информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
За кого нас держат?Портрет посетителяSpanning Tree Protocol: недокументированное применение
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Крупный взлом GoDaddy 
 Просроченный сертификат ломает... 
 Phrack #70/0x46 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / sysadmin
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Переноси ou "developers" в ou "citrix", и потом настраиваешь блокировать или нет для ou "developers" наследование от ou "citrix". 01.02.07 12:38  Число просмотров: 2060
Автор: [cb] Статус: Member
<"чистая" ссылка>
<sysadmin>
Не могу применить пользовательскую групповую политику 27.01.07 05:11  
Автор: void <Grebnev Valery> Статус: Elderman
<"чистая" ссылка>
Машинная политика - применяется. Пользовательская нет. Домен W2k. Сервер, где надо применить пользовательские политики - W2k3.
Подскажите, как применить, плз.
Похоже, что-то поломано ;( 31.01.07 05:42  
Автор: void <Grebnev Valery> Статус: Elderman
<"чистая" ссылка>
Похоже, что-то поломано ;(
Есть OU, скажем "CITRIX". Не применяется людская политика для группы "CTX_Developers" внутри OU "CITRIX" не зависимо от того, есть она в ACL GPO "CITRIX", или нет. Для пользователей внутри OU "CITRIX" (типа ctx_dev1, ctx_dev2, ...) - применяется, но в этом случае надо создавать для существующих акаунтов девелоперов (dev1, dev2, .. что в другой OU "Developers".) ещё дополнительные акаунты для работы на CITRIX. Неудобно, хотя может и имеет смысл с точки зрения безопасности...

Другая проблема в том, что для CITRIX машины не применяется политика безопасности для пользователей, которым нужен терминальный доступ к десктоп (операторы). Другими словами терминальный доступ к десктоп CITRIX по RDP не разрешён политиками безопасности (так по крайней мере ругается попап при логоне пользователя). Ничего подобного для W2k/W2k3 не наблюдается - для любого пользователя можно разрешить терминальный доступ к десктоп.
Группа "CTX_Developers" какая? Локальная, глобальная или... 31.01.07 18:08  
Автор: Den <Denis> Статус: The Elderman
<"чистая" ссылка>
> Похоже, что-то поломано ;(
> Есть OU, скажем "CITRIX". Не применяется людская политика
> для группы "CTX_Developers" внутри OU "CITRIX" не зависимо
> от того, есть она в ACL GPO "CITRIX", или нет.

Группа "CTX_Developers" какая? Локальная, глобальная или универсальная?

> Для пользователей внутри OU "CITRIX" (типа ctx_dev1, ctx_dev2,
> ...) - применяется, но в этом случае надо создавать для
> существующих акаунтов девелоперов (dev1, dev2, .. что в
> другой OU "Developers".) ещё дополнительные акаунты для
> работы на CITRIX. Неудобно, хотя может и имеет смысл с
> точки зрения безопасности...

Для OU политики не применяются. OU существуют для логического разделения и делегирования полномочий.

> Другая проблема в том, что для CITRIX машины не применяется
> политика безопасности для пользователей, которым нужен
> терминальный доступ к десктоп (операторы). Другими словами
> терминальный доступ к десктоп CITRIX по RDP не разрешён
> политиками безопасности (так по крайней мере ругается попап
> при логоне пользователя). Ничего подобного для W2k/W2k3 не
> наблюдается - для любого пользователя можно разрешить
> терминальный доступ к десктоп.

Проверь эффективные политики прав пользователей: "Разрешать вход в систему через службу терминалов", "Доступ к компьютеру из сети" и "Локальный вход в систему". Не лишне проверить политики отказов.
Групповые политики накладываюся только на ou (с находящими в ней объектами), и на группы (хоть локальная, глобальная или универсальная) не распространяется. 01.02.07 12:25  
Автор: [cb] Статус: Member
Отредактировано 01.02.07 13:09  Количество правок: 2
<"чистая" ссылка>
Накладываюся на OU, но к ним не применяются. 01.02.07 16:23  
Автор: Den <Denis> Статус: The Elderman
<"чистая" ссылка>
Универсальная. Но не думаю, что в этом дело. Хотя для... 01.02.07 03:34  
Автор: void <Grebnev Valery> Статус: Elderman
<"чистая" ссылка>
> Группа "CTX_Developers" какая? Локальная, глобальная или
> универсальная?

Универсальная. Но не думаю, что в этом дело. Хотя для интереса, можно попробовать локальную группу (завтра попробую на работе).

> Для OU политики не применяются. OU существуют для
> логического разделения и делегирования полномочий.

Имелось ввиду, что ситрикс машина, пользователи и группа находятся внутри OU. Политика применяется для объектов, что внутри контейнера и дальше по дереву.

> Проверь эффективные политики прав пользователей: "Разрешать
> вход в систему через службу терминалов", "Доступ к
> компьютеру из сети" и "Локальный вход в систему". Не лишне
> проверить политики отказов.

Проверено. Проверю ещё раз. Кроме того (тоже надо проверять), надо проверять разрешения для собственно RDP (В оснастке конфигурации терминальных служб).

В любом случае спасибо. Завтра пройдусь опять "по пунктам".
Локальную группу как раз и нельзя. 01.02.07 15:45  
Автор: Den <Denis> Статус: The Elderman
<"чистая" ссылка>
> Универсальная. Но не думаю, что в этом дело. Хотя для
> интереса, можно попробовать локальную группу (завтра
> попробую на работе).

Локальную группу как раз и нельзя.
На локальные группы политики не распространяются.
Проверь, является ли та группа, к которой ты применяешь политики, группой по умолчанию для пользовательских бюджетов.
No it is not. The default is the "Domain Users" group. 01.02.07 18:10  
Автор: void <Grebnev Valery> Статус: Elderman
<"чистая" ссылка>
Попробуй поставить ту группу, к которой должна применяться политика. 01.02.07 21:49  
Автор: Den <Denis> Статус: The Elderman
<"чистая" ссылка>
Переноси ou "developers" в ou "citrix", и потом настраиваешь блокировать или нет для ou "developers" наследование от ou "citrix". 01.02.07 12:38  
Автор: [cb] Статус: Member
<"чистая" ссылка>
Thx, it's clear. But I cannot proceed in such a way for some... 01.02.07 18:06  
Автор: void <Grebnev Valery> Статус: Elderman
<"чистая" ссылка>
Thx, it's clear. But I cannot proceed in such a way for some reasons.
Actually, the question is that Iwant_to_keep common developer's accounts in another UO.
So, I will create additional accounts (ctx_dev1, ...) being used by them while working on CITRIX. I'll put these accounts into the "CITRIX" OU. It works for sure.
Also, I will keep the general developers accounts (dev1, ...) being used while logging on the their workstations.
а погуглить или фак почитать? 27.01.07 11:44  
Автор: [cb] Статус: Member
<"чистая" ссылка>
1






Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2021 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach