информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
За кого нас держат?Портрет посетителя
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Три миллиона электронных замков... 
 Doom на газонокосилках 
 Умер Никлаус Вирт 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / sysadmin
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Накладываюся на OU, но к ним не применяются. 01.02.07 16:23  Число просмотров: 2700
Автор: Den <Denis> Статус: The Elderman
<"чистая" ссылка>
<sysadmin>
Не могу применить пользовательскую групповую политику 27.01.07 05:11  
Автор: void <Grebnev Valery> Статус: Elderman
<"чистая" ссылка>
Машинная политика - применяется. Пользовательская нет. Домен W2k. Сервер, где надо применить пользовательские политики - W2k3.
Подскажите, как применить, плз.
Похоже, что-то поломано ;( 31.01.07 05:42  
Автор: void <Grebnev Valery> Статус: Elderman
<"чистая" ссылка>
Похоже, что-то поломано ;(
Есть OU, скажем "CITRIX". Не применяется людская политика для группы "CTX_Developers" внутри OU "CITRIX" не зависимо от того, есть она в ACL GPO "CITRIX", или нет. Для пользователей внутри OU "CITRIX" (типа ctx_dev1, ctx_dev2, ...) - применяется, но в этом случае надо создавать для существующих акаунтов девелоперов (dev1, dev2, .. что в другой OU "Developers".) ещё дополнительные акаунты для работы на CITRIX. Неудобно, хотя может и имеет смысл с точки зрения безопасности...

Другая проблема в том, что для CITRIX машины не применяется политика безопасности для пользователей, которым нужен терминальный доступ к десктоп (операторы). Другими словами терминальный доступ к десктоп CITRIX по RDP не разрешён политиками безопасности (так по крайней мере ругается попап при логоне пользователя). Ничего подобного для W2k/W2k3 не наблюдается - для любого пользователя можно разрешить терминальный доступ к десктоп.
Группа "CTX_Developers" какая? Локальная, глобальная или... 31.01.07 18:08  
Автор: Den <Denis> Статус: The Elderman
<"чистая" ссылка>
> Похоже, что-то поломано ;(
> Есть OU, скажем "CITRIX". Не применяется людская политика
> для группы "CTX_Developers" внутри OU "CITRIX" не зависимо
> от того, есть она в ACL GPO "CITRIX", или нет.

Группа "CTX_Developers" какая? Локальная, глобальная или универсальная?

> Для пользователей внутри OU "CITRIX" (типа ctx_dev1, ctx_dev2,
> ...) - применяется, но в этом случае надо создавать для
> существующих акаунтов девелоперов (dev1, dev2, .. что в
> другой OU "Developers".) ещё дополнительные акаунты для
> работы на CITRIX. Неудобно, хотя может и имеет смысл с
> точки зрения безопасности...

Для OU политики не применяются. OU существуют для логического разделения и делегирования полномочий.

> Другая проблема в том, что для CITRIX машины не применяется
> политика безопасности для пользователей, которым нужен
> терминальный доступ к десктоп (операторы). Другими словами
> терминальный доступ к десктоп CITRIX по RDP не разрешён
> политиками безопасности (так по крайней мере ругается попап
> при логоне пользователя). Ничего подобного для W2k/W2k3 не
> наблюдается - для любого пользователя можно разрешить
> терминальный доступ к десктоп.

Проверь эффективные политики прав пользователей: "Разрешать вход в систему через службу терминалов", "Доступ к компьютеру из сети" и "Локальный вход в систему". Не лишне проверить политики отказов.
Групповые политики накладываюся только на ou (с находящими в ней объектами), и на группы (хоть локальная, глобальная или универсальная) не распространяется. 01.02.07 12:25  
Автор: [cb] Статус: Member
Отредактировано 01.02.07 13:09  Количество правок: 2
<"чистая" ссылка>
Накладываюся на OU, но к ним не применяются. 01.02.07 16:23  
Автор: Den <Denis> Статус: The Elderman
<"чистая" ссылка>
Универсальная. Но не думаю, что в этом дело. Хотя для... 01.02.07 03:34  
Автор: void <Grebnev Valery> Статус: Elderman
<"чистая" ссылка>
> Группа "CTX_Developers" какая? Локальная, глобальная или
> универсальная?

Универсальная. Но не думаю, что в этом дело. Хотя для интереса, можно попробовать локальную группу (завтра попробую на работе).

> Для OU политики не применяются. OU существуют для
> логического разделения и делегирования полномочий.

Имелось ввиду, что ситрикс машина, пользователи и группа находятся внутри OU. Политика применяется для объектов, что внутри контейнера и дальше по дереву.

> Проверь эффективные политики прав пользователей: "Разрешать
> вход в систему через службу терминалов", "Доступ к
> компьютеру из сети" и "Локальный вход в систему". Не лишне
> проверить политики отказов.

Проверено. Проверю ещё раз. Кроме того (тоже надо проверять), надо проверять разрешения для собственно RDP (В оснастке конфигурации терминальных служб).

В любом случае спасибо. Завтра пройдусь опять "по пунктам".
Локальную группу как раз и нельзя. 01.02.07 15:45  
Автор: Den <Denis> Статус: The Elderman
<"чистая" ссылка>
> Универсальная. Но не думаю, что в этом дело. Хотя для
> интереса, можно попробовать локальную группу (завтра
> попробую на работе).

Локальную группу как раз и нельзя.
На локальные группы политики не распространяются.
Проверь, является ли та группа, к которой ты применяешь политики, группой по умолчанию для пользовательских бюджетов.
No it is not. The default is the "Domain Users" group. 01.02.07 18:10  
Автор: void <Grebnev Valery> Статус: Elderman
<"чистая" ссылка>
Попробуй поставить ту группу, к которой должна применяться политика. 01.02.07 21:49  
Автор: Den <Denis> Статус: The Elderman
<"чистая" ссылка>
Переноси ou "developers" в ou "citrix", и потом настраиваешь блокировать или нет для ou "developers" наследование от ou "citrix". 01.02.07 12:38  
Автор: [cb] Статус: Member
<"чистая" ссылка>
Thx, it's clear. But I cannot proceed in such a way for some... 01.02.07 18:06  
Автор: void <Grebnev Valery> Статус: Elderman
<"чистая" ссылка>
Thx, it's clear. But I cannot proceed in such a way for some reasons.
Actually, the question is that Iwant_to_keep common developer's accounts in another UO.
So, I will create additional accounts (ctx_dev1, ...) being used by them while working on CITRIX. I'll put these accounts into the "CITRIX" OU. It works for sure.
Also, I will keep the general developers accounts (dev1, ...) being used while logging on the their workstations.
а погуглить или фак почитать? 27.01.07 11:44  
Автор: [cb] Статус: Member
<"чистая" ссылка>
1




Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2024 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach