Настройка Организационного подразделения
 

Добрый крайний рабочий день!
Подскажите как сделать следующее. Домен на Вин 2003 сервер, ИСА-Сервер, клиенты Вин 2000 проф и Вин ХР проф. На клиентах настроены Локальные групповые политики. В домене завел Организационные подразделения, там тоже настроил Групповые политики. Если на клиента нет Локальных политик (не настроены), то срабатывают настройки ОП, а если настроены Локальные политики, то работают они, а ОП игнорируется. Как можно сделать, чтобы соединении клиента с доменом, работали Групповые политики ОП, а если локальный вход, то - Локальные.

Спасибо

Поставить галочку Enforced в доменных политиках. При локальном входе в любом случае будет действовать Local Security Policy

Спасибо за советы.
Поставил галочку Enforced в Групповых политиках Организационного подразделения. Все равно, сказываются локальные настройки ГП. Например, в локальных ГП настроен запрет на контекстное меню в проводнике, в Групповых политиках Организационного подразделения Админы ничего нет. Захожу через учетную запись ОП Админы - правый клик не работает. В в Групповых политиках Организационного подразделения Пользователи убрал часы, а при заходе они есть. Как сделать так, чтобы Групповые политики Организационного подразделения были главнее Локальных.

Спасибо

Если в ГП стоИт параметр "Не определено", будут применяться настройки локальной политики. Явно задайте параметр (Enabled, Disabled)

monkkey
Спасибо за совет. Можно полный путь, где посмотреть настройки.

Спасибо

вот там и смотрите.
И не путайте Групповые политики и Локальные политики безопасности.
В Групповых политиках домена ищите такой же пункт.

Спасибо.
Я использую GPMC. У меня у Организационного подразделения Админы 2 политики - моя скорректированная и Default Domain Policy. Обе Enable. Это правильно?

Еще раз спасибо.

Если есть GPMC - в нем достаточно средств для определения действия определенной политики на любой из параметров. Group Policy Modelling - для теста, Results - понятно, для результатов примененных политик. Кроме того, на клиенте можно запустить RSOP. Естественно, если не отключено наследование, на клиентов будет действовать несколько политик. В Group Policy Results Вы можете увидеть, какие именно политики применяются к подразделению. Верхняя в списке применяется последней, следовательно, если в вышестоящих политиках какие-либо параметры не определены, будут применяться параметры нижестоящих политик.

monkkey
Спасибо, начал понемногу понимать что к чему. Вроде получается что тхотел. Большое спасибо за советы.

monkkey
прости конкретно путь можешь написать...? и по умолчанию в вин 2003 вроде он применяет политику ОУ если юзер отуда или нет?

minion
Порядок применения политик
Какой путь?

Я снова вернусь к своей проблеме описанную выше.
Повторюсь: проблема в том что есть клиенты Вин 2000 проф и домен на Вин 2003 Сервер. На клиентах_1 настроены политики "Локальный компьютер", на клиентах_2 этого нет. Создал Организационное подразделение в домене, ввел туду пользователей, настроил Групповые политики. Подключаю клиента_1 - локальные настройки все равно работают. Подключаю клиента_2 - работают настройки ОП. Как сделать так, чтобы Групповые настройки ОП домена перекрывали Локальные, т.е при входе в домен работали только настройки ОП. Enforced включено. Вход производился под одними и теми же учетными записями.

Спасибо.

RSOP
Проверьте, не настроена ли фильтрация ГП.

monkkey
Нет

Добрые люди, прошу помощи!
Не могу ничего сделать. Повторюсь: домен на Вин 2003 сервер, в ОП настроил политики. На клиентах (Вин 2000 проф и Вин ХР проф) свои локальные настройки политик. При заходе в домен, сказываются локальные настройки, т.е они как бы главнее настроек политик ОП. Как сделать так, чтобы настройки домена были главнее и не сказывались локальные политики при входе в домен.
Уже 2 недели бьюсь и толку нет.

