Архив форумов ЦИТФорума

[Art1]

Проблема такая:
В Консоли MMC в Групповой политике пытаюсь настраивать Конфигурацию пользователя. На некоторых компах настройки применяются только к юзерам, неважно под аккаунтом этого юзера ты зашел или под админом. А на других - применяются и к админу, что очень неудобно: чтобы реально ограничить юзера надо настроить так, что не поправишь потом! Единственная причина, которая может по-моему быть - на тех компах где применяется ко всем, система стоит на FAT32, а на тех где не ко всем - на NTFS.

[Rosst]

2Art1
каких конкретно параметрах политики идет речь, может дело в пермишенах НТФС? Какие ОСи стоят на машинах где ФАТ32?
_________________
-- Doom spiro spero! --

[Гость]

На всех компах Вин2000.
Админ - только в Администраторах

[Rosst]

2Art1
я Вас все-таки еще раз попрошу уточнить, какие конкретно параметры политики не накладываются (точнее накладываются на всех)? Я правильно понял - Вы настраиваете политики по группам, что при этом в политике домена?
_________________
-- Doom spiro spero! --

[Art1]

2Rosst
Настраиваю групповые политики. На всех накладываются изменения типа: Запрет изменения рабочего стола, отключение коммандной строки. Это для примера, я еще и другие запреты пробовал - все накладываются на всех!!

Еще - ты не знаешь, как вообще нормально этой оснасткой в идеале пользоваться: МОИ ВАРИАНТЫ:
1) надо зайти под юзером которого хочешь ограничить и с пом. этой оснастки ограничиваешь ( ибо в книге по Win2000 Pro написано, что изменения вносятся в раздел HK_Current_User. В этом свете ваще непонятно почему налагаются на всех ) - так я проюовал тока на FAT32 и эффект тот же - на ВСЕХ.
2) Из-под админа выполняешь необходимые ограничения и - все юзеры, не причисленные к админам, обламываются и на всех накладывается ограничение.

Буду очень благодарен за объяснения!

[Rosst]

Для начала еще одно уточнение - о чем мы говорим? Речь идет о Active Directory или ты настраиваешь политики на каждой локальной машине под локальным админом?

[Art1]

Настраиваю GPO под локальным админом. К своему стыду до сих пор четко не представляю как делать с помощью Active Directory.
кстати, может посоветуешь литературу?

[Rosst]

в сети гед есть домен на базе вин2000 и более, настраивать групповые политики для юзеров локально - ето не дело. Если есть АД, то - топаешь на контроллер домена (или входишь удаленно), стартуешь оснастку "АД - пользователи и компьютеры". Внутри АД обьекты располагаются в иерархии - по умолчанию GPO существует для всего домена и для контроллеров домена. Политика домена влияет на всех пользователей домена и компьютеры - некоторые параметры задаются только на етом уровне. Но для более удобной работы GPO можно настраивать и над OU. Создав OU - туда можно переместить нужных пользователей (или компы) и задать все что нужно в GPO для этой единицы. Также необходимо учитывать перекрытие политик.
Вобщем покапайся - впринципе, ничего сложного в этом нет. Книгу в данную секунду могу порекомендовать одну, потому что лежит под рукой =) - "Microsoft Windows Server 2003 Справочник администратора" от Ч. Рассела, Ш. Кроуфорд и Д. Джеренда ,Эком 2004 (Microsoft Press). Книга хорошая, есть много лишнего (как без этого), но много вещей подробно объяснены. Стоимость не самое приятное качество данной книги, но если правильно себя поставить - руководство само тебе ёё купит =), как и вышло в моем случае. А вообще то, подойдет любая книга посвященная MS Win Server 2000 или 2003 - про AD там точно должно быть, без этого никак.... Но вот уровень подачи матеръяла может существенно различаться.
_________________
-- Doom spiro spero! --

[Art1]

2Rosst - спасибо, буду пробовать.
Кстати, на компах с исключительно Win2000 Pro, можно развернуть AD?