none
Aplikování politik na doménové počítače

    Dotaz

  •  

    Momentálně se aplikuje Default Domain Policy na uživatele Administrator, který se přihlásí přímo na konzoli serveru. Pokud mám do domény zaregistrovány další počítače, tak se tato politika na ně neaplikuje.

    Konkrétně se mi jedná o uživatelskou politiku, která by mi namapovala nějaký logický disk. Tuto politiku najdu v Editoru správy zásad skupiny, Default Domain Policy ("doména") \ Konfigurace uživatele \ Předvolby \ Nastavení systému Windows \ Mapování jednotek.

    Vše se projevuje tak, že když se přihlásím na serveru (ať už přímo na konzoli nebo terminálově), tak se logická jednotka vytvoří, ale když se přihlásím na zaregistrovaném počítači, tak nikoliv.

    Podotýkám, že se mi jedná o uživatele Administrátor, který je v AD přímo v "doména"\USERS a počítač "doména"\COMPUTERS.

     

    Díky za pomoc.

    21. srpna 2008 18:53

Odpovědi

  • Ahoj.

    Pokud mas script aplikovany pres vlastnosti uzivatelskeho uctu v "Active directory users and computers" pak:

    1. zadej pouze nazev scriptu bez cesty, tzn. napr. defaultlogonscript.cmd
    2. script patri a klient jej hleda v adresari netlogon na domenovem radici kam se uzivatel hlasi - napr. \\czdc1\netlogon\defaultlogonscript.cmd
    3. script samzrejme uloz jen na jeden radic, behem chvilky se rozreplikuje na ostatni
    4. net use k: \\server-peska\kaplikace je v poradku, samozrejme pokud je k: volne (radeji bych pred to dal net use k: /delete /yes a za to pause pro debuggingale to uz je malickost)
    5. Mas zapnute (GP) synchronous a visible logon script execution at vidis co se deje? DOPORUCUJI pokud neceo nefunguje!
    6. po prihlaseni uzivatele samozrejme muzes overit zda nemas nekde problem pomoci rucniho spusteni scriptu z %logonserver%
    MP
    22. srpna 2008 8:08
    Moderátor
  • ad 5) najdes v GP v Computer-Admin templ-System-Scripts

     

    Postup  pridani PC do domeny je korektni, nicmene urcite mas nejakou strukturu organizacnich jednotek a tedy presunes z kontejneru Computers do (napr.). ou=Ucenba 10, ou=Ucebny, ou=cojavim ...

     

    v GPresult bys mel videt predevsim JAKE a JAK se ti aplikuji politiky

     

    >Když se Administrator přihlásí na serveru, tak se zástupci vytvoří, ale na PC nikoliv. Nebo lze toto řešit nejak jinak? Třeba i lépe?

     

    jak jsem rikal vyse - zkontroluj zda se ti tato politika vubec aplikuje. proc je to COMPUTER policy?

     

    MP

    24. srpna 2008 10:45
    Moderátor
    1. Prosim priste dej radeji gpresult /v at je to detailni.
    2. Ne ze by to necemu vadilo ale opravdu chces aby se ti na domenove radice aplikovala i default domain policy? Tedy proc ne, ale pak je vhodne mit v default domain policy opravdu jen to co ma byt spolecne pro celou domenu. Nemyslim ze napr. vytvareni zastupcu by napr. melo byt aplikovano plosne ...

    MP

     

    24. srpna 2008 19:37
    Moderátor
  • uf to je zase smrst

     

    1) mj. tak jak rikas - mel bys v tom taky pekny bordel, uzivatel by se ptal k cemu je ntconfig.dat a ze ho teda smazal ... Smile

     

    2) profil se uklada na server pri ODHLASOVANI uzivatele. Pri PRVNIM ODHLASENI se VYTVORI adresar napr. \\domena.local\profiles\%username%) a na nem se nastavi ACLS (podle GP bud pouze pro uzivatele nebo pro uzivatele a domain admins). Tzn. Uzivatel musi mit do \\domena.local\profiles pravo FULL CONTROL aspon pri prvnim odhlasovani

     

    3) -- hlavne -- uz asi chapes proc vsichni vytvareji zastupce v login scriptu a ne pres GP - novinky z W2008/Visty do XP prichazeji pomalu a bolestne Sad

     

     

    MP

     

    26. srpna 2008 10:09
    Moderátor
  •  antonin.benes napsal:

    4. Ve vlastnostech uživatele v AD je kromě cesty k profilu navíc na záložce Terminálová služba také cesta k profilu i domovský adresář. Je možné mít u obojího stejné? Nebo má to nějaký jiný význam?

