Груп. политика распределяется только на пользователей с правами админ. домена

Fighter · Отправлено: **10:02, 15-12-2005** | #2

fix! Как создать для каждой группы свою групповую политику? Различия групп в домене?
fix! На клиентах домена перестали применяться настройки групповой политики (GPO)

xstranger · Отправлено: **10:37, 15-12-2005** | #3

to fighter

Нет. Это немного не та информация которая мне нужна. GPO я настраивать умею, и все у меня работало до недавнего времени (наверное до установки GPMC, а может это связанно и не с ней). Политика к правам пользователя домена применяется. Пользователь ограничен в действиях (не может подключится к другому домену (раб. группе), неактивна кнопка "отключить" в свойствах подключения сети) и т.д.. Но вот мой GPO почему то на учетные записи с правами "пользователей домена" не распространяются, хотя в winpolicies пишет обратное. Ести группу "пользователи домена" включить в группу "администраторы домена", то все работает. Создается такое впечатление что моя GPO блокируется встроенной GPO прав пользователей домена.

Fighter · Отправлено: **10:50, 15-12-2005** | #4

раз вы упомянули gpmc отфильтруйте применение данной политики
так же вы сказали о "применении на всех прошедших проверку". это не совсем есть гуд
включите применение данной политики на те подразделения/компьютеры которые вам необходимы
в данном случае на выходе. опять же, та же самая gpmc покажет объекты ГПО которые возможно
перекрывают/блокируют ваши установки

xstranger · Отправлено: **11:48, 15-12-2005** | #5

Отключил все кроме этой политики (даже Default domain polices, Def domain controller pol. -не отключал, но она и не наследуется) в GPMC отображает на данном OU только мою GPO. Применение политики указал вплоть то конкретной учетной записи (указывал и ВСЕ, и Пользователи домена) все безрезультатно, применяется только к Адм. домена. Складывается впечатление, что права пользователя домена ограничены доступом к реестру на Read Only на все ветви. Не сохраняется даже команды вводимые в run. Вследствии и настройки политики не вносятся в реестр. Что можно сделать, где посмотреть???Есть предложения?

Fighter · Отправлено: **12:06, 15-12-2005** | #6

%windir%\security\logs\Winlogon.log на предмет ошибочных сообщений
равно как и журналы событий
gpresult и RSoP

xstranger · Отправлено: **12:29, 15-12-2005** | #7

В winlogon.log все нормально - ошибок/аномалий нет, в результирующей политике (RSoP) показанна наследуемаю (нужная) политика с контролера домена (Установки GPO которые я ставил в gpedit на сервере) но она не применяется. В gprslt тоже все ок. Может есть возможность откатить AD к дефолту?

xstranger · Отправлено: **12:35, 15-12-2005** | #8

или может есть возможность удалить gpmc чтобы вкладка в свойствах контейнера Групповая волитика вернулась к своему первозданному виду. Проблема то в том, что у пользователя домена нет прав применить политику на рабочей станции.

Fighter · Отправлено: **12:56, 15-12-2005** | #9

погодите откатывать...
результаты где? выкладывайте сюда будем в четыре (и больше

) глаза смотреть,
авось и всплывет камешек подводный
что касается прав пользователя, ему нужны права только на чтение и применение ГПО
все остальное дело третье
ЗЫ. не верю я что аномалий нет, в первой ссылке поста №2 SkyF вполне нормально описал
порядок создания и применения политик. что то вы упускаете

xstranger · Отправлено: **13:16, 15-12-2005** | #10

Все это я еже читал/знал/делал. Дело то в том, что на клиенте пишет во всех анализирующих программах (winpolicies, RSoP, gprslt) что политика применилась, на деле же, это не так. Работает локальная политика для ограниченой учетной записи, причем или локальная - ограниченая, или админ домена с сервера....