Спасибо

YDen

Проверь чтобы учётные записи пользователей и компьютеров находились внутри OU. А вообще неплохо бы по шагам написать как ты станции вводишь в домен и как у тебя политика настроена.

Все Доброе время суток.

YDen
\чтобы соединении клиента с доменом, работали Групповые политики ОП, а если локальный вход, то - Локальные.
если комп заведен в домен, то к ниму в любом случаи будут применятся доменые групповые политики из категории Computer Configuration
локальные политики в данном случаи могут повлиять только на User Configuration, т.е. если на компе, который включен в домен, залогинились под локальным пользователем, то к нему не будут применятся доменые политики.

Чтобы применились GPOs нужно не только их создать но и сделать link на соответствующем OU, а так же проверить настройки безопасности для данного GPO, чтобы для тех на кого она на целена имели право на чтение

Enforced - в данном случии совсем не нужен, local GPO и так переписываются всеми остальными

Лучше делать отдельные GPO для Computer Configuration и User Configuration

Спасибо всем за внимание к моей проблеме.
Вкратце поясню алгоритм моих действий, может кто подскажет где я неправильно делал. Я администрирую классы в школе, сейчас клиентов 45, поэтому волей-неволей нужен домен.
Клиенты: в подавляющем большинстве Вин 2000 проф, немного Вин ХР проф. Запустил ММС, Добавить остастку, Групповые политики. Длее понастраивал запретов в User Configuration, в Computer Configuration не лез. Это стандартные запреты на правый клик, меню файл... Есть локальные уч.записи - класс (все работают под ним - в ней в реестре запрещен доступ к локальным дискам) и администратор. Ввод в домен: настраиваю в свойствах сетевого соединения статистический ip и адрес шлюза. Далее Мой компьютер, Свойства, Имя, Идентификация, ввожу имя домена. Машина спрашивает имя уч. записи домена с адм. функциями, ввожу, сообщение что присоеденены к домену, перезагрузка.
Домен: контроллер домена на Вин 2003 сервер, завожу ОП, в ней завожу клиентов. У меня стоит GPMC. Далее Правый клик на ОП, свойства, gpo. Создаю новую политику. У меня несколько ОП и в каждом только одна Групповые политики. Правый клик на ней, Edit, запускается консоль. Иду в User Configuration и выставляю нужные настройки. ОП учеников они самые обширные. Для преподавателей настройки есть, но не такие жетские, например есть Мой компьютер и правый клик. Enforced и Link GPO стоят yes, поллитика Enable.

Захожу локальной записью, настроки локальной ГП работают. Далее захожу с уч.записью домена, ОП преподаватели, выбрав вход в домен. Все запускается, но я не вижу ни правого клика ни Моего компьютера, как будто до сих пор работают локальные ГП.

Что я делаю не так. Очень надеюсь на поддержку и понимание. Админю подобное впервые. И не охота бегать по всем 45 машинам, чтобы например разбросать ярлыки.

Спасибо.

Еще добавлю.
Если на клиенте локальные ГП не настроены, то при входе в с доменной уч.запись настройки Групповые политики ОП работают на ура. Т.е и ученики ни к чему не имеют доступ и учитель может многое. Но мне нужен запасной вариант. Если с доменом проблема, то можно зайти локально и продолжать работать. А то если все 4 класса станут, меня повешают. И если убрать локальные ГП, то машина будет доступна для "лазания".

Спасибо

А ты логи смотрел может там ошибки есть

/И не охота бегать по всем 45 машинам
есть такая команда gpedit.msc /gpcomputer: testcomp

Так и не решил проблему. Help!

Я так понимаю что в твоем случаи в AD должно быть так
Есть две OU: Teachers и Schoolboys
Для каждой OU есть свои GPO со своими настройками: GPO Teachers Users; GPO Schoolboys Users
И они прилинкованны к своим OU

Так же у тебя настроены Local GPO, с какиме-то своими настройками не жели в GPO Teachers Users и GPO Schoolboys Users

Соотвественно если у тебя в Local GPO определена опция "Скрыть Мои компьютер"
а в GPO Teachers Users это опция ни как не определена, то естествено при заходе с учеткой преподавателя будут действовать Local GPO
А что бы они не действовали нужно для соответствующих опциях в GPO Teachers Users поставить значения Disable(вообщем задать обратное значение, чем в Local GPO )

Есть утилитка gpresult

а поподробнее, с ссылками на скачку если можно...

