none
Не обновляется политика RRS feed

  • Вопрос

  •  

    На DC, под управление Win2k3 SP2, открываю оснастку Group Policy Managment и редактирую Default Domain Controllers Policy.

    В Computer Configuration->Windows Settings->Local Policy правлю Audit Object Access. Было Failure ставлю Success, Failure.

     

    Закрываю... В cmd пишу gpupdate /force. Все ок.

     

     Далее смотрю rsop.msc. Захожу в Computer Configuration->Windows Settings->Local Policy и вижу, что Audit Object Access стоит Failure. В колонке Source GPO тоит Default Domain Controllers Policy.

     

    Я немного подождал... Ничего. политика не меняется. Подскажите, в чем может быть дело?

    18 декабря 2007 г. 10:33
    Модератор

Ответы

  •  M.S.D. [mdanshin] написано:
    Как в этом случае поступить?
    Так ответ-то на поверхностиWink.

    Хотя бы скопируйте этот шаблон из любой другой политики...

    11 января 2008 г. 20:40

Все ответы

  • Контроллер домена один?

    18 декабря 2007 г. 12:49
  •  Stаnky написано:

    Контроллер домена один?

    Много. Политика редактируется на том сервере с каторого она потом скачивается.

    19 декабря 2007 г. 9:56
    Модератор
  • Тогда попробуйте обновить политику, принудительно произвести репликацию и проверьте...

    19 декабря 2007 г. 10:00
  •  Stаnky написано:

    Тогда попробуйте обновить политику, принудительно произвести репликацию и проверьте...

    Хм... Мне кажется, что gpupdate /force этим и занимается. Принудительно обновляет политику и предлагает перезагрузится в случае необходимости. Я не прав? А репликация не нужна т.к. политика применяется с того же сервера - это видно из вывода команды gpresult.

    19 декабря 2007 г. 10:06
    Модератор
  •  M.S.D. [mdanshin] написано:
    Хм... Мне кажется, что gpupdate /force этим и занимается.
    Под "обновить" я имел в виду изменить значение в политике.

     

     M.S.D. [mdanshin] написано:
    Принудительно обновляет политику и предлагает перезагрузится в случае необходимости. Я не прав?
    Безусловно правы.

     

     M.S.D. [mdanshin] написано:
    А репликация не нужна т.к. политика применяется с того же сервера - это видно из вывода команды gpresult.
    А вы всё же попробуйтеWink...

    Кстати, с репликацией-то, надеюсь всё в порядке?

    19 декабря 2007 г. 10:27
  •  Stаnky написано:

     M.S.D. [mdanshin] написано:
    Хм... Мне кажется, что gpupdate /force этим и занимается.
    Под "обновить" я имел в виду изменить значение в политике.

    Делал так...

     

     Stаnky написано:

    Кстати, с репликацией-то, надеюсь всё в порядке?

    Да, и политика репицируется. Я проверял.
    19 декабря 2007 г. 10:31
    Модератор
  • Ну и чем всё заканчивается? Значение так и остаётся?

    19 декабря 2007 г. 10:42
  •  Stаnky написано:

    Ну и чем всё заканчивается? Значение так и остаётся?

    Да.

    19 декабря 2007 г. 10:55
    Модератор
  • Тьфу, так вы на контроллере домена это смотрите!

    В таком случае дуйте в политику Default Domain Controllers PolicyWink...

    19 декабря 2007 г. 11:42
  •  Stаnky написано:

    Тьфу, так вы на контроллере домена это смотрите!

    Что именно?

     

     Stаnky написано:

    В таком случае дуйте в политику Default Domain Controllers Policy...

    Об этой политике и идет речь...
    19 декабря 2007 г. 12:17
    Модератор
  •  M.S.D. [mdanshin] написано:
    Что именно?
    Результат применения. Кстати, посмотрите его через Gpedit.msc...

     

     M.S.D. [mdanshin] написано:
    Об этой политике и идет речь...
    Что ж со мной такоеSmile...

     

    Вы применяете эту политику именно к контроллерам? Эта политика имеет наивысший приоритет? Результат вы смотрите так же на контроллерах? Контроллеры из соответствующей OU ни куда не переносились (мало ли)? Чем политики правите? GPMC?

    В файле ...\SYSVOL\sysvol\...\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf какое значение у AuditObjectAccess? Вам нужно 3.

    19 декабря 2007 г. 12:25
  •  Stаnky написано:

     M.S.D. [mdanshin] написано:
    Что именно?
    Результат применения. Кстати, посмотрите его через Gpedit.msc...

     

     M.S.D. [mdanshin] написано:
    Об этой политике и идет речь...
    Что ж со мной такое...

     

    Вы применяете эту политику именно к контроллерам? Эта политика имеет наивысший приоритет? Результат вы смотрите так же на контроллерах? Контроллеры из соответствующей OU ни куда не переносились (мало ли)? Чем политики правите? GPMC?

    В файле ...\SYSVOL\sysvol\...\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf какое значение у AuditObjectAccess? Вам нужно 3.

    Коллега, признателен вам за помощь, которую вы оказываете. Но на многие наводящие вопросы ответы в первом моем посте. Wink

    Вы знакомы с утилитой rsop.msc? Она снимает много вопросов.

    20 декабря 2007 г. 7:20
    Модератор
  •  

    Если на машине установлено два или несколько сетевых интерфейсов, то исправить можно поменяв их порядок в Сетевые подключения -->Дополнительно-->Дополнительные параметры-->Подключения и там выставить первым интерфейс, который смотрит в локалку.
    20 декабря 2007 г. 9:51
  •  M.S.D. [mdanshin] написано:
    Но на многие наводящие вопросы ответы в первом моем посте.
    Но не на всеWink.

