Легенда:
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
|
Похоже, что-то поломано ;( 31.01.07 05:42 Число просмотров: 2920
Автор: void <Grebnev Valery> Статус: Elderman
|
Похоже, что-то поломано ;(
Есть OU, скажем "CITRIX". Не применяется людская политика для группы "CTX_Developers" внутри OU "CITRIX" не зависимо от того, есть она в ACL GPO "CITRIX", или нет. Для пользователей внутри OU "CITRIX" (типа ctx_dev1, ctx_dev2, ...) - применяется, но в этом случае надо создавать для существующих акаунтов девелоперов (dev1, dev2, .. что в другой OU "Developers".) ещё дополнительные акаунты для работы на CITRIX. Неудобно, хотя может и имеет смысл с точки зрения безопасности...
Другая проблема в том, что для CITRIX машины не применяется политика безопасности для пользователей, которым нужен терминальный доступ к десктоп (операторы). Другими словами терминальный доступ к десктоп CITRIX по RDP не разрешён политиками безопасности (так по крайней мере ругается попап при логоне пользователя). Ничего подобного для W2k/W2k3 не наблюдается - для любого пользователя можно разрешить терминальный доступ к десктоп.
|
<sysadmin>
|
Не могу применить пользовательскую групповую политику 27.01.07 05:11
Автор: void <Grebnev Valery> Статус: Elderman
|
Машинная политика - применяется. Пользовательская нет. Домен W2k. Сервер, где надо применить пользовательские политики - W2k3.
Подскажите, как применить, плз.
|
|
Похоже, что-то поломано ;( 31.01.07 05:42
Автор: void <Grebnev Valery> Статус: Elderman
|
Похоже, что-то поломано ;(
Есть OU, скажем "CITRIX". Не применяется людская политика для группы "CTX_Developers" внутри OU "CITRIX" не зависимо от того, есть она в ACL GPO "CITRIX", или нет. Для пользователей внутри OU "CITRIX" (типа ctx_dev1, ctx_dev2, ...) - применяется, но в этом случае надо создавать для существующих акаунтов девелоперов (dev1, dev2, .. что в другой OU "Developers".) ещё дополнительные акаунты для работы на CITRIX. Неудобно, хотя может и имеет смысл с точки зрения безопасности...
Другая проблема в том, что для CITRIX машины не применяется политика безопасности для пользователей, которым нужен терминальный доступ к десктоп (операторы). Другими словами терминальный доступ к десктоп CITRIX по RDP не разрешён политиками безопасности (так по крайней мере ругается попап при логоне пользователя). Ничего подобного для W2k/W2k3 не наблюдается - для любого пользователя можно разрешить терминальный доступ к десктоп.
|
| |
Группа "CTX_Developers" какая? Локальная, глобальная или... 31.01.07 18:08
Автор: Den <Denis> Статус: The Elderman
|
> Похоже, что-то поломано ;( > Есть OU, скажем "CITRIX". Не применяется людская политика > для группы "CTX_Developers" внутри OU "CITRIX" не зависимо > от того, есть она в ACL GPO "CITRIX", или нет.
Группа "CTX_Developers" какая? Локальная, глобальная или универсальная?
> Для пользователей внутри OU "CITRIX" (типа ctx_dev1, ctx_dev2, > ...) - применяется, но в этом случае надо создавать для > существующих акаунтов девелоперов (dev1, dev2, .. что в > другой OU "Developers".) ещё дополнительные акаунты для > работы на CITRIX. Неудобно, хотя может и имеет смысл с > точки зрения безопасности...
Для OU политики не применяются. OU существуют для логического разделения и делегирования полномочий.
> Другая проблема в том, что для CITRIX машины не применяется > политика безопасности для пользователей, которым нужен > терминальный доступ к десктоп (операторы). Другими словами > терминальный доступ к десктоп CITRIX по RDP не разрешён > политиками безопасности (так по крайней мере ругается попап > при логоне пользователя). Ничего подобного для W2k/W2k3 не > наблюдается - для любого пользователя можно разрешить > терминальный доступ к десктоп.
Проверь эффективные политики прав пользователей: "Разрешать вход в систему через службу терминалов", "Доступ к компьютеру из сети" и "Локальный вход в систему". Не лишне проверить политики отказов.
|
| | |
Групповые политики накладываюся только на ou (с находящими в ней объектами), и на группы (хоть локальная, глобальная или универсальная) не распространяется. 01.02.07 12:25
Автор: [cb] Статус: Member Отредактировано 01.02.07 13:09 Количество правок: 2
|
|
| | | |
Накладываюся на OU, но к ним не применяются. 01.02.07 16:23
Автор: Den <Denis> Статус: The Elderman
|
|
| | |
Универсальная. Но не думаю, что в этом дело. Хотя для... 01.02.07 03:34
Автор: void <Grebnev Valery> Статус: Elderman
|
> Группа "CTX_Developers" какая? Локальная, глобальная или > универсальная?
Универсальная. Но не думаю, что в этом дело. Хотя для интереса, можно попробовать локальную группу (завтра попробую на работе).
> Для OU политики не применяются. OU существуют для > логического разделения и делегирования полномочий.
Имелось ввиду, что ситрикс машина, пользователи и группа находятся внутри OU. Политика применяется для объектов, что внутри контейнера и дальше по дереву.
> Проверь эффективные политики прав пользователей: "Разрешать > вход в систему через службу терминалов", "Доступ к > компьютеру из сети" и "Локальный вход в систему". Не лишне > проверить политики отказов.
Проверено. Проверю ещё раз. Кроме того (тоже надо проверять), надо проверять разрешения для собственно RDP (В оснастке конфигурации терминальных служб).
В любом случае спасибо. Завтра пройдусь опять "по пунктам".
|
| | | |
Локальную группу как раз и нельзя. 01.02.07 15:45
Автор: Den <Denis> Статус: The Elderman
|
> Универсальная. Но не думаю, что в этом дело. Хотя для > интереса, можно попробовать локальную группу (завтра > попробую на работе).
Локальную группу как раз и нельзя.
На локальные группы политики не распространяются.
Проверь, является ли та группа, к которой ты применяешь политики, группой по умолчанию для пользовательских бюджетов.
|
| | | | |
No it is not. The default is the "Domain Users" group. 01.02.07 18:10
Автор: void <Grebnev Valery> Статус: Elderman
|
|
| | | | | |
Попробуй поставить ту группу, к которой должна применяться политика. 01.02.07 21:49
Автор: Den <Denis> Статус: The Elderman
|
|
| | | |
Переноси ou "developers" в ou "citrix", и потом настраиваешь блокировать или нет для ou "developers" наследование от ou "citrix". 01.02.07 12:38
Автор: [cb] Статус: Member
|
|
| | | | |
Thx, it's clear. But I cannot proceed in such a way for some... 01.02.07 18:06
Автор: void <Grebnev Valery> Статус: Elderman
|
Thx, it's clear. But I cannot proceed in such a way for some reasons.
Actually, the question is that Iwant_to_keep common developer's accounts in another UO.
So, I will create additional accounts (ctx_dev1, ...) being used by them while working on CITRIX. I'll put these accounts into the "CITRIX" OU. It works for sure.
Also, I will keep the general developers accounts (dev1, ...) being used while logging on the their workstations.
|
|
а погуглить или фак почитать? 27.01.07 11:44
Автор: [cb] Статус: Member
|
|
|
|