     

    Spis naopak - je to dobre k tomu aby uzivatele meli jiny profil pri "terminalovem" prihlaseni a jiny pri "lokalnim

     

     antonin.benes napsal:

    5. Jakým způsobem může Administrator na stanici s WXP měnit hesla uživatelům? Zatím mě napadlo přihlásit se terminálově na server, ale zda neexistuje nějaký program přímo na stanici?

     

    Terminal? V zadnem pripade! Nainstaluje si adminpak.msi kde najde AD Users and computers a dalsi "serverove" nastroje pro winXP.

    Nejnovejsi adminpak najdes na www.microsoft.com/downloads

     

    MP

    26. srpna 2008 18:40
    Moderátor

Všechny reakce

  • Ahoj, dik za disciplinu stabni kulturu Smile !!!

     

    Jaky OS / SP je na klientu? Mam pocit ze tento problem resi nektera z aktualizaci (windows update) z nedavne doby.

     

    Osobne ale:

    - obecne nedoporucuji pouzivat mapovane disky, proc nepouzit UNC / nethood / folder redirection?

    - kdyz uz tak doporucuji mapovat "postaru" na jednom miste - ve spolecnem logon scriptu. samozrejme podminene dle clenstvi ve skupinach

     

    MP

     

    21. srpna 2008 20:53
    Moderátor
  • Ahoj, děkuji za pochvalu .

     

    OS/SP: zkoušel jsem na jednom úplně novém PC s WXP Pro SP3 a pak i W2000, SP bohužel nevím.

    Mapované disky bohužel potřebuji kvůli starším aplikacím, které s UNC neumí spolupracovat.

    Loginscript jsem taky zkoušel, stačil by mi společný pro všechny uživatele, ale chovalo se to naprosto "střečkovitě" - někdy disk namapoval, někdy ne.

    Konkrétně umístil jsem ho do c:\Windows\SYSVOL\sysvol\zspeska.cz\scripts\ucitele.cmd , u uživatele ve vlastnostech pak uvedl ucitele.cmd a vlastní skript obsahoval jediny příkaz "net use k: \\server-peska\kaplikace" , kde toto je sdílená položka na serveru.

    Nemůže být problém tím "příkazovým CMD" skriptem?

     

    Velice děkuji za konzultace, snažím se toto rozchodit na škole http://www.zspeska.cz a byl bych rád, kdyby jim to fungovalo spolehlivě.

     

    22. srpna 2008 7:15
  • Ahoj.

    Pokud mas script aplikovany pres vlastnosti uzivatelskeho uctu v "Active directory users and computers" pak:

    1. zadej pouze nazev scriptu bez cesty, tzn. napr. defaultlogonscript.cmd
    2. script patri a klient jej hleda v adresari netlogon na domenovem radici kam se uzivatel hlasi - napr. \\czdc1\netlogon\defaultlogonscript.cmd
    3. script samzrejme uloz jen na jeden radic, behem chvilky se rozreplikuje na ostatni
    4. net use k: \\server-peska\kaplikace je v poradku, samozrejme pokud je k: volne (radeji bych pred to dal net use k: /delete /yes a za to pause pro debuggingale to uz je malickost)
    5. Mas zapnute (GP) synchronous a visible logon script execution at vidis co se deje? DOPORUCUJI pokud neceo nefunguje!
    6. po prihlaseni uzivatele samozrejme muzes overit zda nemas nekde problem pomoci rucniho spusteni scriptu z %logonserver%
    MP
    22. srpna 2008 8:08
    Moderátor
  • Ahoj,

    ad 1 a 2 - rozumím, zatím nechávám ten ucitele.cmd, který můžou používat všichni

    ad 3 - naštěstí mám jen jeden server a jeden řadič

    ad 4 - nastavil jsem a nyni díky pauzám i vidím, že to mapuje bez problému i žákům

    ad 5 - bohužel nevím, kde toto nastavit - prosím o upřesnění

    ad 6 - tady problém nemám

     

    Toto by mi ted k mapování zatím stačilo.

     

    Dotaz k registrování PC do domény - u těch 2 testovací PC jsem jen v Identifikaci v síti vybral doménu, přihlásil se jako Administrator a restartoval PC. V AD se zobrazil počítač v zspeska.cz/COMPUTERS . Je toto korektní postup nebo je ještě třeba něco jiného?

     

    Jinak jsem zkoušel na tom PC příkaz gpresult s výsledkem, že je použitý objekt zásad Default Domain Policy ať už u počítače i u uživatele, na serveru gpresult / R navíc přidá Default Domain Controller Policy a Místní zásady skupiny. Z tohoto mi vyplývá, že by ten počítač mohl být zaregistrován dobře.

     

    Politiky jsem chtěl využít ke vkládání zástupců programů na plochu - v Editoru zásad správy skupiny je to Default Domain Policy \ Konfigurace počítače \ Předvolby \ Nastavení systému Windows \ Zástupci.

