none
групповые политики пользователя RRS feed

  • Вопрос

  • друзья, приветствую. помогите понять и разобраться. есть

    OU1 -> GP1

          OU1.1 - пользователи

    OU2

          OU2.1 - ПК (сервер терминалов)

    подскажите, возможно применить политику пользователя GP1 на контейнер OU2.1, если пользователи находятся в OU1.1?

    22 января 2016 г. 9:24

Ответы

  • По умолчанию на пользователя, на каком компьютере он не входил, применяются политики для того OU, в котором находятся учётные записи пользователей.

    Так что, если я правильно понял, что вы хотите, то вам ничего специально делать не нужно. Разве что, кто-то до вас настроил для OU сервера терминалов режим замыкания политики (loopback processing): тогда для пользователя на сервере терминалов будут применяться политики пользователя, назначенные на OU сервера терминалов (это в режиме замещения, есть ещё режим слияния, где применяются и те, и другие политики).


    Слава России!


    • Изменено M.V.V. _ 22 января 2016 г. 9:36
    • Помечено в качестве ответа levii 27 января 2016 г. 8:15
    22 января 2016 г. 9:36
  • http://social.technet.microsoft.com/wiki/contents/articles/2548.windows-server-understand-user-group-policy-loopback-processing-mode.aspx
    • Помечено в качестве ответа levii 27 января 2016 г. 8:15
    22 января 2016 г. 9:41
  •  если пользователь находится в OU2, можно на него применить только политику пользователя из OU1, или нужно создавать новую?

    Если нужно применять политики вразрез со схемой размещения пользователей в контейнерах, следует использовать другую схему применения политик. Привязывайте их к корню домена, удаляйте стандартные права (Apply для всех, в частности) и назначайте (или запрещайте, если есть необходимость) право Apply  для конкретных групп пользователей и компьютеров.

    Также никто не мешает вам привязывать одну и ту же политику к нескольким контейнерам одновременно.


    Evgeniy Lotosh // MCSE: Server infrastructure, MCSE: Messaging


    • Изменено Evgeniy Lotosh 25 января 2016 г. 7:53
    • Помечено в качестве ответа levii 27 января 2016 г. 8:15
    25 января 2016 г. 7:53

Все ответы

  • По умолчанию на пользователя, на каком компьютере он не входил, применяются политики для того OU, в котором находятся учётные записи пользователей.

    Так что, если я правильно понял, что вы хотите, то вам ничего специально делать не нужно. Разве что, кто-то до вас настроил для OU сервера терминалов режим замыкания политики (loopback processing): тогда для пользователя на сервере терминалов будут применяться политики пользователя, назначенные на OU сервера терминалов (это в режиме замещения, есть ещё режим слияния, где применяются и те, и другие политики).


    Слава России!


    • Изменено M.V.V. _ 22 января 2016 г. 9:36
    • Помечено в качестве ответа levii 27 января 2016 г. 8:15
    22 января 2016 г. 9:36
  • http://social.technet.microsoft.com/wiki/contents/articles/2548.windows-server-understand-user-group-policy-loopback-processing-mode.aspx
    • Помечено в качестве ответа levii 27 января 2016 г. 8:15
    22 января 2016 г. 9:41
  • ясно, спасибо.

    а если пользователь находится в OU2, можно на него применить только политику пользователя из OU1, или нужно создавать новую?

    25 января 2016 г. 7:07
  •  если пользователь находится в OU2, можно на него применить только политику пользователя из OU1, или нужно создавать новую?

    Если нужно применять политики вразрез со схемой размещения пользователей в контейнерах, следует использовать другую схему применения политик. Привязывайте их к корню домена, удаляйте стандартные права (Apply для всех, в частности) и назначайте (или запрещайте, если есть необходимость) право Apply  для конкретных групп пользователей и компьютеров.

    Также никто не мешает вам привязывать одну и ту же политику к нескольким контейнерам одновременно.


    Evgeniy Lotosh // MCSE: Server infrastructure, MCSE: Messaging


    • Изменено Evgeniy Lotosh 25 января 2016 г. 7:53
    • Помечено в качестве ответа levii 27 января 2016 г. 8:15
    25 января 2016 г. 7:53
  • Evgeniy Lotosh имхо, не следует использовать слово контейнер для обозначения организационных единиц во избежания путаницы с контейнерами-контейнерами :)
    25 января 2016 г. 14:26
  • Правильно, но все же можно попробовать
    25 января 2016 г. 20:11
  • имхо, не следует использовать слово контейнер для обозначения организационных единиц во избежания путаницы с контейнерами-контейнерами :)
    Э-э... стесняюсь спросить - а что такое "контейнер-контейнер"? По-моему, контейнер - это объект, умеющий содержать другие объекты, и OU под это определение подпадает идеально. :)

    Evgeniy Lotosh // MCSE: Server infrastructure, MCSE: Messaging

    26 января 2016 г. 5:37
  • контейнер-контейнер это юзерс например. то что контейнер-контейнеры нельзя через адук создавать еще не о чем не говорит, через адсиедит они замечательно выходят.

    Container is a structural class of object, which means that container objects can be created in Active Directory. In the schema, structural classes define objects that can be created as instances of the class in Active Directory. Other objects can be "container" objects in the general sense of the word (that is, they can have child objects), but they do not belong to the container class. For example, an organizational unit is a container object, although its class is organizationalUnit , not container . An organizational unit object has many attributes that provide functionality that an ordinary container does not have.

    https://technet.microsoft.com/en-us/library/cc961764.aspx

    еще раз повторюсь, що це была моя имха :)

    26 января 2016 г. 8:46
  • Container is a structural class of object, which means that container objects can be created in Active Directory.

    Коллега, вы первый человек на моей памяти, кто употребляет слово "контейнер" в строгом смысле определения схемы AD. Я о таком даже не подумал. Снимаю шляпу. :D

    Evgeniy Lotosh // MCSE: Server infrastructure, MCSE: Messaging

    26 января 2016 г. 9:13
  • Привязывайте их к корню домена, удаляйте стандартные права (Apply для всех, в частности) и назначайте (или запрещайте, если есть необходимость) право Apply  для конкретных групп пользователей и компьютеров.
    это имеется в виду вкладка "Делегирование"?
    27 января 2016 г. 7:37
  • это имеется в виду вкладка "Делегирование"?
    Да, именно там. Кнопка Advanced.

    Evgeniy Lotosh // MCSE: Server infrastructure, MCSE: Messaging

    27 января 2016 г. 7:51