none
Použití systémové politiky

    Dotaz

  • Dobrý den,
    mám v použití GPO poněkud nejasno. Prosím proto vaši zkušenost s těmito body.

    1) Některé programy instaluji na všechny počítače, proto je dosud aplikuji v Security filtering na Authenticated Users a nad organizační jednotkou, ve které jsou všichni uživatelé i jejich počítače (ty jsou v samostatné podsložce). Instalační balíčky jsou vždy v konfiguraci počítače. V části Konfigurace uživatele u takovýchto politik žádná změna není.
    Má praktický smysl (např. zkrácení doby spouštění počítače při aplikaci politik) u těchto politik omezovat GPO status přes User configuration settings disabled? 

    Další možností je tuto politiku aplikovat pouze nad samostatnou podložkou pouze s počítači. Má i tam smysl nastavit User configuration settings disabled?

    Nebo je to v obou případech podstatě jedno. Má to vliv na přehlednost gpresult, to ano. Na co dalšího to má vliv už ale nevím.

    2) U instalačního balíčku mám zaškrtnuto Odinstalovat tuto aplikaci je-li mimo obor správy na kartě Zavedení.
    Občas se mi ale stane, že po odebrání skupiny uživatelů v Security filtering tato aplikace zůstane po provedení politiky v Přidat odebrat programy. Přitom odinstalování proběhlo (byla o tom při aplikaci politik zobrazena zpráva) a na disku počítače není. Pokus o ruční odinstalování v Přidat odebrat programy končí chybou po které záznam o tomto programu z Přidat odebrat programy zmizí. Ovšem zmizí jen do stisknutí F5. Je pak nutné fyzicky odmazat záznamy k tomuto programu v registrech. Teprve pak je věc vyřešena.
    Konkrétně se mi tento problém vyskytl u odinstalování Acrobat Reader 9.1.3, kdy se následně instaloval Acrobat Reader 9.2. AR9.2 má vyšší prioritu než AR9.1.3.

    středa 11. listopadu 2009 7:55

Odpovědi

  • Viz obrázek http://resize.like.cz/images/1257937115AD.png se strukturou AD, kde distribuční skupina http://resize.like.cz/images/1257941039skup.png byla v OU Users.

    Po přesunutí do OU Bezpečnostní skupiny začlo vše, kde je uveden Authenticated users, fungovat.

    Ještě k tomu profíkovi - vím že ta čeština dělá při dotazech na fóru problémy (ala Babylon), ale já jsem jen vesničan a tak tu angličtinu uživám jen po kapkách a v případě nejvyšší nutnosti. Ve výsledku jsem proto rád za každé počeštěné menu. Přece jen se s těmi menu potýkám častěji než s fóry. :-)
    • Označen jako odpověď yorgstbk středa 11. listopadu 2009 15:44
    středa 11. listopadu 2009 14:09

Všechny reakce

  • hovoris o computer policy, ze? pak se instaluje jako ASSIGNED pro POCITAC a pod uctem pocitace (ktery je v Authenticated users a Domain Computers) a s uzivatelem nema tedy lautr nic spolecneho - uzivatel jeste neni prihlasen, zadna user config neni mozna.

    MP

    středa 11. listopadu 2009 8:18
    Vlastník
  • To ano, to je pravda. Jde ale o to, že když je politika, ve které se vše děje jen v části konfigurace počítače, tak: 

    a) nad skupinou ve které jsou počítače i uživatelé a je GPO Statue=Enabled, tak až dojde k přihlašování uživatele do domény, je tato politika dotazována i když v části konfigurace uživatele nic není? Ano/Ne

    b) nad skupinou ve které jsou jen počítače a je GPO Statue=Enabled, tak až dojde k přihlašování uživatele do domény, je tato politika dotazována i když v části konfigurace uživatele nic není? Ano/Ne


    to slovo "dotazována" prosím s nadhledem, nevím, jak jinak to nazvat.
    středa 11. listopadu 2009 8:33
  • skupinou myslis OU nebo security group (filtrovani pres ACL)?

    MP
    středa 11. listopadu 2009 8:34
    Vlastník
  • Skupinou myslím to, čemu se v AD říká organizační jednotka.

    Viz http://resize.like.cz/images/1257931703gpo.png

    Ve "skupině" Stanice jsou jen počítače, původně byly tyto politiky o úroveň výš, kde jsou počítače i uživatelé.
    středa 11. listopadu 2009 8:50
  • toho jsem se obaval :), snaz se striktne rozdelovat OU a group prosim, zamezis nedorozumeni!!! GP se da aplikovat pouze na OU resp. domenu

    user config settings disabled: predpokladam ze tam stejne zadne user policies nejsou takze toto nema vliv na funkci, snad jen nepatrne zrychleni

    blby totaz: mas schvalne pro kazdy instalovany program extra politiku? Samozrejme to nicemu nevadi ale neni to zbytecne?

