none
GPO

    שאלה

  • שלום לכולם,

    DC 2008 R2 , אני מגדיר GPO לקבוצת מחשבים שנמצאת ב-OU מסויים.
    ה-GPO לא עובד. יצרתי Security Group והכנסתי כמה מחשבים
    (מדובר בכמות גדולה של מחשבים) מה-OU שעליו מוגדר ה-GPO והוספתי את ה-Security Group
    ל-Security Filtering ורק לאותם מחשבים ה-GPO מופעל.

    מה יכולה להיות הסיבה ?

    תודה רבה.

    יום רביעי 06 יוני 2012 08:37

תשובות

  • שלום

    אני לא מסכים עם ידידי אלי, הרבה ארגונים עובדים עם SECURITY FILTERING שמוחלים על אובייקטים בתוך OU-ים.

    לפעמים אין ברירה ואם משתמשים ומחשבים מתויקים באופן מסודר ב OU-ים שונים (למשל אם הם מסודרים לפי מחלקות וכו') , ואתה רוצה להחיל את הפוליסי רק על חלקם ולא על כולם, אז אתה צריך לעבוד עם SECURITY FILTERING ולשים את הפוליסי ברמה העליונה, נכון שהניהול פה יכול להיות בעייתי אבל לפעמים אין ברירות, אבל זה בסדר לעבוד כך.

    ניסית לעבוד עם GPRESULTS ולראות מה קורה ? הסתכלת בלוגים ברמת APPLICATION בתחנות ולבדוק למה הפוליסי לא מוחל? באם ישנן שגיאות, אנא בדוק ותאמר לנו את השגיאות והאזהרות שאתה רואה שם

    האם הפוליסי ששמת הוא בנפרד על OU ריק ורק על קבוצת מחשבים ? אם כן אז לא יעבוד לך.
    אתה צריך שהפוליסי יהיה ברמה מעל המחשבים (כלומר מעל ה OU-ים שבהם המחשבים/משתמשים מתוייקים).

    בדקת DNS בתחנות שמפנות לשרת DNS שלך? (בד"כ DNS INTEGRATED תלוי איך הגדרת) 
    זה מאוד חשוב לבדוק זאת אחרת לא תמיד הפוליסי מחלחל.


    Haim Lazarovitch - MVP (Microsoft Most Valuable pofessional) MCTS, MCITP : server & Enterprise Administrator, MCP, MCSA, MCSE + Messaging, VCP, e-mail & Messenger: haim_laz@hotmail.com, blog: http://blogs.microsoft.co.il/blogs/HaimL



    יום שישי 08 יוני 2012 16:59
    מנחה דיון

כל התגובות

  • היי , נסה לבדוק האם תחת ה-policy שיצרת יש הרשאת read + apply group policy לקבוצה שהגדרת

    נסה גם להריץ rsop.msc מאותה תחנה שה-policy אמור לרוץ עליה דרך start-->run ולגשת לערכי ה-policy הספציפיים ולראות האם ה-policy שייצרת מוגדר תחת gponame 

    ניתן לקרוא על rsop.msc בקישור הבא

    <cite>technet.microsoft.com/en-us/library/cc758010(v=ws.10).aspx</cite>

    <cite></cite>

    יום רביעי 06 יוני 2012 09:18
  • במידה ואני לא משייך את המחשב ל-Security Group  שיצרתי הפוליסי לא מתקבל.

    ביצעתי Rsop מתחנה שה-Policy אמור לרוץ עליה (מחשב שנמצא ב-OU ולא ב-Security Group), ה-Policy לא מתקבל.

    ב-GPMC אני רואה של-Policy יש Link ל-OU והוא ב-Enabled.

    יום רביעי 06 יוני 2012 09:50
  • שלום,

    זה לא נכון לעבוד ביחד גם עם Security Filtering וגם עם OU. עובדים עם אחד מהם.

    כי Security Filtering מבוסס על עבודה עם ACLs, ו-OU מבוסס על עבודה אובייקטים של מחשבים, משתמשים וכו'. לכל אחד יתרונות וחסרונות.

    במידה ואתה עובד עם OU של מחשבים תוודא שאתה מגדיר פוליסי של מחשבים ותוודא שאתה מוסיף את אותם Domain Computer לפוליסי.

    במידה ואתה עובד עם Security Filtering שעובד עם הרשאות ACLs שכבר הגדרת אז תמשיך כי אין בעיה עם Security Filtering.

    אלי.


    אירוע Unified Communication User Group יצא לדרך, המפגש יתקיים בתאריך ה-28.6 בשעה 17:30. אשמח לראותכם.

    יום רביעי 06 יוני 2012 15:50
  • אני רוצה לעבוד עם OU הבעיה שה-Policy לא תופס למחשבים שקיימים ב-OU.
    יום חמישי 07 יוני 2012 06:40
  • שלום

    אני לא מסכים עם ידידי אלי, הרבה ארגונים עובדים עם SECURITY FILTERING שמוחלים על אובייקטים בתוך OU-ים.

    לפעמים אין ברירה ואם משתמשים ומחשבים מתויקים באופן מסודר ב OU-ים שונים (למשל אם הם מסודרים לפי מחלקות וכו') , ואתה רוצה להחיל את הפוליסי רק על חלקם ולא על כולם, אז אתה צריך לעבוד עם SECURITY FILTERING ולשים את הפוליסי ברמה העליונה, נכון שהניהול פה יכול להיות בעייתי אבל לפעמים אין ברירות, אבל זה בסדר לעבוד כך.

    ניסית לעבוד עם GPRESULTS ולראות מה קורה ? הסתכלת בלוגים ברמת APPLICATION בתחנות ולבדוק למה הפוליסי לא מוחל? באם ישנן שגיאות, אנא בדוק ותאמר לנו את השגיאות והאזהרות שאתה רואה שם

    האם הפוליסי ששמת הוא בנפרד על OU ריק ורק על קבוצת מחשבים ? אם כן אז לא יעבוד לך.
    אתה צריך שהפוליסי יהיה ברמה מעל המחשבים (כלומר מעל ה OU-ים שבהם המחשבים/משתמשים מתוייקים).

    בדקת DNS בתחנות שמפנות לשרת DNS שלך? (בד"כ DNS INTEGRATED תלוי איך הגדרת) 
    זה מאוד חשוב לבדוק זאת אחרת לא תמיד הפוליסי מחלחל.


    Haim Lazarovitch - MVP (Microsoft Most Valuable pofessional) MCTS, MCITP : server & Enterprise Administrator, MCP, MCSA, MCSE + Messaging, VCP, e-mail & Messenger: haim_laz@hotmail.com, blog: http://blogs.microsoft.co.il/blogs/HaimL



    יום שישי 08 יוני 2012 16:59
    מנחה דיון
  • שלום.

    האם ההגדרות בתוך ה GPO הן של המשתמש או המחשב, כלומר תחת computer settings או user settings ?

    אם מדובר ב user settings אז אתה צריך לבדוק את הנושא של loopback processing .

    בכל מקרה תיעזר גם בכלים הבאים בתחנה:

    gpresult

    rsop.msc


    Yizhar Hurwitz http://yizhar.mvps.org

    יום שישי 08 יוני 2012 20:06