    Když se Administrator přihlásí na serveru, tak se zástupci vytvoří, ale na PC nikoliv. Nebo lze toto řešit nejak jinak? Třeba i lépe?

     

    Děkuji za ochotu.

     

     

    22. srpna 2008 20:18
  • ad 5) najdes v GP v Computer-Admin templ-System-Scripts

     

    Postup  pridani PC do domeny je korektni, nicmene urcite mas nejakou strukturu organizacnich jednotek a tedy presunes z kontejneru Computers do (napr.). ou=Ucenba 10, ou=Ucebny, ou=cojavim ...

     

    v GPresult bys mel videt predevsim JAKE a JAK se ti aplikuji politiky

     

    >Když se Administrator přihlásí na serveru, tak se zástupci vytvoří, ale na PC nikoliv. Nebo lze toto řešit nejak jinak? Třeba i lépe?

     

    jak jsem rikal vyse - zkontroluj zda se ti tato politika vubec aplikuje. proc je to COMPUTER policy?

     

    MP

    24. srpna 2008 10:45
    Moderátor
  • Ahoj,

    ad 5) díky, našel jsem, v češtině to je cesta Default Domain Policy ("doména") \ Konfigurace počítače \ Šablony pro správu \ Systém \ Skripty a zde "Spouštět přihlašovací skripty synchronně" a "Spouštět spouštěcí skripty viditelně".

     

    Dobře, přesun počítačů do OU udělám, až to bude vše fungovat.

     

    Výpis GPRESULT jak na serveru, tak na PC jsem Ti poslal e-mailem.

     

    COMPUTER policy to být nemusí, chová se stejně i pro USER policy.

     

    Dekuji.


    Tonda Benes

    24. srpna 2008 18:05
    1. Prosim priste dej radeji gpresult /v at je to detailni.
    2. Ne ze by to necemu vadilo ale opravdu chces aby se ti na domenove radice aplikovala i default domain policy? Tedy proc ne, ale pak je vhodne mit v default domain policy opravdu jen to co ma byt spolecne pro celou domenu. Nemyslim ze napr. vytvareni zastupcu by napr. melo byt aplikovano plosne ...

    MP

     

    24. srpna 2008 19:37
    Moderátor
  • Ahoj,

    ad 1 - to by mohlo dle popisu byt ono, nainstaloval jsem, ale stále se ikony nevytváří

    Udělal jsi si GPO po OU=ucitele a zjistil jsem, že se většina věcí korektně aplikuje (např. jsem dal Odebrat přikaz Nápověda z nabídky Start nebo jsem si vytvořil vlastní proměnnou s dosazenou hodnotou a vytvořila se v pořádku).

    K těm proměnným a profilům - ty zástupce zkouším třeba vytvářet umístěním na Ploše nebo na Ploše všech uživatelů. Zde se mi u definice zobrazí proměnné %CommonDesktopDir% a %DesktopDir%. Nemůže být problém zde? Jako že třeba na serveru existují a na stanici nikoliv. Nebo že zatím nemám pro uživatele, který se hlásí, definován cestovní profil a proto se použije místní.

    ad 2 - mám poslat znovu?

    ad 3 - no zatím jde o testování a u Default Domain Policy jsem si jistý, že se aplikuje

     

    Jinak k těm profilům - jak zařídít, aby měl každý uživatel svůj? Zkoušel jsem vyplnit přímo v AD ve vlastnostech uživatele adresář shodný s domovským adresářem, ale toto nešlo - není třeba něco nakopírovat?

     

    Diky moc.


    Tonda Beneš

     

    26. srpna 2008 7:14
  • ad 1)

    1. restartoval's?
    2. podivej se (set) zda promenne existuji. Pokud ano hledal bych v registry zda jsou pouzite v reg_expand_sz typu

    K profilum: doporucuji ODDELIT profily a domaci adresare, takze napr \\domena.local\profiles\%username% a \\domena.local\homes\%username%

     

    MP

     

    26. srpna 2008 7:43
    Moderátor
  • Ad 1.1 - restartoval jsem - sice si to po instalaci restart nevynucovalo, ale dle popisu jsem ho provedl

    ad 1.2  - právě že proměnné neexistují - nejsou to třeba nějaké specialní proměnné, které se vytvoří při přihlášení a pak se uvolní? Jinak jsem zkoušel obejít vytvořením proměnné DesktopDir a naplněním ať už %USERPROFILE%\Plocha - toto směřuje na lokální disk nebo %HOMESHARE%\Plocha - toto směřuje do domovského adresáře, ale neúspěšně.

     

    K profilům - oki, dám na Tvoji radu, jen prosím, jaký je hlavní důvod oddělení? Aby si ho uživatel nepoškodil?

