Машинная политика - применяется. Пользовательская нет. Домен W2k. Сервер, где надо применить пользовательские политики - W2k3.
Подскажите, как применить, плз.
Похоже, что-то поломано ;(
Есть OU, скажем "CITRIX". Не применяется людская политика для группы "CTX_Developers" внутри OU "CITRIX" не зависимо от того, есть она в ACL GPO "CITRIX", или нет. Для пользователей внутри OU "CITRIX" (типа ctx_dev1, ctx_dev2, ...) - применяется, но в этом случае надо создавать для существующих акаунтов девелоперов (dev1, dev2, .. что в другой OU "Developers".) ещё дополнительные акаунты для работы на CITRIX. Неудобно, хотя может и имеет смысл с точки зрения безопасности...
Другая проблема в том, что для CITRIX машины не применяется политика безопасности для пользователей, которым нужен терминальный доступ к десктоп (операторы). Другими словами терминальный доступ к десктоп CITRIX по RDP не разрешён политиками безопасности (так по крайней мере ругается попап при логоне пользователя). Ничего подобного для W2k/W2k3 не наблюдается - для любого пользователя можно разрешить терминальный доступ к десктоп.
Группа "CTX_Developers" какая? Локальная, глобальная или...31.01.07 18:08 Автор: Den <Денис Т.> Статус: The Elderman
> Похоже, что-то поломано ;( > Есть OU, скажем "CITRIX". Не применяется людская политика > для группы "CTX_Developers" внутри OU "CITRIX" не зависимо > от того, есть она в ACL GPO "CITRIX", или нет.
Группа "CTX_Developers" какая? Локальная, глобальная или универсальная?
> Для пользователей внутри OU "CITRIX" (типа ctx_dev1, ctx_dev2, > ...) - применяется, но в этом случае надо создавать для > существующих акаунтов девелоперов (dev1, dev2, .. что в > другой OU "Developers".) ещё дополнительные акаунты для > работы на CITRIX. Неудобно, хотя может и имеет смысл с > точки зрения безопасности...
Для OU политики не применяются. OU существуют для логического разделения и делегирования полномочий.
> Другая проблема в том, что для CITRIX машины не применяется > политика безопасности для пользователей, которым нужен > терминальный доступ к десктоп (операторы). Другими словами > терминальный доступ к десктоп CITRIX по RDP не разрешён > политиками безопасности (так по крайней мере ругается попап > при логоне пользователя). Ничего подобного для W2k/W2k3 не > наблюдается - для любого пользователя можно разрешить > терминальный доступ к десктоп.
Проверь эффективные политики прав пользователей: "Разрешать вход в систему через службу терминалов", "Доступ к компьютеру из сети" и "Локальный вход в систему". Не лишне проверить политики отказов.
Групповые политики накладываюся только на ou (с находящими в ней объектами), и на группы (хоть локальная, глобальная или универсальная) не распространяется.01.02.07 12:25 Автор: [cb] Статус: Member Отредактировано 01.02.07 13:09 Количество правок: 2
> Группа "CTX_Developers" какая? Локальная, глобальная или > универсальная?
Универсальная. Но не думаю, что в этом дело. Хотя для интереса, можно попробовать локальную группу (завтра попробую на работе).
> Для OU политики не применяются. OU существуют для > логического разделения и делегирования полномочий.
Имелось ввиду, что ситрикс машина, пользователи и группа находятся внутри OU. Политика применяется для объектов, что внутри контейнера и дальше по дереву.
> Проверь эффективные политики прав пользователей: "Разрешать > вход в систему через службу терминалов", "Доступ к > компьютеру из сети" и "Локальный вход в систему". Не лишне > проверить политики отказов.
Проверено. Проверю ещё раз. Кроме того (тоже надо проверять), надо проверять разрешения для собственно RDP (В оснастке конфигурации терминальных служб).
В любом случае спасибо. Завтра пройдусь опять "по пунктам".
Локальную группу как раз и нельзя.01.02.07 15:45 Автор: Den <Денис Т.> Статус: The Elderman
> Универсальная. Но не думаю, что в этом дело. Хотя для > интереса, можно попробовать локальную группу (завтра > попробую на работе).
Локальную группу как раз и нельзя.
На локальные группы политики не распространяются.
Проверь, является ли та группа, к которой ты применяешь политики, группой по умолчанию для пользовательских бюджетов.
No it is not. The default is the "Domain Users" group.01.02.07 18:10 Автор: void <Grebnev Valery> Статус: Elderman
Переноси ou "developers" в ou "citrix", и потом настраиваешь блокировать или нет для ou "developers" наследование от ou "citrix".01.02.07 12:38 Автор: [cb] Статус: Member
Thx, it's clear. But I cannot proceed in such a way for some reasons.
Actually, the question is that Iwant_to_keep common developer's accounts in another UO.
So, I will create additional accounts (ctx_dev1, ...) being used by them while working on CITRIX. I'll put these accounts into the "CITRIX" OU. It works for sure.
Also, I will keep the general developers accounts (dev1, ...) being used while logging on the their workstations.
а погуглить или фак почитать?27.01.07 11:44 Автор: [cb] Статус: Member
подробно о проекте
Анализ криптографических сетевых...
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
