Прошу помощи с w2kserv. Можно ли настроить на контроллере домена такую политику, чтоб у клиентов, в зависимости от групп, жестко определять, что они на своих локальных машинах могут видеть(рабочий стол/меню и т.д.), а что не могут, что могут запускать, а что нет. по докам из инета ничего хорошего не получается. в группе в свойствах-> групповая политика-> ковырял и конфиги компьютера и конфиги пользователя - но почему-то они применяются только на контроллере домена(локально). Спасибо.

[mogr]

это нужно делать  в active directory настройка политики домена

[Dennis]

От групп не получиться, только для контейнеров.

Извините, а не уточните? в active directory -> групповые политики домена? результат тот же. почему-то не применяются на клиентских машинах. что может такое быть? на клиенте делал secedit /refreshpolicy machine_policy /enforce для машинных политик и для пользовательских.    виндовоз русский.

[SkyF]

Цитата:

secedit /refreshpolicy machine_policy /enforce

так это вы для компьютера обновляете политики, для пользователей нужно machine на user заменить (или завершить сеанс и зайти вновь).

Либо вы не то настраиваете что-то.. или не там..
не знаю..

ГП применяются по умолчанию только для компьютеров и учетных записей, расположенных в дочерних подразделениях этого объекта.
однако навязывание ГП только группам - возможно.
для этого в "свойствах" ОГП (объекта групповой политики) - выбираем закладку безопасность - удаляем группу Прошедшие Проверку и добавляем необходимые группы - затем даем права Чтения и Применения ГП.

в оснастке ад создал подразделение, туда перенес пользователя и компьютер. в свойствах его -> групп. пол. -> поменял для проверки енкоторые пункты в конфигурации компьютера и в конфигурации пользователя. после этого и перезагружал (клиентскую машину) и сеанс перегружал - не распространяются эти политики на клиента. действуют только политики безопасности домена. пробовал править политики для домена в целом (default domain policy) - тож самое. но, почитав на этом форуме, понимаю, что должно заработать. может еще где поковырять?
спасибо.

[SkyF]

а что конкретно меняли и в каких разделах...
пишите сюда ..

а еще возьмите из resource Kit Tools утилитку gpresult
и посмотрите, что на клиенте творится и что применяется..

спасибо за отзывчивость. менял конфигурация пользователя -> панель задач и меню пуск -> удалить "выполнить" , т.е. то, что сразу видно. нужно разобраться с этим делом. gpresult - такой нет к сожалению, ссылку не кинете?


Добавлено:

вот нашел, сделал. это то, что на клиенте:

The computer received "Security" settings from these GPOs:
   Revision Number: 3 (Active Directory) 3 (Sysvol)
   Unique Name:    Domain Name:
   Linked to: Local computer

Default Domain Controllers Policy
   Revision Number: 7 (Active Directory) 7 (Sysvol)
   Unique Name: {6AC1786C-016F-11D2-945F-00C04fB984F9}
   Domain Name: ddd.NET
   Linked to: Organizational Unit (OU=Domain Controllers,DC=ddd,DC=net)
Run the Security Configuration Editor for more information.
===============================================================
The computer received "EFS recovery" settings from these GPOs:
   Revision Number: 3 (Active Directory) 3 (Sysvol)
   Unique Name:    Domain Name:
   Linked to: Local computer

Additional information is not available for this type of policy setting.


Добавлено:

как только клиенту указать, что должен использовать политики доменные. я думал, что когда вводишь в домен - автоматом применяются

[Raistlin]

Цитата:

т.е. то, что сразу видно

Сколько контроллеров в домене? Если больше одного, то может и не быть сразу видно -- меняешь политику на одном, а клиент авторизуется на другом. Надо подождать минут 5--10, чтобы репликация изменений завершилась.