    MP

    středa 11. listopadu 2009 10:28
    Vlastník
  • ad "snaz se striktne rozdelovat OU a group prosim"

    Můžeš to prosím tě rozvést? Přiznám se, že té větě nerozumím.

    k politikám, ano instaluji to jednotlivě. Nějakou dobu jsem to měl v jedné politice a když se prováděly upgrade programů, tak jsem se v tom časem nevyznal. Když to bylo přes inovace, tak jsem musel pořád držet na sdíleném adresáři původní balíčky, když jsem balíček jen odebral a přidal nový, tak se původní neodinstaloval atd.

    Ještě podotázka - jsou v Authenticated users počítače? Momentálně řeším další problém. Dosud jsem měl počítače ve distribuční skupině (místní doménová se zabezpečením). Protože v tom byl binec, tak jsem distribuční skupinu nahradil Authenticated users. Programy, které už na PC jsou tak zůstanou, ale když na PC ještě není, tak se tam nově nenainstaluje.
    středa 11. listopadu 2009 10:41
  • - myslim v komunikaci at nemates ostatni. ty vis co myslis, ja vim co myslis, technicky OK ale neni to spravne. nejsi ale jediny kdo OUs rika "skupiny"
    - jak jsem psal, rozdeleni nech tak jak ti vyhovuje, neni to zadny problem
    - pocitace se AUTENTIKUJI tedy (defaultne) jsou v SECURITY (ty pouzivas DISTRIBUTION group a divis se ze ti neco nefunguje) Authenticated Users. Osobne ale preferuji security group "Domain Computers", cloveka to pak trkne :)

    MP
    středa 11. listopadu 2009 10:47
    Vlastník
  • Omlouvám se za matení, je pravda, že v těch pojmech plavu. Můžeš ale prosím tě napsat co znamená zkratka OU, nedaří se mi to najít.

    K 3 odrážce a autentikaci, opět se přiznám, že této větě moc nerozumím.


    Struktura AD je daná, jsem až v doméně 5. řádu a jsem administrátor na této úrovni a nemám práva nic měnit
    struktura AD viz http://resize.like.cz/images/1257937115AD.png

    Přes GPO si řeším jen  místní záležitosti, přesněji nastavení uživatelských PC v doméně, správu domény řeší centrálně Enterprise Administrator. Mám tedy možnost se pohybovat jen v silně omezených mantinelech. Což není ale výtka, jen konstatování.

    Programy. které se instalují jen na některé PC mají v Security Filtering místní doménovou distribuční skupinu se zabezpečením, kde jsou členové počítače (jejich doménové jméno)  viz http://resize.like.cz/images/1257937544office.png

    Programy, které se instalují všem mají Authenticated Users. viz http://resize.like.cz/images/1257937710java.png


    ad "divis se ze ti neco nefunguje", to máš pravdu, divím a to hodně. Problém je v tom, že se nemám prakticky koho zeptat než na fórech. Ale to jen pro dokreslení, není to nic k dotazu.

    středa 11. listopadu 2009 11:19
  • ou = organizacni jednotka (org. unit) - mrkni na http://en.wikipedia.org/wiki/LDAP_Data_Interchange_Format#LDIF_fields

    opravdu se jedna o DISTRIBUTION a ne SECURITY group?

    MP
    středa 11. listopadu 2009 11:20
    Vlastník
  • Díky za vysvětlení i setrvání u tohoto tématu.

    ad opravdu se jedna o DISTRIBUTION a ne SECURITY group?

    Předpokládám, že máš na mysli toto:
    http://resize.like.cz/images/1257941039skup.png

    Jinak nevím, kde hledat.
    středa 11. listopadu 2009 12:07
  • Presne tak

    MP

    V anglictine bys to pro priste nemel? Tedy pokud chces byt profik :)
    středa 11. listopadu 2009 12:25
    Vlastník
  • 1. otázka je vyřešena. Problém byl v tom, že distribuční skupina nebyla mezi bezpečnostními skupinami, ale v Users.

    2. otázku vyřeším tím, že to všude odmažu z registrů.


    Děkuji za pomoc.

    středa 11. listopadu 2009 13:25
  • ad 1.: muzes to prosim malicko upresnit?

    - zmenil jsi z distribucni na security group?
    - co znamena ze skupina byla v Users? v OU users?

    MP
    středa 11. listopadu 2009 13:27
    Vlastník
  • Viz obrázek http://resize.like.cz/images/1257937115AD.png se strukturou AD, kde distribuční skupina http://resize.like.cz/images/1257941039skup.png byla v OU Users.

    Po přesunutí do OU Bezpečnostní skupiny začlo vše, kde je uveden Authenticated users, fungovat.

    Ještě k tomu profíkovi - vím že ta čeština dělá při dotazech na fóru problémy (ala Babylon), ale já jsem jen vesničan a tak tu angličtinu uživám jen po kapkách a v případě nejvyšší nutnosti. Ve výsledku jsem proto rád za každé počeštěné menu. Přece jen se s těmi menu potýkám častěji než s fóry. :-)
    • Označen jako odpověď yorgstbk středa 11. listopadu 2009 15:44
    středa 11. listopadu 2009 14:09