none
Default Domain Controller Policy -> User Settings не применяются RRS feed

  • Вопрос

  • Здравствуйте.

    Проблема в том, что параметры пользователя не применяются к контроллеру домена. Пробовал перемещать контроллер в другой OU и добавлял отдельную политику, ничего.В GPMC в Group Policy Result Wizard для DC пишет:

    Computer Settings:
     - Local Policy
     - Default Domain Policy
     - Default Domain Controllers Policy
    User Settings:
     - Local Policy
     - Default Domain Policy

    Почему такая ситуация может быть?

    26 августа 2009 г. 16:13

Ответы

  • Расскажу.

    Допустим, у Вас есть терминаьный сервер "TS1" в OU "Terminal Servers". Вы создаете ОГП "Activate Loopback Processing Mode" у которого активирована лишь секция компьютера. В этом ОГП Вы задаете параметр обработки групповой политики в конфигурации компьютера: "Computer Configuration\ Administrative Templates\ System\ Group policy\ Loopback Processing Mode" в режиме слияния ("megre") или замещения ("replace"). Режим слияния объединяет параметры ОГП с прочими (приоритет будут иметь ОГП, назначенные компьютерам), а замещения - перекрывает. Линкуете ОГП к OU "Terminal Servers".
    Теперь к этому OU Вы можете линковать другие ОГП, в которых назначены параметры конфигурации пользователя. Эти параметры будут применены при входе этих пользователей на компьютеры в OU "Terminal Servers".
    С помощью "Security Filtering" и "WMI Filtering" можно более "точно" нацеливать политики на избранные компьютеры и пользователей.

    Статья: http://support.microsoft.com/default.aspx/kb/231287.

    P.S. Я могу ошибаться с точными названиями терминов в ОГП. :)


    Добавлю: Важно вот еще что. Не забудьте с помощью "Security Filtering" исключить админисрораторов, ну или других пользователей, из области действия ОГП, применяемых к компьютерам с "loopback processing", иначе эти политики будут применяться к каждому пользователю, выполнившему вход на  такой компьютер!


    Спасибо моей жене Кате, Клевогину С.П., Козлову С.В., Муравлянникову Н.А., Никитину И.Г., Шапиро Л.В. за мои знания! :)
    26 августа 2009 г. 17:23
    Отвечающий

Все ответы

  • А что за параметры пользователя и почему они должны применяться к контроллеру домена?
    Спасибо моей жене Кате, Клевогину С.П., Козлову С.В., Муравлянникову Н.А., Никитину И.Г., Шапиро Л.В. за мои знания! :)
    • Помечено в качестве ответа Dmitriy Tataurov 26 августа 2009 г. 16:43
    • Снята пометка об ответе Dmitriy Tataurov 26 августа 2009 г. 16:43
    26 августа 2009 г. 16:33
    Отвечающий
  • Дело в том что на нем же настроен терминальный сервер (что не очень радует, но тем не менее) и я хочу выключить wallpapers'сы (Disable Active Desktop Wallpaper или как то так) ибо пользователи ставят туда что попало и бороться с ними можно только так. К тому же не могу задать параметр ScreenSaveTimeout на 3 минуты (в Default Domain Policy - 10min)

    Кстати User Settings для Default Domain Policy вообще ничем не перекрывается, хотя должно. например есть один дочерний OU с прилинкованной GP, где совпадающие User Settings берутся из Default Domain Policy

    26 августа 2009 г. 16:42

  • Не надо трогать ОГП "Deault Domain Policy" и "Default Domain Controllers Policy" по пустякам!
    Т.е. Вы в объект ГП в разделе конфигурации пользователя назначаете настройки, линкуете этот ГПО с ОП, где расположен компьютер, "loopback processing" не применяете, а когда пользователи заходят на этот компьютер, то к ним не применяются параметры Вашего ОГП, так? А какого поведения Вы ожидаете?


    Спасибо моей жене Кате, Клевогину С.П., Козлову С.В., Муравлянникову Н.А., Никитину И.Г., Шапиро Л.В. за мои знания! :)

    26 августа 2009 г. 16:51
    Отвечающий
  • Вроде да.

    А можете рассказать про обработку замыкания пользовательской групповой политики? Я немного не понял технологию :) В данном случае надо включить режим "объединение" на той GPO, которую я линкую к моему дочернему OU?

    26 августа 2009 г. 17:08
  • Расскажу.

    Допустим, у Вас есть терминаьный сервер "TS1" в OU "Terminal Servers". Вы создаете ОГП "Activate Loopback Processing Mode" у которого активирована лишь секция компьютера. В этом ОГП Вы задаете параметр обработки групповой политики в конфигурации компьютера: "Computer Configuration\ Administrative Templates\ System\ Group policy\ Loopback Processing Mode" в режиме слияния ("megre") или замещения ("replace"). Режим слияния объединяет параметры ОГП с прочими (приоритет будут иметь ОГП, назначенные компьютерам), а замещения - перекрывает. Линкуете ОГП к OU "Terminal Servers".
    Теперь к этому OU Вы можете линковать другие ОГП, в которых назначены параметры конфигурации пользователя. Эти параметры будут применены при входе этих пользователей на компьютеры в OU "Terminal Servers".
    С помощью "Security Filtering" и "WMI Filtering" можно более "точно" нацеливать политики на избранные компьютеры и пользователей.

    Статья: http://support.microsoft.com/default.aspx/kb/231287.

    P.S. Я могу ошибаться с точными названиями терминов в ОГП. :)


    Добавлю: Важно вот еще что. Не забудьте с помощью "Security Filtering" исключить админисрораторов, ну или других пользователей, из области действия ОГП, применяемых к компьютерам с "loopback processing", иначе эти политики будут применяться к каждому пользователю, выполнившему вход на  такой компьютер!


    Спасибо моей жене Кате, Клевогину С.П., Козлову С.В., Муравлянникову Н.А., Никитину И.Г., Шапиро Л.В. за мои знания! :)
    26 августа 2009 г. 17:23
    Отвечающий
  • Я так и понял. Спасибо :-)
    26 августа 2009 г. 17:34