|
|
|
Скрипты для входа в домен
|
|||
|---|---|---|---|
|
#18+
GusetДавайте на конкретном примере Пробелы съелись, на словах - вхождение OU и учетных записей: OU_1-OU_2-Comp_1 OU_1-OU_3-Comp_3 OU_1-OU_3-User_4 ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 14.02.2007, 09:35:52 |
|
||
|
Скрипты для входа в домен
|
|||
|---|---|---|---|
|
#18+
Спасибо, сейчас попробую нарисовать подобное для своей тестовой схемы. Насколько я понимаю, для User_4, входящего в домен с компьютера Comp_3, результирующая политика будет GP_1 для компьютера, политика GP_3 для компьютера, переопределяющая настройки предыдущей политики GP_1, и GP_1 для пользователя. Верно? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 14.02.2007, 09:44:22 |
|
||
|
Скрипты для входа в домен
|
|||
|---|---|---|---|
|
#18+
OrlicСпасибо, сейчас попробую нарисовать подобное для своей тестовой схемы. Насколько я понимаю, для User_4, входящего в домен с компьютера Comp_3, результирующая политика будет GP_1 для компьютера, политика GP_3 для компьютера, переопределяющая настройки предыдущей политики GP_1, и GP_1 для пользователя. Верно? Верно. И как Вы видите в настройке политик не существует "конфигурации групп пользователей" А есть только "Конфигурация компьютера" и "Конфигурация пользователя" - поэтому чтобы в OU вы не помещали кроме как на пользователей или на компьютеры политики действовать не будут. Группы для доступа сетевого пожалуй остаются (на папку или ресурс в сети) Например Создать группу под названием "Группа доступа к принтеру HP5500" и этой группе дать доступ на принтер и все входящие в группу будут получать доступ на этот принтер (какой доступ - как зададите) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 14.02.2007, 09:54:59 |
|
||
|
Скрипты для входа в домен
|
|||
|---|---|---|---|
|
#18+
OrlicСпасибо, сейчас попробую нарисовать подобное для своей тестовой схемы. Насколько я понимаю, для User_4, входящего в домен с компьютера Comp_3, результирующая политика будет GP_1 для компьютера, политика GP_3 для компьютера, переопределяющая настройки предыдущей политики GP_1, и GP_1 для пользователя. Верно? нет, неверно ... давайте поаккуратнее с терминологией ... на пользователя не влияет политика компутера, пользователь может только попасть в среду, созданную на компутере политикой компутера ... для наглядности пользуйтесь утилитой gpresult: gpresult /scope user gpresult /scope computer ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 14.02.2007, 11:01:38 |
|
||
|
Скрипты для входа в домен
|
|||
|---|---|---|---|
|
#18+
Biz© OrlicСпасибо, сейчас попробую нарисовать подобное для своей тестовой схемы. Насколько я понимаю, для User_4, входящего в домен с компьютера Comp_3, результирующая политика будет GP_1 для компьютера, политика GP_3 для компьютера, переопределяющая настройки предыдущей политики GP_1, и GP_1 для пользователя. Верно? нет, неверно ... давайте поаккуратнее с терминологией ... на пользователя не влияет политика компутера, пользователь может только попасть в среду, созданную на компутере политикой компутера ... для наглядности пользуйтесь утилитой gpresult: gpresult /scope user gpresult /scope computer Именно так. Только я пользуюсь не gpresult, а вкладкой Group Policy Results оснастки Group Policy Managment, в которой получаю наглядный HTML отчет о том, какую результирующую политику я получу для данного юзера на данном компьютере. Собственно, технологию назначения GP я понял так. Групповые политики можно назначать как на OU полностью, на группы пользователей, так и на единичные объекты (пользователи или компьютеры). Создавая одну групповую политику (включающую себя настройки для пользователя и для компьютера), я должен ее "приписать" пользователю / группе пользователей / OU (распространяется на пользователей пользовательская часть GP) и обязательно привязать ее к компьютерам (распространяется компьютерная часть GP), даже если эти компьютеры входят в OU. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 14.02.2007, 11:56:25 |
