Консультации Портала - Консультация #180517

Задать вопрос Консультации Пользователи Форум

Задать вопрос экспертам

Консультация № 180517

31.10.2010, 09:07

0.00 руб.

0 14 1

Компьютеры Программное обеспечение Операционные системы

Доброго времени суток, уважаемые эксперты.
Вопрос о групповых политиках в домене Windows Server 2003.

Структура домена примерно следующая:
firma.ru
---Domain Controllers
---Отдел - здесь содержатся все учётные записи пользователей
--------Компьютеры - здесь содержатся ПК, на которых работают пользователи Отдела.

Обратите внимание, что контейнер Компьютеры входит в контейнер Отдел.

Суть проблемы:
Когда я создаю в контейнере Компьютеры политики на уровне Пользователя или Компьютера, то применяются только те, которые работают на уровне Компьютера. Политики уровня пользователя не применяются.
Использую на контроллере домена утилиту Group Policy Management, которая в частности умеет моделировать результат применения политики для конкретного пользователя на конкретном компьютере. Она также показывает, что политики на уровне Пользователя не применяются.
Если применять политики уровня пользователя к контейнеру Отдел (где хранятся учетные записи), то все политики нормально применяются.

Что это: неверная работа механизмов домена или просто моё неверное понимание механизма применения групповых политик?

Буду благодарен за любой ответ.

Обсуждение

Неизвестный

31.10.2010, 12:22

общий

это ответ

Здравствуйте, Dipauler!
Это Вы немного не так понимаете групповые политики. Групповая политика может быть из двух частей - та, что применяется к компьютеру, и та, что применяется к пользователю. Соответственно, и когда Вы их назначаете, надо понимать, что что-то, прописанное для применения к компьютеру, будет применяться только к объектам соответствующего типа, то есть компьютерам в этом контейнере. А если в политике прописано что-то для пользователей, то применяться она будет для объектов типа пользователь, а не компьютер.
То есть работает все правильно.
Если что - пишите в мини-форум.
Удачи!

Спасибо. Всегда полезно узнать о своих ошибках. :)

Неизвестный

01.11.2010, 09:16

общий

lupus campestris:
Здравствуйте.
Спасибо за Ваш ответ.

Но вот встала теперь передо мной проблема: как применить доменную политику к конкретной учетной записи на конкретном компьютере?
Ситуация банальная: два пользователя работают а одном компьютере; к одному из них необходимо применять некоторые политики, а к другому - нет. При этом, если эти же пользователи работают на других компьютерах, то политики применяться там не должны.

Неизвестный

02.11.2010, 11:08

общий

Dipauler:
нашел возможный вариант для Вашей проблемы
можно попробовать создать политику пользователя и в ее свойствах на вкладке безопасность указать только один ПК, для которого данная политика будет доступна, остальные ПК не смогут получить доступ к данной политике и соответственно не будут ее выполнять

Неизвестный

02.11.2010, 14:05

общий

Vasiliy83:
Спасибо. Непременно попробую и отпишусь о результатах.
Хотелось бы прояснить один момент. Если посмотреть на структуру домена, указанную мной в вопросе, то контейнер "Компьютеры" входит в контейнер "Отдел".
Должны ли политики, применяемые к Пользователю, размещенные в контейнере "Компьютеры", применяться к учетным записям, размещенным в контейнере "Отдел"?
Существует ли наследование?

давно

Зенченко Константин Николаевич

Старший Модератор
31795
6196

02.11.2010, 14:05

общий

Dipauler:

Цитата: Мини-форум консультации онлайн № 180550

• сегодня, 08:11 :: Vasiliy83 (Профессионал)
Dipauler:
что-то не увидел отличий от предыдущего вопроса
политики указанные в конфигурации пользователя применяются только к пользователям, которые находятся в контейнере, а у Вас там одни компьютеры

• сегодня, 08:14 :: Dipauler (Профессионал)
Vasiliy83:
Здравствуйте.
Вопрос действительно тот же самый. Дело в том, что после постановки в рассылку моего прошлого вопроса, он не появлялся в рассылке в течение трёх дней. Я решил, что из-за сбоя системы мой вопрос просто не попал в рассылку, и задал его заново.
Этот вопрос как-то можно удалить вручную?

