|
[решено] GPO - На клиентах домена перестали применяться настройки политик
Нужна помощь - НЕ ДЕЙСТВУЮТ НА КЛИЕНТА ГРУППОВЫЕ ПОЛИТИКИ!
Есть Win2kServer+SP3+AD, лок сеть, ИП-статические, есть PDC, так вот - при изменении Default Domain Policy (отключение актив десктоп к примеру), - это не действует на клиентов, а ттолько на сам сервак!!!!?????? Почему??? Время обновления поставил маленькое -1 минута и все равно - результат - нуль... |
1. точно Default domain policy, а не Default domain controllers policy?
2. а что время обновления? достаточно завершить сеанс и войти вновь, для применения новых настроек групповых политик для пользователя. воспользуйтесь утилитами gpresult и gptool из Windows 2000 Resource Kit tools и проанализируйте их отчеты как на клиентах, так и на сервере ( где у вас применяются настройки) |
Во первых нехорошо крутить Default, создай подразделение, засунь туда компьютеры и пользователей, и закручивай им гайки.
Потом кто клиент? 2к? |
Да я все вернул ....
Убрал Дефаулт. Создал подразделение - создал для него политику - новую а не на основе дефаулта! - изменил ее чуть чуть - чтобы к примеру отключить иконку "Экран" в КонтрольПанели - изменил период обновления политики - ставлю 1 минуту - и все равно не действует!!!! блинннннннннннннннн |
Мне тоже не удалось добиться ни черта. Политика в этой части срабатывала лишь для машин с ОС w2k Server, входящих в домен. Фиг его знает :(
|
Но ведь глуповато же получается то ....
и странно как то ... у меня в домене тачки только win200Proff+sp4 - вроде бы все должно крутиться, есть еще в сети одна рабочая группа, но они не в домене и ладно... но эти то!!!!!! |
PEREPIRKA
Цитата:
изменили настройку ГП - отключаете сеанс пользователя -и повторно регистрируетесь... если учетная запись и объект Компьютер - находятся в вашем подразделении - то при повторном подключении ( после изменения групповых политик) - изменения вступят в силу.. либо, выполняйте secedit /refreshpolicy user_policy (secedit /refreshpolicy machine_policy) на конечном компьютере - изменения вступят в силу без перелогина. PS вы похоже даже не читали что я вам раньше указал.. еще раз прочитайте.. |
Все я это уже читал и не в одном этом форуме.
Ладно, оставим ту 1 минуту, что я поставил. Убрал я ее. Делаю изменения в точно Default domain policy, а не Default domain !!!!! Пишу на клиентской тачке : secedit /refreshpolicy user(mashine)_policy /enforce Результат: НИ-ЧЕ-ГО!!!!:( Добавлено: Все это срабатыввает ТОЛЬКО на самом сервере! ВСЕ! Больше ни на чем!!!! Вот так то!!!! |
Цитата:
1. На вирусы проверялся? 2. Что пишеться в журналах а) на сервере; б) на рабочей станции? 3. Проверь лицензии на сервере домена. 4. На рабочей станции запусти gpedit.msc и проверь Конф.комп./Адм.шабл./Система/Груп.пол. - может что заблокировано? 5. И совсем дурацкий вопрос, рабочие станции в домене? Или в рабочей группе? |
1- На вирусы - проверялся.
2 - в Журнале на раб станции к примеру) с регулярностью в 5-10 минут: Приложения: "Не удалось определить имя пользователя или компьютера. Возвращенное значение (1722). " 4 - лицензии в домене? стоит 100 шт 5 - На рабочей станции запусти gpedit.msc и проверь Конф.комп./Адм.шабл./Система/Груп.пол. - проверил - все стоит "НЕ ЗАДАНО" 6 - рабочие станции - в домене - т.е. нормально при входе - запрос имени, пароля, внизу строка домена. Сами станции после входа в сеть находятся в одном окне с серваком - ну т.е. в домене , компы - управляются по сети. НО - все равно политики не применяются.... Есть такое чуйство, что станции просто не могут найти сервак, потому и лезут такие ошибки, как их исправить не знаю...... блин |
Время совпадает на сервере и на рабочих станциях?
Что говорит команда "net time" ? Если не совпадает - то отшибает kerberos. У тебя ip - статические? Тогда, возмжно, рабочая станция не знает сервер времени... Попробуй на рабочей станции дать команду net time /domain:mydomain /set /yes |
на клиентах стоит DNS суффикс домена?
|
Если чесно, то все вышесказанные советы - фигня! Все дело в том было, что не работал ДНС на сервере- все! Настроил его -и телемаркет!
Так что тема закрыта. |
fix! На клиентах домена перестали применяться настройки групповой политики (GPO)
Снова вопрос по GPO.
Задачка: Группе пользователей необходимо выдать полные права на определенную ветку их локального реестра. Как решаю: Создаю групповую политику в нужном мне OU. В самой политике захожу: Конфигурация компьютера -> Конфигурация Windows -> Параметры безопасности -> Реестр. Добавляю сюда нужную мне ветку реестра, в свойствах ее безопасности добавляю нужную мне группу, ставлю ей полный доступ. Опции: Настроить этот раздел, Распространить наследуемые разрешения на все подразделы. В Security Filtering опять же оставляю только нужную мне группу. Вроде, все. Но не работает! Что я упустил? PS. А не кажется ли вам, господа, что по Active Directory стоит сделать отдельный раздел на форуме? |
Цитата:
|
Цитата:
|
sanykool
посмотрите утилиту GPMC с сайта Microsoft - она позволяет выполнить анализ и моделирование настроек и работы ваших Объектов групповой политики. Цитата:
только нигде об этом не написано, надо полагать чтобы никто об этом не догадался. предложение ваше правильное, только раздел выделять не стоит ,а возможно просто добавить к названию: Microsoft Windows NT/2000/2003 + AD Хотя я бы переименовал во что-либо такое: Microsoft Windows Sever + AD |
Мучаясь к доменом набрел на утилитку. Нехотели машины поднимать групповую политику с контроллера, помогло. Попробуй на рабочих станциях запустить
если win2000 secedit /refreshpolicy user_policy /enforce secedit /refreshpolicy machine_policy /enforce если XP и выше gpupdate /force (кажется, не помню точно, глянь в справке - /?) Попутно вопрос: Security Filtering - это где? Или торможу, или не знаю. |
Всем спасибо, проблема решена. Грабли были в репликации между контроллерами домена (на одном остановилась служба NtFrs), и с одного контроллера не срелицировалось удаление нескольких старых политик. Они-то и мешали обработке групповых политик клиентами. Удалил вручную, сдлелал gpupdate /force, и все стало хорошо. Кстати, GPMC - вещь жизненнонеобходимая, без ее режима тестирования результатов применения групповых политик я бы этот косяк нашел нескоро.
|
123
gults
Цитата:
У каждого Объекта групповой политики (GPO) есть список доступа - в котором определяется по умолчанию те объекты безопасности (пользователи и группы) которым разрешен доступ к этому объекту и какой. по умолчанию это административные группы - полный доступ, системные конечно же и упоминаются группы "Прошедших проверку" - с правом чтения и выполнения этого объекта - вот почему эти настройки применяются к пользователям и компьютерам, попавшим под ее воздействие. фильтрация заключается в том, что вы:
|
по дальнейшим вопросам обсуждения применения ОГП лучше идти вот сюда: fix! ошибка 1024 Userenv Проблема с приминением GPO на членах домена. тему пока не закрываю, но продолжайте там. спасибо. |
| Время: 07:55. |
Время: 07:55.
© OSzone.net 2001-