none
GP на компьютеры домена RRS feed

  • Вопрос

  • через "Active Directory - пользователи и компьютеры".
    все компьютеры домена в контейнере по умолчанию = "Computers"
    как назначить груп.политику на компьютеры, входящие в домен?
    или для этого обязательно создавать свой контейнер?
    (назначал груп.политику для компьютеров домена на самом домене - не работает)
    24 января 2010 г. 16:30

Ответы

  • в вашем случае ничего не нужно, кроме как навесить GPO на контейнер, содержащий учётные записи компьютеров... если это дефолтный системный Computers, то создайте новый OU (на системные контейнеры политики назначать нельзя - лишь целиком на весь домен), переместите в него нужные компы (за исключением, разумеется, домен-контроллеров - они в своём OU живут)... ACL нигде трогать не нужно, если только вы до этого ничего не делали с ними глобально...
    какую именно политику вы назначали и как назначали - на уровне домена?
    • Помечено в качестве ответа dim386 25 января 2010 г. 12:10
    24 января 2010 г. 21:54
    Отвечающий
  • Для управления групповой политикой я бы рекомендовал воспользоваться консолью GPMC
    http://www.microsoft.com/downloads/details.aspx?FamilyID=0A6D4C24-8CBD-4B35-9272-DD3CBFC81887&displaylang=en
    С её помощью создайте групповую политику для компьютеров домена для контейнер Computers и задайте нужные настройки в разделе "Computer Configuration". Проверьте в консоли что политика включена и плинкована к нужному контейнеру. После этого на компьютерах выполните команду gpupdate /force
    Перезагрузите один из компьютеров и с помощью команды gpresult проверьте что к нему применилась созданная Вами политика.
    • Помечено в качестве ответа dim386 25 января 2010 г. 11:46
    25 января 2010 г. 7:15
    Модератор
  • <...>
    я добавил GP в: Свойства Domain Controllers - Групповая политика - Добавить.

    Domain Controllers?..

    // как назначить груп.политику на компьютеры, входящие в домен?

    А просто к узлу домена прилинковать ОГП не пробовали?...
    • Помечено в качестве ответа dim386 25 января 2010 г. 12:10
    25 января 2010 г. 7:23
    Отвечающий
  • <...>
    т.е. назначая GP на весь DC, все-таки можно назначить политику именно на компьютеры входящие в домен. так?
    если так, то почему тогда не работает. что неправильно?
    с созданием нового OU для компьютеров домена все понятно :)
    <...>
    ACL я не трогал, он везде в AD = по умолчанию.
    в новой тестовой GP(назначенной на DC) я изменил 2 ключа:
    1. Конфигурация компьютера- Конфигурация Windows- Параметры безопасности- Локальные политики- Политика аудита: Аудит входа в систему
    2. Конфигурация компьютера- Административные шаблоны- Система: Отключить автозапуск

    Политика действует на объекты контейнера к которому она присоединена. По умолчанию (в общем случае) политика, присоединенная к узлу домена, действует на все объекты компьютеров и польователей в домене. Присоедините политику на узел Вашего домена!
    • Помечено в качестве ответа dim386 25 января 2010 г. 12:11
    25 января 2010 г. 7:36
    Отвечающий

Все ответы

  • контейнер не нужен в вашем случае
    я правильно понимаю что вы в ACL политики добавили группу Domain Computers ?
    MCP/MCSA/MCTS:Exchange
    24 января 2010 г. 18:01
  • в вашем случае ничего не нужно, кроме как навесить GPO на контейнер, содержащий учётные записи компьютеров... если это дефолтный системный Computers, то создайте новый OU (на системные контейнеры политики назначать нельзя - лишь целиком на весь домен), переместите в него нужные компы (за исключением, разумеется, домен-контроллеров - они в своём OU живут)... ACL нигде трогать не нужно, если только вы до этого ничего не делали с ними глобально...
    какую именно политику вы назначали и как назначали - на уровне домена?
    • Помечено в качестве ответа dim386 25 января 2010 г. 12:10
    24 января 2010 г. 21:54
    Отвечающий
  • контейнер не нужен в вашем случае
    я правильно понимаю что вы в ACL политики добавили группу Domain Computers ?
    ACL то тут причем :) нет конечно.
    я добавил GP в: Свойства Domain Controllers - Групповая политика - Добавить.
    25 января 2010 г. 7:13
  • Для управления групповой политикой я бы рекомендовал воспользоваться консолью GPMC
    http://www.microsoft.com/downloads/details.aspx?FamilyID=0A6D4C24-8CBD-4B35-9272-DD3CBFC81887&displaylang=en
    С её помощью создайте групповую политику для компьютеров домена для контейнер Computers и задайте нужные настройки в разделе "Computer Configuration". Проверьте в консоли что политика включена и плинкована к нужному контейнеру. После этого на компьютерах выполните команду gpupdate /force
    Перезагрузите один из компьютеров и с помощью команды gpresult проверьте что к нему применилась созданная Вами политика.
    • Помечено в качестве ответа dim386 25 января 2010 г. 11:46
    25 января 2010 г. 7:15
    Модератор
  • <...>
    я добавил GP в: Свойства Domain Controllers - Групповая политика - Добавить.