Micrus
Спасибо за совет. В понедельник проверю.

Удачи.

Kirill NN
Наберите в командной строке.

YDen

Проблема решалась ещё в 10 сообщении вашего вопроса - ссылкой monkkey на "Порядок применения политик". И как верно заметил потом Micrus - применяются сначала локальные политики, потом доменные - и если параметры вторых не перекрывают все параметры первых, то параметры первых (которые не перекрываются), остаются в силе.

xoxmodav
Ну и ... ?

Единственное ,что можно было вынести из предложенного, свелось к следующему:
Первое: закрыть доступ к gpedit.msc
Второе: Убрать все административные привилегии для локальных пользователей
Ну и третье: сбросить все локальные политики на клиентах в default.
1 и 2 -делаются легко, остается решить 3 пункт.

XPurple

Исходя из слов YDen - пользователи не имеют никаких администраторских прав и исходя из этого - не надо блокировать gpedit.msc, т.к. редактировать ей они не смогут.
А по третьему пункту - используя команду:

Спасибо всем за внимание к моей проблеме.
Да все получилось.

xoxmodav
Я не могу убрать права администратора для локальных пользователей. Да, у меня ученики администраторы. И все это из-за учебников Кирилла и Мефодия. Они наотрез не хотят запускаться под клюбыми правами кроме администраторких. обращался в поддержку - результат 0. Многое перепробовал, в том числе и сканировал regmon - ом. Ничего не получилось. Поэтому приходится все позапрещать. И этих учебников большинство - на каждой 25 наименований, всего 40 машин. К этим настройкам я шел 3 года. Сейчас все отлажено и менять не стоит. Поэтому я хотел иметь возможность локального входа в систему - на случай сбоя на сервере, чтобы все машины не остались не рабочими. А просто сбросить все локальные ГП на default - это значит дать ученикам доступ к машинам. Поэтому у меня будет заведено для каждого ученика в домене по учетной записи (для интернета, использую ИСУ), и как запасной вариант - локальный вход.

У меня всречный воспрос. в ГП можно настроить запрет на отображение дисков в Моем компьютере. Но это можно сделать только для A, B, C и d дисков. Я подключил для одного типа пользователей сетевой диск. Мне нужно, чтобы только он отображался в Моем компьютере. Т.е есть ли такая возможность скрытия всех локальных дисков и отображения сетевых.

Спасибо еще раз.

YDen

Насчёт скрытия сетевых дисков не знаю, но ИМХО вся ваша работа - это ходьба по тонкому льду, т.к. любой человек обладающий администраторскими правами может вывести машину из домена, установить удалить что угодно и как угодно - т.е. сделать что угодно и как угодно.

А filemon использовал? Не пробовал узнать куда вообще они лезут? Не могут же они к драйверам устройств напрямую обращаться.

YDen, сетевые диски так же как и сетевые принтеры подключаются только пользователем и соответственно сведения оних хнранятся в настройках профиля пользователя
т.е. это не настройки всего компьютера.

На счет учебников , я думаю что этим прогам просто необхоим доступ на запаись в установленную папку и соответствующие ветки реестра, поэтому если пользователям дать права Power User(можно даже User) и дать права на запись в папку учебников и в ветку реестра, то может сработать. Я уже с подобными программами сталкивался( так же себя ведет SmetaWizard)

xoxmodav
Попробовал запустить локально то, что вы предложили.
Для одноразового применения - сойдет.
Но массово (вкладывая в скрипт)- использовать не стоит, т.к. команда обрабатывается очень долго.

XPurple

В данном вопросе лёгких путей решения нет.