none
GPO и привязка к домену, странные проблемы... RRS feed

  • Общие обсуждения

  • Доброго времени суток. Помогите в решении проблемы такого рода. Имеется DC ADDS DNS все на 1 сервере. Все работает (только у меня), но есть несколько ньюнсов моему уму непостижимы, например вопрос №1:
    в active directory я создал свою OU organization1, в ней соответственно еще создал 3 ou 1)users 2)PCs 3)groups, (сразу оговорюсь что я привязан к домену), завел соответственно пользователей в папке users, так вот наблюдается проблема какого рода, если я например создаю GPO на блокировку рабочих станций по указанному времени и в правах применения ставлю authentification users то политика на мой ПК не применяется. Попробовал прописать туда свою группу, ничего не изменилось (я делал со стороны сервера gpupdate и со стороны своего ПК gpupdate). Но если я например проставляю применять данную GPO к domain admins то вуаля политика применяется, причем только после перезагрузки рабочей станции... я не могу понять почему политика не применялась например когда стояло применить к authetification user? Может я что то не так делаю?
    И вопрос №2 не знаю даже как сказать, но у меня при привязывании ПК к домену (любого кроме моего) перегружаю комп пытаюсь войти под учетными данными пользователя а мне выдает ошибку "Вход в систему с использованием выбранного метода входа запрещен. Обратитесь к сетевому администратору", но если я на том же ПК пишу свой логин и пароль то все нормально... Подскажите куда копнуть?
    • Изменен тип Rotar MaksimModerator 30 ноября 2012 г. 10:36 Тема переведена в разряд обсуждений по причине отсутствия активности
    13 ноября 2012 г. 6:12

Все ответы

  • Если я правильно понимаю, то вы создаете настройку в User Configuration Policies, а пытаетесь привязать это к OU в котором хранятся компьютеры. Пользовательская политика применяется к пользователям, компьютерная к компьютерам.

    Про вопрос №2 попробуйте вот это http://social.technet.microsoft.com/Forums/ru-RU/windows7ru/thread/a11c91b0-bcd9-4b6a-87ca-7ae75c48a216 

    13 ноября 2012 г. 6:28
  • Если я правильно понимаю, то вы создаете настройку в User Configuration Policies, а пытаетесь привязать это к OU в котором хранятся компьютеры. Пользовательская политика применяется к пользователям, компьютерная к компьютерам.

    Про вопрос №2 попробуйте вот это http://social.technet.microsoft.com/Forums/ru-RU/windows7ru/thread/a11c91b0-bcd9-4b6a-87ca-7ae75c48a216 

     Правильно я создаю настройку в User Configuration Policies а привязываю эту GPO к organization1 то есть в теории она должна распространиться на все под ou, но она не распространяется. Или вы имеете ввиду что надо конкретно к той ou привязывать для которой создал? По второму вопросу, на эту статью я давно наткнулся, но вся проблема в том что у меня на всех ПК только группа гость прописана и все. То есть других групп нет.
    • Изменено kolka88 13 ноября 2012 г. 6:56
    13 ноября 2012 г. 6:51
  • Если не включен Block Inheritance на дочерную директорию, то все что находится выше в структуре будет действовать на OU, начиная с Default Domain Policy. Попробуйте Group Policy Result, если покажет, что эта политика должна применяться на конкретного пользователя, то смотрите Events на проблемном компьютере.

    13 ноября 2012 г. 7:00
  • "Если не включен Block Inheritance на дочерную директорию" - как это увидеть? Как посмотреть result если я под учеткой пользователя зайти не могу... в events разве будет видно?
    13 ноября 2012 г. 11:30
  • "Если не включен Block Inheritance на дочерную директорию" - как это увидеть? Как посмотреть result если я под учеткой пользователя зайти не могу... в events разве будет видно?

    Это делается из Group Policy Management - находится в Features на Domain Controller. Правой кнопкой на директории и выбрать Block Inheritance (в русской версии Блокирование наследия или как-то так), если включено будет синий восклицательный знак.

    В этой же консоли есть Group Policy Result - выбирайте компьютер и пользователя, для которых хотите посмотреть какие объекты GP применяются. Единственное ограничение можно посмотреть только тех пользователей которые уже входили на компьютер который вы выбрали в Group Policy Result. Если таковых нет, используйте Group Policy Modeling там указав OU можно найти не перекрывает ли другая политика вашу.

    13 ноября 2012 г. 11:50
  • Посмотрел по первому пункту, получается что Block Inheritance не стоит. По второму пункту "Единственное ограничение можно посмотреть только тех пользователей которые уже входили на компьютер который вы выбрали в Group Policy Result" но как я и сказал под пользователем я не могу зайти..., в "Group Policy Modeling там указав OU можно найти не перекрывает ли другая политика вашу" посмотрел, там нет информации как политики перекрываются или нет... Для наглядности вот структура AD http://pixs.ru/showimage/ADjpg_3498906_6318520.jpg а вот то что я вижу в mmc   http://pixs.ru/showimage/MMCjpg_4381385_6318524.jpg может я что то не понимаю?

    14 ноября 2012 г. 3:06
  • В Group Policy Modeling после моделирования политики для объекта, есть вкладка Settings, найдите там свою настройку и посмотрите Winning GPO.

    Зачем у вас два раза применяется Default Domain Policy?

    Почему Default Domain Controller Policy на уровне домена? (по умолчанию он в OU с DC)

    14 ноября 2012 г. 5:15
  • по первому пункту не совсем понятно... 

    по второму убрал

    по третьему тоже удалил, результата не принесло...

    Попробовал завести юзера прям в его родной папке где сидит administrator результат такой же(((, не могу понять что ему надо...
    • Изменено kolka88 15 ноября 2012 г. 6:12
    15 ноября 2012 г. 6:11
  • Дмитрий, посмотрите пожалуйста. http://webfile.ru/6217134   Я посмотрел ту ссылку котору вы мне дали, судя по всему у меня все нормально...
    16 ноября 2012 г. 0:42
  • С политикой на блокировку все нормально. У вас не применяется политика на пользователя? Или вам не удается зайти пользователем на компьютер?

    16 ноября 2012 г. 6:11
  • Мне не удается войти под пользователем,  у меня после привязки ПК к домену (любого кроме моего), перегружаю комп пытаюсь войти под учетными данными пользователя а мне выдает ошибку "Вход в систему с использованием выбранного метода входа запрещен. Обратитесь к сетевому администратору", вот и борюсь. Не могу нарыть что за проблема такая.
    18 ноября 2012 г. 22:13
  • А вы Windows в чистую ставите или образ раскатываете? Может быть проблема в дистрибутиве?
    19 ноября 2012 г. 5:44
  • Уважаемый пользователь!
    В вашей теме отсутствует активность в течение последних 5 дней. При отсутствии каких-либо действий в течение 2 последующих дней, тема будет переведена в разряд обсуждений. Вы можете возобновить дискуссию, просто оставив сообщение в данной теме.

    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий

    26 ноября 2012 г. 14:17
    Модератор
  • Тема переведена в разряд обсуждений по причине отсутствия активности

    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий

    30 ноября 2012 г. 10:36
    Модератор