    Domain Controllers?..

    // как назначить груп.политику на компьютеры, входящие в домен?

    А просто к узлу домена прилинковать ОГП не пробовали?...
    • Помечено в качестве ответа dim386 25 января 2010 г. 12:10
    25 января 2010 г. 7:23
    Отвечающий
  • в вашем случае ничего не нужно, кроме как навесить GPO на контейнер, содержащий учётные записи компьютеров... если это дефолтный системный Computers, то создайте новый OU (на системные контейнеры политики назначать нельзя - лишь целиком на весь домен), переместите в него нужные компы (за исключением, разумеется, домен-контроллеров - они в своём OU живут)...
    т.е. назначая GP на весь DC, все-таки можно назначить политику именно на компьютеры входящие в домен. так?
    если так, то почему тогда не работает. что неправильно?
    с созданием нового OU для компьютеров домена все понятно :)
    ACL нигде трогать не нужно, если только вы до этого ничего не делали с ними глобально...
    какую именно политику вы назначали и как назначали - на уровне домена?
    ACL я не трогал, он везде в AD = по умолчанию.
    в новой тестовой GP(назначенной на DC) я изменил 2 ключа:
    1. Конфигурация компьютера- Конфигурация Windows- Параметры безопасности- Локальные политики- Политика аудита: Аудит входа в систему
    2. Конфигурация компьютера- Административные шаблоны- Система: Отключить автозапуск
    25 января 2010 г. 7:24
  • <...>
    т.е. назначая GP на весь DC, все-таки можно назначить политику именно на компьютеры входящие в домен. так?
    если так, то почему тогда не работает. что неправильно?
    с созданием нового OU для компьютеров домена все понятно :)
    <...>
    ACL я не трогал, он везде в AD = по умолчанию.
    в новой тестовой GP(назначенной на DC) я изменил 2 ключа:
    1. Конфигурация компьютера- Конфигурация Windows- Параметры безопасности- Локальные политики- Политика аудита: Аудит входа в систему
    2. Конфигурация компьютера- Административные шаблоны- Система: Отключить автозапуск

    Политика действует на объекты контейнера к которому она присоединена. По умолчанию (в общем случае) политика, присоединенная к узлу домена, действует на все объекты компьютеров и польователей в домене. Присоедините политику на узел Вашего домена!
    • Помечено в качестве ответа dim386 25 января 2010 г. 12:11
    25 января 2010 г. 7:36
    Отвечающий
  • Domain Controllers?..

    // как назначить груп.политику на компьютеры, входящие в домен?

    А просто к узлу домена прилинковать ОГП не пробовали?...
    заработался. ошибку свою понял.
    назначал ГП на Контроллер Домена с мыслями что назначаю Домену :)
    25 января 2010 г. 8:51
  • Для управления групповой политикой я бы рекомендовал воспользоваться консолью GPMC
    http://www.microsoft.com/downloads/details.aspx?FamilyID=0A6D4C24-8CBD-4B35-9272-DD3CBFC81887&displaylang=en
    С её помощью создайте групповую политику для компьютеров домена для контейнер Computers и задайте нужные настройки в разделе "Computer Configuration". Проверьте в консоли что политика включена и плинкована к нужному контейнеру. После этого на компьютерах выполните команду gpupdate /force
    Перезагрузите один из компьютеров и с помощью команды gpresult проверьте что к нему применилась созданная Вами политика.
    да, я знаю. есть такая, хорошая штука.
    кстати в ней и увидел свою ошибку :)
    много работать вредно, начинаешь ошибаться на простых вещах :)
    25 января 2010 г. 8:54