. Разница между моим и клиентским в том, что у меня есть права локального админа, у них нет. НО это не должно быть помехой. Вот ситуация мистическая, такое ощущение что политики применяются на клиентах, но если комп раз 10 перезагрузить, а логично было бы что бы с первой перезагрузки. Да и еще можно добавить, что пользователи к политике привязаны одной большой группой, ну а себя я добавлял пользователем. |
Цитата:
|
Ну конечно, я вроде как нашел причину такого поведения, в логах есть ошибочка: компьютер не может установить безопасное соединение с контролером домена и т.д. поэтому политика по флешкам когда то отработала, а проксю не прописывает, вот и все она просто не проходит получается.
но опять же команда set выдает что данный компьютер принадлежит моему домены, что за logon отвечает мой контролер домена... ерунда какая то |
| Время: 11:09. |
Время: 11:09.
© OSzone.net 2001-