• сегодня, 08:19 :: Vasiliy83 (Профессионал)
Dipauler:
нет, обратитесь к модераторам при помощи списка "выбрать адресата" мини-форума
по поводу разных пользовательских политик на разных ПК - такие вопросы есть в Интернете, но конкретного ответа на них найти не удалось.
на мой взгляд проблему можно решить использованием скрипта, который бы проверял, на какой ПК залогинился пользователь и в зависимости от этого применял нужную политику

Удачил №180550, мини-форум перенес сюда..

Об авторе:
Мне безразлично, что Вы думаете о обо мне, но я рад за Вас - Вы начали думать.

Неизвестный

02.11.2010, 15:02

общий

Зенченко Константин Николаевич:
Спасибо!

Неизвестный

02.11.2010, 15:10

общий

Vasiliy83:

Цитата: 161519

можно попробовать создать политику пользователя и в ее свойствах на вкладке безопасность указать только один ПК, для которого данная политика будет доступна, остальные ПК не смогут получить доступ к данной политике и соответственно не будут ее выполнять

Проверил опытным путём. Неважно, какой ПК указан (его можно и вовсе не указывать) - политика применяется к указанному пользователю всё равно.

Неизвестный

02.11.2010, 15:51

общий

Dipauler:
Взято ТУТ:

По умолчанию дочерние контейнеры наследуют групповую политику от родительских контейнеров. Однако можно переопределить унаследованные параметры, задав для дочернего объекта другие значения параметров. Кроме того, в GPO можно задать, что тот или иной параметр активен, неактивен или не определен. Параметры, которые не определены для родительского контейнера, вообще не наследуются дочерними контейнерами, а параметры, которые активны или неактивны, наследуются.

А Вы удаляли пользователей из списка безопасности? там должен остаться один ПК и системные УЗ вроде администраторов домена

Неизвестный

02.11.2010, 15:56

общий

Vasiliy83:

Цитата: 161519

А Вы удаляли пользователей из списка безопасности? там должен остаться один ПК и системные УЗ вроде администраторов домена

Если я удалю всех пользователей из списка безопасности политики, как же мне применить политику к определенному пользователю на определенном компьютере? Ведь мы говорим о политике на уровне Пользователя, а не о политике на уровне Компьютера.

Неизвестный

02.11.2010, 17:26

общий

Dipauler:
я сделал предположение, потому это все надо проверять на деле)) возможно, что доступ для данного ПК позволит прочитать данную политику и применить ее

Неизвестный

03.11.2010, 20:51

общий

А комбинировать политики? То есть сочетать разрешения и запрещения на уровне пользователя и уровне компьютера?
Для политик еще есть разные дополнительные свойства - вроде как "нельзя ничем перекрывать", "отключить наследственность" и т.д., может еще с ними поиграться?

Неизвестный

03.11.2010, 21:48

общий

а где, например, в политиках компьютера можно указывать что-то касающееся определенного пользователя??? если конечно не использовать скрипт...
тут же в том и есть загвоздка, что требуется выполнить только для одного пользователя и только на одном ПК

Неизвестный

03.11.2010, 22:07

общий

Я немного о другом. Знаете, как в математике - минус на минус - плюс. Так и тут надо подбирать комбинацию запрещений и разрешений, чтобы все работало только при определенных условиях.

Неизвестный

03.11.2010, 23:44

общий

Честно говоря, такое "сочетание" политик представляется мне через чур сложным. Структура домена (полная) у меня довольно сложная, политик используется очень много.
Единственная моя надежда пока что - это введение Group Policy Preferences, в которых вроде бы есть возможность задавать более чёткие условия применения политик.

Форма ответа

Отправка постов/ответов доступна только зарегистрированным и подтвержденным пользователям.

Если Вы уже зарегистрированы на Портале - войдите в систему, если Вы еще не регистрировались - пройдите простую процедуру регистрации.