| Предыдущая тема :: Следующая тема |
| Автор |
Сообщение |
PolAR
Зарегистрирован: 01.11.2004
Сообщения: 133
|
 Добавлено: Ср Фев 02 2005 06:51 Заголовок сообщения: Политики безопасности в AD |
 |
|
Нахожусь в процессе развертки АД (уже неделю) -
< контроллер на Windows 2000 Server, все клиенты Windows 2000 Pro, в Naitive режим не перевел, не понимаю нафига >-
и столкнулся со следующей проблеммой:
1) Хотелось бы уточнить ( кто знает ответьте ОБЯЗАТЕЛЬНО!!!):
Есть 3 вида политик на контроллере:
1. Локальная политика безопасности - (как я понимаю осталаась от тех времен када комп не являлся контроллером)
2. Политика безопасности домена - при входе в домен она накладывается на клиентов ( а может и на контроллер) и в случае чего (конфликта) перекрывает локальные политики клиентов (? и контроллера ?)
3. Политика безопасности контроллера - применяется
тока к контроллеру
2) Теперь к конкретной проблемме: Када тока поставил завел 2 группы пользователей ( пусть Г1 и Г2).
в Г1 нах. пользователь П11, в Г2 - П21,П22,П23
в итоге все могли заходить на клиентские машины
Возникла необходимость чтобы юзеры Г2 имели право входа на контроллер домена. Я слегка поторопился ( вроде читал что политики применяются не сразу) и во всех вышеописанных политиках разрешил локальнй вход Г2, всем Админам.
После этого юзер группы Г1 не может зайти на клиентов - сообщение: "Интерактивный вход на данном компьютере запрещен локальной политикой", при етом Г2 и админы прекрасно на клиентов заходят
ПРИЧЕМ есть такой забавный момент - если войти админом на клиента и выставить разрешения локального входа для Г1 то он начинает на конкретном компе входить, но если зайти админом еше раз - ВСЕ - не входит
БУДУ ОЧЕНЬ БЛАГОДАРЕН ЗА ВСЯЧЕСКИЕ ИСПРАВЛЕНИЯ И СОВЕТЫ[/b]
_________________
Come Together!! Right Now.... |
|
| Вернуться к началу |
|
 |
and3008
Зарегистрирован: 12.10.2001
Сообщения: 14893
Откуда: Н.Новгород
|
| Добавлено: Ср Фев 02 2005 20:47 Заголовок сообщения: |
|
|
Локальная политика - применяется к компу. Это типа свой личный забор.
Политика домена - распространяется на членов домена (рабочие станции и серверы, которые не контроллеры)
Политика для контроллеров - распространяется на все контроллеры домена.
Приоритет всегда имеет локальная политика. Свой забор - всегда лучше. 
А с политиками ты явно поторопился. Надо открывать/закрывать ту калитку, которую надо, а не все подряд. |
|
| Вернуться к началу |
|
|
Arkov
Зарегистрирован: 01.11.2002
Сообщения: 622
|
| Добавлено: Пт Фев 04 2005 12:34 Заголовок сообщения: |
|
|
| and3008 писал(а): | Локальная политика - применяется к компу. Это типа свой личный забор.
Политика домена - распространяется на членов домена (рабочие станции и серверы, которые не контроллеры)
Политика для контроллеров - распространяется на все контроллеры домена.
Приоритет всегда имеет локальная политика. Свой забор - всегда лучше. |
осмелюсь не согласится, в домене приоритетными являются доменные политики, они перекрывают локальные |
|
| Вернуться к началу |
|
|
Andy_user
Зарегистрирован: 03.12.2003
Сообщения: 382
Откуда: Санкт-Петербург
|
| Добавлено: Пт Фев 04 2005 12:39 Заголовок сообщения: |
|
|
| Цитата: | | "... система применяет политики в определенном порядке. Сначала применяется локальная политика, затем политика узла (Sites), затем доменная политика (Domain) и, наконец, политика контейнера OU (Organization Unit). Порядок применения политик часто обозначают последовательностью символов (L,S,D,OU). Если локальная политика конфликтует с политикой узла, домена или контейнера, она всегда проигрывает, другими словами, в процессе применения политик локальная политика обладает наименьшим приоритетом...." |
С.Тейт "Windows 2000 для системного администратора"
_________________
Знание принципов компенсирует незнание фактов. |
|
| Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001
Сообщения: 14893
Откуда: Н.Новгород
|
| Добавлено: Пт Фев 04 2005 20:18 Заголовок сообщения: |
|
|
Ага.
Перепутал я.
Извиняйте. |
|
| Вернуться к началу |
|
|
PolAR
Зарегистрирован: 01.11.2004
Сообщения: 133
|
| Добавлено: Пн Фев 07 2005 19:50 Заголовок сообщения: |
|
|
Спасибо!
Я сделал! НО!! Мне кажется and3008 не зря "перепутал":
Работать стало после того как я прописал разрешение на локальный вход в локальной политике безопасности, до этого разрешение стояло в доменной, но войти было нельзя.
Правда я не пробовал (но обязательно попробую, если вы мене раньше не просвятите) что будет если в доменной запретить а в локальной разрешить!
_________________
Come Together!! Right Now.... |
|
| Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001
Сообщения: 14893
Откуда: Н.Новгород
|
| Добавлено: Пн Фев 07 2005 21:01 Заголовок сообщения: |
|
|
Я, конечно, могу ошибаться, давно в АД не ходил.
Там где-то в доменной политике была галочка я-ля "перекрывать другие политики". Видимо ты ее не поставил, политика и не применилась.
Еще возможно у тебя комп просто не применяет доменные политики. Глянь в журнал событий на предмет красных и желтых значков. |
|
| Вернуться к началу |
|
|
DeLirius
Зарегистрирован: 28.01.2005
Сообщения: 11
Откуда: TLT
|
| Добавлено: Вт Фев 08 2005 14:13 Заголовок сообщения: |
|
|
напомните плизз как применить быстро политики?? чета там ....forse....
_________________
тяжела и неказиста жизнь IT-специалиста |
|
| Вернуться к началу |
|
|
watcher
Зарегистрирован: 14.05.2004
Сообщения: 114
|
| Добавлено: Вт Фев 08 2005 15:39 Заголовок сообщения: |
|
|
смотря где...
В Win2k: secedit /refreshpolicy machine_policy /enforce
В WinXP: gpupdate /force
_________________
читаем мануалы и делаем бэкапы! |
|
| Вернуться к началу |
|
|
|
FAQ 
Поиск 
Пользователи 
Группы
Регистрация
Профиль 
Войти и проверить личные сообщения 
Вход 
