none
Не применяется и не наследуется групповая политика в дочерннем домене. RRS feed

  • Общие обсуждения

  • Ситуация такая.  Есть головной офис . В нем корневой контроллер домена test.ru и в нем же находится домен для малых офисов sof.test.ru . На дочернем домене sof.test.ru должна наследоваться  политика от корневого домена.(В частности настройки прокси сервера)

     

    Есть второй офис - IPSec Тунель на Cisco (скажу сразу все бегает, НИКАКИХ файрволов, все открыто. всяике mtu и mss уже кручу 2 дня).

    Так вот - когда я захожу под любой учеткой  из домена sof.rpsb.ru в этом офисе политика применеятеся не до конца ... В настройках прокси сервера (в Internet Explorer) я не могу изменять парметры прокси (так и должно), но вот к примеру самого прокси сервера не указанно. Так же отсутвует и политика по "Избранному".

     

    Менял даже MTU на интерфейсах раб. станций.. не помогает.

    Вообщем мыслей уже никаких

    Ошибка Из userenv такая

    USERENV(174.178) 17:09:25:812 CUserProfile::CleanupUserProfile: Ref Count is not 0
    USERENV(174.2c8) 17:09:56:656 GetGPOInfo:  Local GPO's gpt.ini is not accessible, assuming default state.
    USERENV(174.704) 17:10:01:015 GetGPOInfo:  Local GPO's gpt.ini is not accessible, assuming default state.

     

    С "событиях"  (смотрю через - Управлеие кмопьютером-просмотр событий)   ничего, все чисто..

     

    Самое интересное, что проявляется это как-то динамически... перегружу маршрутизатор или помогает gpupdate /force ....

    Вообщем спасайте Smile

Все ответы

  • Предоставьте:

     ipconfig /all dc

     ipconfig /all клиента

     gpresult

     dcdiag

    Что говорит rsop.msc?

     

  • На клиенте:

     

    Настройка протокола IP для Windows

            Имя компьютера  . . . . . . . . . : urist4
            Основной DNS-суффикс  . . . . . . : sof.test.ru
            Тип узла. . . . . . . . . . . . . : неизвестный
            IP-маршрутизация включена . . . . : нет
            WINS-прокси включен . . . . . . . : нет
            Порядок просмотра суффиксов DNS . : sof.test.ru
                                                test.ru

    Подключение по локальной сети - Ethernet адаптер:

            DNS-суффикс этого подключения . . :
            Описание  . . . . . . . . . . . . : Realtek RTL8139 Family PCI Fast Ethernet NIC
            Физический адрес. . . . . . . . . : 00-0D-61-3A-5A-89
            Dhcp включен. . . . . . . . . . . : нет
            IP-адрес  . . . . . . . . . . . . : 10.192.158.8
            Маска подсети . . . . . . . . . . : 255.255.255.0
            Основной шлюз . . . . . . . . . . : 10.192.158.1
            DNS-серверы . . . . . . . . . . . : 10.192.100.179

    на DC


    Настройка протокола IP для Windows

     

       Имя компьютера  . . . . . . . . . : AD-SOF

       Основной DNS-суффикс  . . . . . . : sof.test.ru

       Тип узла. . . . . . . . . . . . . : неизвестный

       IP-маршрутизация включена . . . . : нет

       WINS-прокси включен . . . . . . . : нет

       Порядок просмотра суффиксов DNS . : sof.test.ru

                                           test.ru

     

    Подключение по локальной сети - Ethernet адаптер:

     

       DNS-суффикс этого подключения . . :

       Описание  . . . . . . . . . . . . : VMware Accelerated AMD PCNet Adapter

       Физический адрес. . . . . . . . . : 00-0C-29-04-92-D8

       DHCP включен. . . . . . . . . . . : нет

       IP-адрес  . . . . . . . . . . . . : 10.192.100.179

       Маска подсети . . . . . . . . . . : 255.255.255.0

       Основной шлюз . . . . . . . . . . : 10.192.100.1

       DNS-серверы . . . . . . . . . . . : 10.192.100.179

     

    Gpresult  :

     


    Программа формирования отчета групповой политики операционной системы
    Microsoft (R) Windows (R) XP версии 2.0
    (С) Корпорация Майкрософт, 1981-2001

    Создано на 13.05.2008 в 18:10:44

     

    RSOP-результаты для SOF\test на URIST4 : Режим журналирования
    --------------------------------------------------------------

    Тип ОС:                     Microsoft Windows XP Professional
    Конфигурация ОС:            Рядовая рабочая станция
    Версия ОС:                  5.1.2600
    Имя домена:                 SOF
    Тип домена:                 Windows 2000
    Имя сайта:                  SOF
    Перемещаемый профиль:                    
    Локальный профиль:          C:\Documents and Settings\test
    Подключение по медленному каналу?:        Нет


    Конфигурация компьютера
    ------------------------
        CN=URIST4,CN=Computers,DC=sof,DC=test,DC=ru
        Последнее применение групповой политики:  13.05.2008 at 17:09:58
        Групповая политика была применена с:      AD-SOF.sof.test.ru
        Порог медленной связи групповой политики: 0 kbps