     

     M.S.D. [mdanshin] написано:
    Вы знакомы с утилитой rsop.msc?
    ЗнакомSmile.

     

    Оказывается, как раз из вашего первого поста я и увидел политику Default Domain Policy! Если выставить аудит в ней, то всё нормально применяется? Почему в вашем случае она получилась более приорететной, чем Default Domain Controllers Policy?

    20 декабря 2007 г. 12:01
  •  Stаnky написано:

    Оказывается, как раз из вашего первого поста я и увидел политику Default Domain Policy! Если выставить аудит в ней, то всё нормально применяется? Почему в вашем случае она получилась более приорететной, чем Default Domain Controllers Policy?

    Это очепятка. Имелось в виду Default Domain Controllers Policy.

     

    Причем если смотреть через Group Policy Results то видно, что Revision данной политики одинаковый и в AD и в SYSVOL.

     

    Бред какой то...

    20 декабря 2007 г. 14:51
    Модератор
  • Появились новые данные по делу...

     

    Скачал и установил Group Policy Diagnostic Best Practice Analyzer for Windows Server 2003. Он мне сказал, что "enterprise domain controller does not have apply group policy permission on default domain controllers policy". Вот он, корень зла.

     

    Действительно! Не стояла галка Apply Group Policy!

     

    28 декабря 2007 г. 10:32
    Модератор
  • Час от часу не легче...

     

    Новые проблемы и политика все же не применяется

     

    Проблема

     

    Так и не понял, что делать... Секции [strings] нет ни в одном *.adm файле.

    28 декабря 2007 г. 12:28
    Модератор
  •  M.S.D. [mdanshin] написано:
    Час от часу не легче...

     

    Новые проблемы и политика все же не применяется

     

    Проблема

     

    Так и не понял, что делать... Секции [strings] нет ни в одном *.adm файле.

    Коллеги! Не поможете разобраться с этой проблемой? Я в тупике...

    9 января 2008 г. 15:37
    Модератор
  •  M.S.D. [mdanshin] написано:
    Так и не понял, что делать... Секции [strings] нет ни в одном *.adm файле.
    Так и он вам о том жеWink.

     

    В файле Inetres.adm должно быть следующее содержимое:

    Образец кода

    [strings]
    GPOnly_Tip1="The Inetres.adm file you have loaded requires Group Policy"
    GPOnly_Tip2="in Windows 2000.  You cannot use the System Policy Editor"
    GPOnly_Tip3="to display Windows 2000 Group Policy settings."
    GPOnly_Tip4="  "
    GPOnly_Tip5="Enabling or disabling this policy has no effect."
    GPOnly="Unsupported Administrative Templates"
    GPOnlyPolicy="Inetres.adm"

     

    WindowsComponents="Windows Components"
    InternetExplorer="Internet Explorer"

     

    EnableTabs="Internet Control Panel"
    ControlPanel_RestrictGeneralTab="Disable the General page"
    ControlPanel_RestrictSecurityTab="Disable the Security page"
    ControlPanel_RestrictContentTab="Disable the Content page"
    ControlPanel_RestrictConnectionsTab="Disable the Connections page"
    ControlPanel_RestrictProgramsTab="Disable the Programs page"
    ControlPanel_RestrictPrivacyTab="Disable the Privacy page"
    ControlPanel_RestrictAdvancedTab="Disable the Advanced page"
    ControlPanel_RestrictAdvanced="Disable changing Advanced page settings"

    ...

     

    10 января 2008 г. 21:38
  • Ну тогда я вообще ничего не понимаю.

     

    1. Почему во ВСЕХ моих политиках нет секции [strings]?

    2. Что мне теперь делать?

     

    11 января 2008 г. 8:44
    Модератор
  •  M.S.D. [mdanshin] написано:

    Ну тогда я вообще ничего не понимаю.

     

    1. Почему во ВСЕХ моих политиках нет секции [strings]?

    2. Что мне теперь делать?

     

    Насчет ВСЕХ - это я погорячился...  Везде она как раз есть. А тут создается такое впечатление, что файл битый и просто прерывается по середине. Как в этом случае поступить?

    11 января 2008 г. 12:51
    Модератор
  •  M.S.D. [mdanshin] написано:
    Как в этом случае поступить?
    Так ответ-то на поверхностиWink.

    Хотя бы скопируйте этот шаблон из любой другой политики...

    11 января 2008 г. 20:40
  •  Stаnky написано:

     M.S.D. [mdanshin] написано:
    Как в этом случае поступить?
    Так ответ-то на поверхности.

    Хотя бы скопируйте этот шаблон из любой другой политики...

    Это я и хотел услышать. Просто не был уверен, что так можно поступать.

     

    Переписал, все работает. Выходит, что из-за такой ошибки вся политика была не читаема. Как же так?

    14 января 2008 г. 7:56
    Модератор
  •  M.S.D. [mdanshin] написано:
    Это я и хотел услышать. Просто не был уверен, что так можно поступать.
    Конечно, можно - это же всего лишь шаблон.

     

     M.S.D. [mdanshin] написано:
    Переписал, все работает. Выходит, что из-за такой ошибки вся политика была не читаема. Как же так?
    Конечно, странно ибо этот шаблон вообще не имеет отношения к аудиту! Нужно более детально разобраться, как проиходит обработка политик. Создаём политику, удаляем из шаблона [strings] и смотрим, что происходит... Если поведение такое же, как в вашем случае, значит такого рода ошибка отменяет всю политику, если же политика применяется, значит проблема была не только в отсутствии [strings].

    14 января 2008 г. 10:04