none
Jak řešit GPO na server 2003 při existenci stanic s Vista a Windows 7

    Dotaz

  • Dobrý den,
    servery jsou Windows Server 2003 a cca 1/4 počítačů (stanic) v doméně mám s Vista nebo Windows 7. Na všech počítačích je IE8, na některých Office 2003. V současné době GPM na AD vypadá cca takto:
    FREE photo hosting by Q3 Image Hosting

    Chtěl bych přes GPO administrovat i nové záležitosti, ale problém je v tom, že Administrative Template jsou pro novější záležitosti jen v admx. Řešení  bych viděl v tom, staré záležitosti i nadále spravovat na Server 2003 a nové záležitosti přes http://www.microsoft.com/downloads/details.aspx?displaylang=cs&FamilyID=7d2f6ad7-656b-4313-a005-4e344e43997d ze svého počítače s Windows 7.

    Teď jde o to, jak to ošetřit.
    1) Politiky, které budu spravovat jen s W7 přejmenovat aby to bylo zřejmé. Ponechat strukturu AD. 
    2) Všechny stanice jsou teď v Organizační jednotce Stanice přesunout do Organizačních jednotek XP a Vista-W7 podle OS. Politiky, které se týkají HW a jsou společné pro obě Organizační jednotky by zůstaly nad Organizační jednotkou Stanice a ty, které se týkají jen jednoho OS by byly buď nad XP nebo nad Vista-W7.

    Zde mám ale 3 problémy.
    a) Funguje vždy dědičnost ze Stanice na XP a W7 (předpokládám, že ano)
    b) Jak pak vyřešit politiky, které se týkají uživatele? Tam to takto jednoznačně rozdělit nejde.
    c) Jak to je s výslednou prioritou politik? Předpokládám, že politiky v Organizační jednotce Stanice bodou mít vždy vyšší prioritu než ty v XP a v Vista-W7.

    Jsem trošku v rozpacích co s tím. Můžete uvést jak toto řešíte vy? Nerad bych to toho "hrábl" a pak řešil vzniklé problémy.

    Děkuji dopředu za Vaše náměty.
    • Změněný typ yorgstbk pondělí 8. března 2010 13:07
    • Změněný typ yorgstbk středa 10. března 2010 9:25
    pondělí 8. března 2010 9:54

Odpovědi

  • K dedičnosti a slučování GPO toto funguje tak, že nejnižší prioritu mají site GPO a nejvyšší lokální GPO. Od nejméně prioritníé po nejvíce je to takto:

    - Site level GPO
    - Domain level GPO
    - OU Level GPO
      - a další OU GPO
    - Local GPO

    S tímto si můžete pohrát zátržítkem "enforced", kdy říkáte, že v případě kolizí jednotlivých položek v objektech GP ma ta s "enforced" paramentrem přednost.
    • Označen jako odpověď yorgstbk středa 10. března 2010 9:25
    úterý 9. března 2010 13:24

Všechny reakce

  • Osobne si myslim ze:

    - politiky ktere jsou spolecne/zpetne kompatibiln netreba resit, ty funguji na vsech OS -> problem neexistuje
    - pripadna aplikace Vista a vyssich politik na WinXP nicemu nevadi

    cemu rikas dedicnost? Myslis zda computer policy urcena pro XP bude aplikovana i na Vistu/7ky? Ano. Zda budou fungovat vsechny? Ne nebot nektere funkce z OS zmizely a tedy neni co nastavovat :)

    MP
    pondělí 8. března 2010 10:01
    Vlastník
  • ad kompatibilita - dočetl jsem se, že když si jednou politiku otevřu v editoru v.2.0 (server 2008, windows 7), tak už ji na verzi 1.0 (server 2003) neotevřu. Má jiný (úspornější) formát. A při prvním otevření politiky v editoru v.2.0 by se měly použít šablony admx v ní obsažené stejně tak zásady a předvolby. Což potřebuji.  Pro IE8 ani office 2003 šablony adm (bez x) nejsou.

    ad dědičnost - ne,  myslím tím dědičnost v AD. Když vytvořím v Organizační jednotce Stanice Organizační jednotky XP a Vista-W7 (viz obrázek), tak politiky, které jsou na Stanice budou platit i pro obě jednotky XP a Vista-W7. A politiky, které budou jen nad XP budou platit jen pro počítače, které jsou v XP. Viz obrázek, kde jsou přidané pod šedou časou. Je to tak?
    pondělí 8. března 2010 12:02
  • Vista, Server 2008 (R2), sedmičky používají jiný systém šablon pro Group Policy. Jsou to soubory admx, které jsou nezávislé na adml, který řeší jazykový balík. Ano, je pravdou, že z editoru, který neumí admx již neupravíte šablonu, kterou jste jako admx uložili.

    Mimochodem pro Office 2003 adm šablony existují http://www.microsoft.com/downloads/details.aspx?familyid=BA8BC720-EDC2-479B-B115-5ABB70B3F490&displaylang=en

    Pro IE8 ne. Doporučuji tedy administrovat GPO z jednoho místa, případně skrze jednu platformu, ideálně z W7, kde můžete i v W2K3 serveru mít GPO pro Vistu nebo W7.

    S pozdravem
    úterý 9. března 2010 13:18
  • K dedičnosti a slučování GPO toto funguje tak, že nejnižší prioritu mají site GPO a nejvyšší lokální GPO. Od nejméně prioritníé po nejvíce je to takto:

    - Site level GPO
    - Domain level GPO
    - OU Level GPO
      - a další OU GPO
    - Local GPO

    S tímto si můžete pohrát zátržítkem "enforced", kdy říkáte, že v případě kolizí jednotlivých položek v objektech GP ma ta s "enforced" paramentrem přednost.
    • Označen jako odpověď yorgstbk středa 10. března 2010 9:25
    úterý 9. března 2010 13:24
  • Děkuji za doplnění.
    středa 10. března 2010 9:24