        Примененные объекты групповой политики
        ---------------------------------------
            SOF
            default   Domain Policy

        Следующие политики GPO не были приняты, поскольку они отфильтрованы
        --------------------------------------------------------------------
            Политика локальной группы
                Фильтрация:  Не применяется (пусто)

        Компьютер является членом следующих групп безопасности:
        -------------------------------------------------------
            Администраторы
            Все
            Пользователи
            URIST4$
            Компьютеры домена
            СЕТЬ
            Прошедшие проверку
           

    Конфигурация пользователя
    --------------------------
        CN=test,OU=Автоматизация,DC=sof,DC=test,DC=ru
        Последнее применение групповой политики:  13.05.2008 at 17:10:01
        Групповая политика была применена с:      AD-SOF.sof.test.ru
        Порог медленной связи групповой политики: 500 kbps

        Примененные объекты групповой политики
        ---------------------------------------
            default test   Domain Policy

        Следующие политики GPO не были приняты, поскольку они отфильтрованы
        --------------------------------------------------------------------
            SOF
                Фильтрация:  Не применяется (пусто)

            Политика локальной группы
                Фильтрация:  Не применяется (пусто)

        Пользователь является членом следующих групп безопасности:
        ----------------------------------------------------------
            Пользователи домена
            Все
            Пользователи
            ЛОКАЛЬНЫЕ
            ИНТЕРАКТИВНЫЕ
            Прошедшие проверку

    dcdiag показать с клиента или DC  ????

    и честно говоря не знаю что такое rsop.msc Smile

     

  •  

    rsop выдает именно, то что и не пошло...

    Он выдает.Т.е. применилась политика от sof.test.ru, но не пременилась политика от test.ru.

    Прошу заметить, что у политики из sof.test.ru приоритет выше(она стоит выше в  списке ) и политики не перекрываются! Т.е. меня интересует политика настроек Intenet Explorer которая должна распространяться из корневого test.ru

     

  • Бред какой-то.. rsop.msc показывает правильную политику, какая и должна примениться (настройки прокси сервера), но в Internet Explorer настроек прокси-сервера нет .......

  • А почему вы решили, что политики корневого домена наследуются дочерними?

    Отвечающий
  •  G14 написано:

    А почему вы решили, что политики корневого домена наследуются дочерними?

     

    Потому что политику корневого домена я добавил к политике дочерннего домена (правдо она по списку стоит ниже и соответственно может перекрываться дочерней)

  •  

    Политики доменами не наследуются, как справедливо отметил G14. Вы можете определить политику на уровне сайта, которая может распространяться на несколько доменов - это как раз наиболее удобно для задания параметров прокси-сервера.
    Модератор
  • Как именно вы ее добавляли?

    Привязка объекта политики может быть выполнена только в пределах его домена (домена, где объект находится). Чтобы привязать GPO к любым другим доменам, отличным от "родного" нужно либо делать экспорт\импорт объекта (то есть клонировать его) с пом. GPMC, либо линковать к сайту.

    Даже если вы "привязали"  GPO из парент домена к объекту в чайлд домене (самому чайлд домену или OU в нем) каким-либо GUI инструментом (например оснасткой AD U&C) - работать это не будет.

    Отвечающий
  •  G14 написано:

    Как именно вы ее добавляли?

    Привязка объекта политики может быть выполнена только в пределах его домена (домена, где объект находится). Чтобы привязать GPO к любым другим доменам, отличным от "родного" нужно либо делать экспорт\импорт объекта (то есть клонировать его) с пом. GPMC, либо линковать к сайту.

    Даже если вы "привязали"  GPO из парент домена к объекту в чайлд домене (самому чайлд домену или OU в нем) каким-либо GUI инструментом (например оснасткой AD U&C) - работать это не будет.

     

    хмм, странно. Именно через оснастку "ActiveDirectory - Пользователи и Компьютеры" и добавлял политику из корневого домена. И все прекрасно работает на остальных 5 доменах.

  • Видимо, принципиально работать будет, поскольку GPO container в AD ссылается на файловый template, расположенный на домен-контроллерах корневого домена. GPO, привязанные к сайтам, тоже размещают свои папки на контроллерах корневого домена, так что здесь принцип тот же. Однако обсуждаемая конфигурация относится к неподдерживаемым.

    Модератор
  •  osr. написано:

    Видимо, принципиально работать будет, поскольку GPO container в AD ссылается на файловый template, расположенный на домен-контроллерах корневого домена. GPO, привязанные к сайтам, тоже размещают свои папки на контроллерах корневого домена, так что здесь принцип тот же. Однако обсуждаемая конфигурация относится к неподдерживаемым.

     

    брррSmile вот те на  (я все делал по статье давно прочитанной)..   Smile

          Я правильно  понимаю, что правильно делать так :

    сперва нужно привязывать  общую политику к сайту, а уже потом вторую политику на конкретном DC дочернего домена в оснастке "ActiveDirectory - Пользователи и Компьютеры"

    ?????

  •  

    Именно так, поскольку политики домена, OU будут переопределать настройки, заданные на уровне сайта.

    При этом политики сайта назначаются через свойства сайта в Active Directory Sites and Services. Но не сомневаюсь, вы это знаете. 

    Модератор