none
Zásady skupiny - správa protokolu auditu a bezpečnosti

    Dotaz

  • Dobrý den,

    mám dotaz ohledně instalace aktualizací v doméně - při daném procesu se mi
    začala (buďto při jakémkoliv druhu aktualizace nebo jen při některých) objevovat chyba
    0x8007F004 a nebylo možné provést aktualizaci pod žádným účtem (lokálním ani dom.), ať
    už se jednalo o klientský počítač nebo samotné servery (vyjma doménového).
    Našel jsem řešení, spočívající v nastavení práv:

     

    - editor objektů skupiny
    - konfigurace pc-> nastavení sys. Win-> nastavení zabezpečení->  místní zásady-> přiřazení už. práv
    - zde je nutno editovat položku "spravovat protokol auditu a bezpečnosti"

     

    V této položce jsem měl nastaveno "domain\Exchange Enterprise Servers". To kvůli jiné chybě, MSExchangeDSaccess (2102,2114), kdy se mi tato chyba projevovala "odstřihnutím" pošty, nebylo
    možné restartovat IIS, pošta nefungovala, bylo nutné restartit celý server. Od doby, kdy jsem
    přidal "exch. eterprise server" do už. práv, bylo po problému. Nicméně po vydání nových aktualizací
    mě zase zlobily jejich již zmíněné instalace (ve winlogu viz 0x8007F004).
    Vyřešil jsem přidáním účtů administrators a domain users do této položky. Chci se zeptat,
    zda je toto správné řešení, abych tím neposkytnul doménovým uživatelům ještě práva na jiné, nežádoucí
    operace.


    Na závěr uvádím, že editaci přiřazení už. práv v zásadách skupiny jsem prováděl na doménovém serveru (jinde, např. na inf. serveru nebylo možné).


    Díky za info.


    Robin

    sobota 13. prosince 2008 12:45

Odpovědi

Všechny reakce

  • Ahoj,

    zkus se ptat trochu strukturovaneji.

     

    1. na co se vlastne ptas? jaky problem s aktualizacemi? pouzivas wsus?
    2. povoleni spravovat bezp. audit domenovym uzivatelum je popreni cele filozofie auditu
    3. jak jsi prirazoval prirazeni prav? pres group policy aplikovanou na org. jednotku v AD? co je to inf. server?

    MP

     

     

    sobota 13. prosince 2008 20:31
    Vlastník
  •  

    Zdravím,

     

    omlouvám se za zpoždění, nebyl jsem teď příliš mobilní. K mému problému:

     

    - v jednu chvíli mi nešlo na klientech ani serverech stáhnout jakoukoliv aktualizaci, objevovala se chyba 0x8007F004

    - vygooglil jsem řešení, které spočívalo v přenastavení už. práv v group policy, nicméně jak už jsi mi odpověděl, toto nebyl šťastný krok, a proto jsem vše změnil nazpět (navíc chybová hláška již zmizela, těžko říci, proč se v jednu chvíli zobrazovala)

    - inf. serverem jsem myslel server datový = umístění informačního systému

    - službu WSUS nepoužívám, malinko jsem o ní přečetl a možná by nebylo od věci ji vyzkoušet (zkušenosti? obtížnost instalace?)

    - ano, Group Policy jsem spravoval přes AD, ale příliš se v zásadách skupin nevyznám, resp. jsem začátečník, proto uvítám rady, jakým způsobem se nejlépe naučit a začít se správou skupin v AD (chtěl jsem např. striktně omezit práva users, aby nebylo možné nic instalovat, jen max. automatické instalace a pod.....)

     

    Předem díky a přeji hezké svátky!

     

    Robajz

    pondělí 29. prosince 2008 8:27
  • Zdravím,

     

    pokud jde o Group Policy mrknul bych se na TechNet http://technet.microsoft.com/en-us/windowsserver/grouppolicy/default.aspx Windows Server Group Policy. Skvělá věc je Group Policy Settings Reference rychle najdu to co hledám. Jinak o GPO je celá kniha v rámci Resource Kitu tu taky doporučuju.

     

    Jiri Krula

     

     

     

    pondělí 5. ledna 2009 8:48
  • pokial maju v domene uzivatelia prava Domain users je to to iste ako na beznom pc prava users ... je to velmi lahke obmedzit aj cez GPO a wu aktualizacie je tiez lahke v domene nastavit cez WSUS 3 a v GPO iba nastavit ze aktualizacie moze instalovat bud uplne autoimaticky alebo dat na to uzivatelom prava aby si mohli zvolit cas aktualizacii ... treba sa trochu prehrabat cez GPO

    http://hubka.net/archive/2006/11/23/Windows-Vista_3A00_-Tabulka-mo_7E01_n_FD00_ch-nastaven_ED00_-v-GPO.aspx

    http://hubka.net/archive/2008/04/10/group-policy-log-viewer.aspx

     

    neděle 11. ledna 2009 20:22