Груп. политика распределяется только на пользователей с правами админ. домена
 

Опытные администраторы в w2k3 подскажите. Имеется OU (domain - corp - all)
, в ней 2 пользователя. Один с правами - Администратор домена, второй - пользователь домена. Профили пользователей идентичны и загружаются с контролера домена (\\server\userfrofile\*). Имеется на OU групповая политика, но она применяется только на учетную запись с правами администратора домена, а на пользователя домена - нет. Хотя и у обоих winpolicies показывает что политики применились. Политика применяется на всех прошедших проверку. А если поставить пользователю с правами пользователя домена, права администратора домена, все встает на свои места.

fix! Как создать для каждой группы свою групповую политику? Различия групп в домене?
fix! На клиентах домена перестали применяться настройки групповой политики (GPO)

to fighter

Нет. Это немного не та информация которая мне нужна. GPO я настраивать умею, и все у меня работало до недавнего времени (наверное до установки GPMC, а может это связанно и не с ней). Политика к правам пользователя домена применяется. Пользователь ограничен в действиях (не может подключится к другому домену (раб. группе), неактивна кнопка "отключить" в свойствах подключения сети) и т.д.. Но вот мой GPO почему то на учетные записи с правами "пользователей домена" не распространяются, хотя в winpolicies пишет обратное. Ести группу "пользователи домена" включить в группу "администраторы домена", то все работает. Создается такое впечатление что моя GPO блокируется встроенной GPO прав пользователей домена.

раз вы упомянули gpmc отфильтруйте применение данной политики
так же вы сказали о "применении на всех прошедших проверку". это не совсем есть гуд
включите применение данной политики на те подразделения/компьютеры которые вам необходимы
в данном случае на выходе. опять же, та же самая gpmc покажет объекты ГПО которые возможно
перекрывают/блокируют ваши установки

Отключил все кроме этой политики (даже Default domain polices, Def domain controller pol. -не отключал, но она и не наследуется) в GPMC отображает на данном OU только мою GPO. Применение политики указал вплоть то конкретной учетной записи (указывал и ВСЕ, и Пользователи домена) все безрезультатно, применяется только к Адм. домена. Складывается впечатление, что права пользователя домена ограничены доступом к реестру на Read Only на все ветви. Не сохраняется даже команды вводимые в run. Вследствии и настройки политики не вносятся в реестр. Что можно сделать, где посмотреть???Есть предложения?

%windir%\security\logs\Winlogon.log на предмет ошибочных сообщений
равно как и журналы событий
gpresult и RSoP

В winlogon.log все нормально - ошибок/аномалий нет, в результирующей политике (RSoP) показанна наследуемаю (нужная) политика с контролера домена (Установки GPO которые я ставил в gpedit на сервере) но она не применяется. В gprslt тоже все ок. Может есть возможность откатить AD к дефолту?

или может есть возможность удалить gpmc чтобы вкладка в свойствах контейнера Групповая волитика вернулась к своему первозданному виду. Проблема то в том, что у пользователя домена нет прав применить политику на рабочей станции.

погодите откатывать...
результаты где? выкладывайте сюда будем в четыре (и больше =)) глаза смотреть,
авось и всплывет камешек подводный
что касается прав пользователя, ему нужны права только на чтение и применение ГПО
все остальное дело третье
ЗЫ. не верю я что аномалий нет, в первой ссылке поста №2 SkyF вполне нормально описал
порядок создания и применения политик. что то вы упускаете

Все это я еже читал/знал/делал. Дело то в том, что на клиенте пишет во всех анализирующих программах (winpolicies, RSoP, gprslt) что политика применилась, на деле же, это не так. Работает локальная политика для ограниченой учетной записи, причем или локальная - ограниченая, или админ домена с сервера....

чего же вы ждете? панацеи ака нажать то, включить это?
выкладывать результаты не хотите, чего уж дальше?
политика применяется, но неработает... ну не смешно ли?
NTFS разрешения на соответсвующие объекты ГП есть?

-- NTFS разрешения на соответсвующие объекты ГП есть? - это где именно? Если на клиенте видятся политики, читаются значения, а более то разрешений и не надо.

Вот выкладываю логи.
Вот только в winlogon.log ничего относительно сегоднешнего входа в систему, и применения GP нет

именно это я и имел ввиду
gpupdate /Target:User
и повторно результаты
ЗЫ. а RSoP лучше выполнить не планированием а протоколированием

- как это сделать.

gpupdate /target:user - сделал... все тоже самое. без изменений.

