> Дык так и делал... Создал OU, мовнул в него сервера. Создал > полиси. Даже сказал Block Policy ...@#$итенсе. Даже сделал > на серверах C:\secedit /refreshpolicy machine_policy. Не > помогает. Применяется только политика домена по умолчанию. > Ни один крыжик новой полиси не открыжился. > КАК БЫТЬ?
А утебя NO Override случайно не стоит где-нибудь,
а то от твоего @#$итенс блока вообще толку не будет,контейнер будет
все полиси сверху брать
и вообще в том домейне где ты это заюзать хочеть с синхрониацией все в порядке ,вообще не мешает сначала подождать после изменения установок
домайны начнут синронизироваться по дефолту по моему через 5 мин
По умолчанию, серверы и рабочие станции домена W2k находятся в одной и той же папке AD - Computers. Поэтому, то, что установлено GPO для рабочих станций, будет применяться и для серверов. Каким образом накрутить для серверов отдельную от рабочих станций GPO (желательно на уровне OU)? Делал по аналогии с GPO для OU пользователей - не получается.
КАК БЫТЬ?
W2000 и GPO для серверов19.11.01 08:05 Автор: NetRunner Статус: Незарегистрированный пользователь
> По умолчанию, серверы и рабочие станции домена W2k > находятся в одной и той же папке AD - Computers. Поэтому, > то, что установлено GPO для рабочих станций, будет > применяться и для серверов. Каким образом накрутить для > серверов отдельную от рабочих станций GPO (желательно на > уровне OU)? Делал по аналогии с GPO для OU пользователей - > не получается. > > КАК БЫТЬ?
Дык а как насчет создать отдельный OU мувнуть в него сервера и потом на
этот OU отдельный GPO написать.
Good Luck
W2000 и GPO для серверов19.11.01 12:53 Автор: void Статус: Незарегистрированный пользователь
Дык так и делал... Создал OU, мовнул в него сервера. Создал полиси. Даже сказал Block Policy ...@#$итенсе. Даже сделал на серверах C:\secedit /refreshpolicy machine_policy. Не помогает. Применяется только политика домена по умолчанию. Ни один крыжик новой полиси не открыжился.
КАК БЫТЬ?
W2000 и GPO для серверов20.11.01 00:29 Автор: NetRunner Статус: Незарегистрированный пользователь
> Дык так и делал... Создал OU, мовнул в него сервера. Создал > полиси. Даже сказал Block Policy ...@#$итенсе. Даже сделал > на серверах C:\secedit /refreshpolicy machine_policy. Не > помогает. Применяется только политика домена по умолчанию. > Ни один крыжик новой полиси не открыжился. > КАК БЫТЬ?
А утебя NO Override случайно не стоит где-нибудь,
а то от твоего @#$итенс блока вообще толку не будет,контейнер будет
все полиси сверху брать
и вообще в том домейне где ты это заюзать хочеть с синхрониацией все в порядке ,вообще не мешает сначала подождать после изменения установок
домайны начнут синронизироваться по дефолту по моему через 5 мин
Good Luck
W2000 и GPO для серверов19.11.01 15:03 Автор: Клоун Статус: Незарегистрированный пользователь
Отвечаю по порядку на вопросы (или ответы) пользователей Форума "NetRunner" и "Клоун":
1. Для NetRunner:
1.1. Шутка - "У меня всё стоит".
1.2. NO Override для политики верхнего уровня (domain policy) не стоит.
1.3. по дефолту время синронизации 5 мин утановлено только политик
контроллеров домена. Для рабочих станций оно по умочланию
выбирается около 0,5 - 1 час.
1.4. чтобы не ждать 0,5 - 1 час, политики на моих многострадальных
файл - серверах (не контроллерах) я обновлял принудительно при
помощи команды secedit /refreshpolicy machine_policy.
2. Для пользователя Форума "Клоун":
Если под GPRESULT имеется ввиду эффективная политика на файл-сервере ("Effective Settings"),то GPRESULT кажет, что применяется только политика по умолчанию для домена. Следов применения политики для OU, где находятся мои файл-сервера, и близко нет.
ВОПРОС: ЧТО ДЕЛАТЬ?
W2000 и GPO для серверов20.11.01 11:52 Автор: Клоун Статус: Незарегистрированный пользователь
Под GPRESULT подразумевается одноименная утилита из Resourse Kit для Win2k server. Если нету, то помогу.
Значит ситуация такова: есть отдельный OU, в котором находятся учетные записи северов. Для этого OU ты сделал GP и не видишь следов ее применения.
Первое что приходит на ум это проверить права Apply GP и Read GP. Эти права должны быть назначены учетным записям твоих серверов. Это так?
По умолчанию время обновления GP-90 минут (это для справки ;-)). У secedit есть еще ключик /enforce для применения политики даже при отстуствии изменений в самой политике. Проверь.
Далее. Проверь отсуствие всяких галок про Block Inheritance и No Override. Знаю, что проверял, но проверь еще раз, что бы не стояло ничего и нигде ;-)
W2000 и GPO для серверов теперь OK!21.11.01 07:53 Автор: void Статус: Незарегистрированный пользователь
Для пользователя “Клоун”.
Спасибо за поддержку. Теперь всё заработало. Думаю, что если бы не Ваша фраза – “проверь ещё раз”, вряд ли бы я быстро разобрался.
Дело было вот в чём:
Наш домен имеет односторонние доверительные отношения с другим доменом W2k в другом лесу. Всё работает хорошо уже полгода. Однако, чтобы устранить просмотр AD моего домена администратором другого леса, я убрал разрешение на просмотр AD (только для этого фолдера) для “Authenticated Users”, заменив его на соответствующее разрешение для “Domain Users”.
Это вылечило одну проблему (просмотр AD), но, как теперь выяснилось, незаметно вырастило другой гем...ой. Восстановил, и всё запечатало. Кстати, попутно это решило и ещё ряд проблем.
Ещё раз спасибо за внимание к моему вопросу.
W2000 и GPO для серверов теперь OK!21.11.01 13:41 Автор: Клоун Статус: Незарегистрированный пользователь
подробно о проекте
Анализ криптографических сетевых...
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