|
||
|
Скрипты для входа в домен
|
|||
|---|---|---|---|
|
#18+
Orlic Собственно, технологию назначения GP я понял так. Групповые политики можно назначать как на OU полностью, на группы пользователей, так и на единичные объекты (пользователи или компьютеры). Не так !!! групповые политики можно назначать на следующие объекты (в порядке повышения приоритета): Local Group Policy Site Domain Parent OU OU При этом Вы не можете назначить групповую политику непосредственно на встроенный Контейнер USERS и COMPUTERS (фактически можно и на эти контейнеры наложить политику - накладывая ее на Domain) Поэтому Ваше утверждение, что ГП можно назначить "на группы пользователей, так и на единичные объекты (пользователи или компьютеры)" НЕ ВЕРНО , ГП можно назначить на OU, который будет содержать в себе пользователей и\или компьютеры - на которые применится ГП в соотвествии с тем как она задана Orlic Создавая одну групповую политику (включающую себя настройки для пользователя и для компьютера), я должен ее "приписать" пользователю / группе пользователей / OU (распространяется на пользователей пользовательская часть GP) и обязательно привязать ее к компьютерам (распространяется компьютерная часть GP), даже если эти компьютеры входят в OU. Нет ничего строго обязаьельного - делаете так как Вам это необходимо для решения поставленной задачи. Например для работоспособности настроек касающихся WSUS, достаточно задать только в " Конфигурации Компьютера " нужные параметры и применить эту созданную ГП на родительский OU (внутри которого, скажем, будут созданы еще OU, которые в свою очередь будут содержать только "Компьютерные учетные записи"), а все " Пользовательские учетные записи " будут находится в Контейнере USERS и на них будет действовать только Доменная ГП. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 14.02.2007, 13:56:33 |
|
||
|
Скрипты для входа в домен
|
|||
|---|---|---|---|
|
#18+
Вот выдержки из "Полное руководство Microsoft Windows Server 2003" (Рэнд Моримото, Кентон Гардиньер и другие), SAMS, 2006 г., по которой я и начал изучение AD: книга касательно OU ... основной причиной создания OU в среде AD является ... делегирование администрирования. ... Для правильного функционирования таких служб, как Group Policies, зависящих от функциональности OU, рекомендуется переместить объекты пользователей и компьютеров из их стандартных контейнеров в структуры OU... книга касательно групповых политик ... групповые политики можно применять к группам пользователей, что устраняет необходимость создания OU именно для этой цели... ... Групповые политики пожно применять к сайтам, доменам и организационным единицам, но их можно сконфигурировать и для применения к конкретным группам. Про пользователей я ошибся, признаюсь. Однако в прилагаемом мною рисунке в окне Security Filtering однозначно написано: Код: plaintext 1. Guest Например для работоспособности настроек касающихся WSUS, достаточно задать только в "Конфигурации Компьютера" нужные параметры и применить эту созданную ГП на родительский OU (внутри которого, скажем, будут созданы еще OU, которые в свою очередь будут содержать только "Компьютерные учетные записи"), а все "Пользовательские учетные записи" будут находится в Контейнере USERS и на них будет действовать только Доменная ГП. Доменную политику по умолчанию "трогать" не рекомендуется. Поэтому я создал политику GP_CAPITAL, в OU=CAPITAL, в ней есть настройки и для компьютера, и для пользователя. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 15.02.2007, 15:04:39 |
|
||
|
|
start [/forum/topic.php?fid=26&msg=34329396&tid=1508094]: |
0ms |
get settings: |
8ms |
get forum list: |
9ms |
check forum access: |
2ms |
check topic access: |
2ms |
track hit: |
84ms |
get topic data: |
11ms |
get forum data: |
3ms |
get page messages: |
54ms |
get tp. blocked users: |
1ms |
| others: | 209ms |
| total: | 383ms |
| 0 / 0 |