Что делать, ума не приложу.

ms-its:C:\WINDOWS\Help\RSoP.chm::/RSPhtUA.htm

странно что что в журнале приложений не регистрируются события
если политика распространилась должно быть соотв. событие 1704 в журнале
если нет соотв. другое. что в этой стороне? не говорите только что там пусто =)
разрешения на соотв. админ. шаблоны проверьте (system.adm)

в данном случае за запрет даного параметра отвечает ветка реестра (User) и параетр:
и его наличие и будет итогом отработки политики
а что касательно остальных (конф. пользователя/компютера) параметров? таже ситуация?
или только в админ. шаблонах?

Проверил реестр,
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ --- а дальше только \explorer. и все!!!
а у пользователя нет прав на создание разделов в реестре. В одном конкретном случае, решаемо. Но в пределах предприятия... Не ходить же на каждом выставлять права на создание разделов...

И почему так получилось?!...
Есть какие нибудь мысли?

xstranger так и должно быть, при распростанении политики
изменения произодятся от имени system которая по дефолту имеет
полный доступ к данным разделам.
мысли есть, они изложены выше

у меня system имеет дефолтовый полный поступ, но политика не применяется....

подскажите что либо, более конкретное, чем "пойди туда, сам не знаю куда и т.д."

еще раз, давайте события журнала приложений.
и не говорите что их нет. если политика нормально применилась
должно быть соотв. событие 1704. если нет, какое либо другое сопутств. ошибке и т.д.
если ничего не отображается - это говорит только об одном. аудит. настраиваем в лок. политике.
Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Политика аудита\.
нас интересует Аудит системных событий

Вот журнал системных событий. Usr-Kononenko; Time-9:48

гм... по русски же написано:

как бы глупо это не звучало, но никаких событий во время, да и после регистрации пользователя - нет ...(((
есть предложения?

посмотрите здесь
Event ID 1704 indicates that Group Policy security settings are applied to a Windows 2000-based computer even though Group Policy security settings are not applied

А что самое интересное конфигурация компьютера применяется, а пользователя - нет. Хотя нигде (я смотрел не отключена) юзеры и компьютеры в одном OU (без вложеных OU)? нигде не стоит блокировка.... хм.

Там нет ничего, относящегося к моей проблеме. Тем более у меня обе ос со всеми Hot Fix`ами (w2k3, XPProf Corp SP2 + HF)

Может тогда подскажешь где можно взять *.adm шаблоны, чтобы права админа домена урезать до пользователя, чтобы запретить отключение от сети.

я не о том
может чего встретится
а после отработки команды gpupdate? должны быть. должны.
Group Policy ADM Files (стандартные)
смысл какой? хотите пользователю дать права администратора домена?
не стоит.

Просто сроки уже поджимают, а результата нет. Я все с GPO не могу разобраться. Остается или дать пользователям права админов домена, и ограничить их груповыми политиками, но всего ведь не предусмотришь. Либо понижать, а затем заново повышать роль сервера, для переустановки AD, но это времени опять надо уйму. Я уже пол предприятия в домен ввел. Вот мой log давайте вместе посмотрим 4 глаза лучше...

CreateEnvironmentBlock: Failed to open HKEY_CURRENT_USER, error = 5 - как это может быть если у system полный доступ?

- Это пользователь домена
-------------------------------------
- Это Адм. домена

если хотите что либо добавить к пред. сообщению используйте кнопку "редактировать"
согласитесь немного неудобно. три поста подряд и почти одно и тоже...
а такая ситуация (имеется ввиду прим. груп. пол. вообще) наблюдается для всех пользователей
или только тех которые имеют перемещаемый профиль?
и сделайте все таки "Save report" в GPMC

ЗЫ. что с аудитом и событиями. все мы их стороной обходим

Спасибо за посильную помощь.

Разобрался наконец то с политикой. Оказывается профиль, который я копировал как дефолтовый, каждому пользователю домена, был битый. Взял новый (чистый дефолтовый профиль, с только что установленной XP SP2) и все пошло. Только теперь возникает вопрос - а как дать возможность пользователям настраивать интерфейс (темы, фоновые рисунки, оформление и т.д. ) не на один сеанс, а с сохранением?

И еще одно - может быть кто нибудь сталкивался с ситуацией когда с ограничеными правами не запускается 1С бухгалтерия, а добавляешь права админа, все ок. Добавил через гр. политику разрешения RW на ветки реестра HLCR, HKLM, HKU пользователям домена, разрешения появились, но запускаться не спешит... :o