     

    A když nyní odhlásím uživatele, tak se profil nezdaří nakopírovat - oznámí se chyba, že zadaný síťový název již není k dispozici. Předpokládám, že se uživatel odhlásí a nějaký jiný síťový uživatel se pokouší do profilu kopírovat a nejspíš nemá práva. Nevíš, který je to uživatel?

     

    Diky.

     

    Tonda Benes

     

     

     

    26. srpna 2008 8:55
  • uf to je zase smrst

     

    1) mj. tak jak rikas - mel bys v tom taky pekny bordel, uzivatel by se ptal k cemu je ntconfig.dat a ze ho teda smazal ... Smile

     

    2) profil se uklada na server pri ODHLASOVANI uzivatele. Pri PRVNIM ODHLASENI se VYTVORI adresar napr. \\domena.local\profiles\%username%) a na nem se nastavi ACLS (podle GP bud pouze pro uzivatele nebo pro uzivatele a domain admins). Tzn. Uzivatel musi mit do \\domena.local\profiles pravo FULL CONTROL aspon pri prvnim odhlasovani

     

    3) -- hlavne -- uz asi chapes proc vsichni vytvareji zastupce v login scriptu a ne pres GP - novinky z W2008/Visty do XP prichazeji pomalu a bolestne Sad

     

     

    MP

     

    26. srpna 2008 10:09
    Moderátor
  • Ahoj,

    to teda je smršť :-)

     

    ad 1 - oki, udělal jsem to tak, že adresář s profilem bude na stejné úrovni jako domovský adresář a bude začínat znaky "p_"

     

    ad 2 - mám to tak, že k výše uvedeným adresářům dám tomu uživateli při generování plný přístup pomocí skriptu s použitím icacls

     

    ad 3 - udělal jsem zatím kpírování zástupců přes login skript a funguje to

     

    Hlavní úkoly jsou splněny, velice děkuji.

     

    Můžu mít další dotazy? :-) Zde plně platí přísloví: "Podej čertu prst, peklem se Ti odmění."

     

    4. Ve vlastnostech uživatele v AD je kromě cesty k profilu navíc na záložce Terminálová služba také cesta k profilu i domovský adresář. Je možné mít u obojího stejné? Nebo má to nějaký jiný význam?

     

    5. Jakým způsobem může Administrator na stanici s WXP měnit hesla uživatelům? Zatím mě napadlo přihlásit se terminálově na server, ale zda neexistuje nějaký program přímo na stanici?

     

    Děkuji.


    Tonda Beneš

     

    26. srpna 2008 17:09
  •  antonin.benes napsal:

    4. Ve vlastnostech uživatele v AD je kromě cesty k profilu navíc na záložce Terminálová služba také cesta k profilu i domovský adresář. Je možné mít u obojího stejné? Nebo má to nějaký jiný význam?

     

    Spis naopak - je to dobre k tomu aby uzivatele meli jiny profil pri "terminalovem" prihlaseni a jiny pri "lokalnim

     

     antonin.benes napsal:

    5. Jakým způsobem může Administrator na stanici s WXP měnit hesla uživatelům? Zatím mě napadlo přihlásit se terminálově na server, ale zda neexistuje nějaký program přímo na stanici?

     

    Terminal? V zadnem pripade! Nainstaluje si adminpak.msi kde najde AD Users and computers a dalsi "serverove" nastroje pro winXP.

    Nejnovejsi adminpak najdes na www.microsoft.com/downloads

     

    MP

    26. srpna 2008 18:40
    Moderátor
  • Ahoj

    ad 4 - dobre, rozumim

    ad 5 - na CD jsem nic nenasel, tak jsem si stahl starsi WindowsServer2003-KB340178-SP2-x86-CSY.msi a ke zmene hesla a dalsim jednoduchym vecem toto bohate staci

     

    Zatim velice moc dekuji, cenim si Tve odborne pomoci.


    Tonda Benes

    28. srpna 2008 18:14
  • Cestovní profily pro síť i terminál stejné: 
    Prosím jenže já bych je stejné potřeboval, můžete mi poradit ? Byl bych moc vděčný....
    Ahoj. Prosím o pomoc. Ve Windows serveru 2003 jsme měli pro síť ve škole i pro přihlašování z domu každý svůj cestovní profil, jsme na to jednak zvyklí a jednak to bez problému fungovalo. Ve Windows server 2008 se vytváří jiný profil pro síť a jiný pro teminálové přihlašování. Ať hledám kde hledám tak nemůžu najít, kde to nastavit aby se tento cstovní profil uživatele použil pro síť ve škole i pro přihlášení z dmmu. Děkuji předem za každou radu.
    20. srpna 2009 5:53