Доброго дня.
Зашёл вот на один из рабочих серверов глянуть локальные политики безопасности.
И вот что увидел:

http://www.exonix.ru/locpol.jpg

Извините за терминалогию.
То что синими картинками - это от локальных политик. Это понятно.
А вот то, что я обвёл красными квадратиками - это от куда? я думаю, что это от дефолтной доменной политики.
Т.к. изменить там я ничего не могу.
Зашёл в доменную политику - действительно есть. Изменил. Выполнил GPUPDATE. Но в локальной политики параметры так и не поменялись.
Может нужно подождать? или я не прав насчёт доменной политики?

gpupdate /force

HLT, это вряд ли. То, что падает из домена, показывается оснасткой RSOP, а у автора не она на скриншоте. Так что имхо проблема в другом. А почему он изменить не может - вот это вопрос.

HLT, блин... что-то не понимаю.
Значит есть Локальные политики и Доменные Политики (про Политики ДК понятно).
Могу ли я повлиять доменными политиками на локальные ? Или нужно обойти каждый комп, что бы настроить локальные политики безопасности?
Dirk Diggler, смотрите, если я на голом домене зашёл в локалдьные политики, то эта политика с синим значком, а тут типа два сервера. Почему такой значёк, откуда он?
Это скрин не с ДК, а с сервера.

Вобще странно. Значит на Виртулке у меня есть ДК и Рабочая станция.
Через Доменные политьики безопасности разрешил вход локально Администраторам и user1.
Сделал gpupdate /force - и пытаюсь зайти на рабочюю станцию пользователем user2 - и вошёл

exo, так просто к сведенью политики применяются в следующем порядке L.S.D.OU или
L - локальные политики
S - политики сайта
D - политики всего домена
OU - политики организационной еденицы. если ОУ несколько то в иерархическом парядке.

групповые политики применяються при запуске ПК при входе пользователя в систему. по-умолчанию обнавляються каждые 90мин с 30мин разбросом, для того что все машины в домене через 90мин не ламонулись и не затопили запросами ДС.) это для рядовых ПК. для ДС политики обнавляются каждые 5мин. всё это конечно можно изменить через групповые политики.

wertyg, это всё понятно. вопрос в другом, почему меня на картинке локальной политики, политика имеет значёк "серверов", и я не могу изменить там ничего?
Или мне нужно для этого зайти не доменным пользователем, а локальным?
Вопрос ещё: LSDOU - если локальная политика запрещает RUN, а политика OU его разрешает, то будет RUN или нет?

ах да забыл сказать что политики перезаписываются. т.е.
сначала применяеться локальнаяПолитика. потом её замещает политикаСайта, потом политикаДомена, потом политики организационных едениц в иерархическом порядке. т.е. если у вас ОУ вложены один в одни тогда последняя применившаяся политика будет от самого ближайшего ОУ к обьекту политики. если политика "не Определена" это значит что действительным будет последнее определие или значение по-умолчанию.

если локальная политика запрещает RUN, а политика OU его разрешает, то будет »... то RUN будет разрешён.

вопрос в другом, почему меня на картинке локальной политики, политика имеет значёк "серверов", и я не могу изменить там ничего? »
потому что у контроллера домена нет локальной политики! у него есть политикаБезопасностиДомена и политикаБезопасностиКонтроллераДомена. всё зависит от того что ты хочеш изменить.

а вообще что ты схватился за обходПерекрёстнойПроверки? нах она тебе?

потому что у контроллера домена нет локальной политики! »
это скрин не с контроллера домена. а с рядового сервера приложений.
а вообще что ты схватился за обходПерекрёстнойПроверки? нах она тебе? »
это я к примеру.

политика имеет значёк "серверов", » - значит она назначена "сверху"
Каким именно ГПО назначен каждый параметр - можно увидеть в RSOP


почему он изменить не может - вот это вопрос. »вопрос не в том, что "не может", а в том что меняет - но не меняется.

Зашёл в доменную политику - действительно есть. Изменил. Выполнил GPUPDATE. Но в локальной политики параметры так и не поменялись. »
Поэтому надо gpupdate /force » на клиентской машине и не мучать мозг

на клиентской машине »
дык если клиентских больше 100 - только ждать 90 минут ?

вопрос не в том, что "не может", а в том что меняет - но не меняется. »
Нет, именно не может. Найдите у себя в локальной политике аналогичным образом выделенные параметры. Вы не сможете их изменить - чекбоксы неактивны

exo, групповые политики применяються при запуске ПК при входе пользователя в систему. по-умолчанию обнавляються каждые 90мин с 30мин разбросом, для того что все машины в домене через 90мин не ламонулись и не затопили запросами ДС.) это для рядовых ПК. для ДС политики обнавляются каждые 5мин. всё это конечно можно изменить через групповые политики. » но значения по-умолчанию там неспроста.

также для вступления политик в действие поможет перезагрузка.) или как говорит HLT, gpupdate /force » перезагрузку можно выполнить и удаленно с помощью команды shutdown.exe, а второе с помощью телнет сесии.

да согласен с HLT, если это рядовая станция политика пришла сверху, но странно потому как у меня такого нет, точнее в том месте где ты показываеш.) там все "неопределено".

а вообще неплохобы сначала определить организационную структуру, потом прикинуть какие политики и в каких местах нужны(при возможности посоветоваться с кем нибудь. за это кстати деньги берут.))) ), потом проверить ещё раз всё и только после этого поднимать домен, назначать ГПО, заводить пользователей.) недостежимая реальность.)

Нет, именно не может »
открываем глаза и читаем: Зашёл в доменную политику - действительно есть. Изменил. Выполнил GPUPDATE. Но в локальной политики параметры так и не поменялись »

Поэтому gpupdate /force »

Или начинаем учить автора темы правильно задавать вопросы.

потом проверить ещё раз всё и только после этого поднимать домен, назначать ГПО, заводить пользователей.) »
хм... всё дело в том, что домен-то уже поднят, вот и расхлёбываю...
HLT, я то всё понял, чтобы локальная политика изменилась (то что на скрине), нужно изменить доменную политику и gpupdate /forece на 100 компах или перезагрузить все 100 компа, или дождаться 90 минут, или изменить политику обновления политик хм... и снова первые два "или"... Это на этом сервер сразу увижу обновление, а на рабочих станциях нужно "или" - "или".

открываем глаза и читаем:
Цитата exo:
Зашёл в доменную политику - действительно есть. Изменил. Выполнил GPUPDATE. Но в локальной политики параметры так и не поменялись » »
Ну! А с какого перепуга они там должны измениться-то???? Чего вы удивляетесь-то? Что меняли доменную, а доменная и изменилась?
Вы локальную политику от RSOP отличаете? Это RSoP получается складыванием политик, а не локальная(которая есть отдельная сущность, с прочими GPO связана лишь косвенно).

чтобы локальная политика изменилась (то что на скрине), нужно изменить доменную политику »
Объясните, почему?

Объясните, почему? »
я исходил, что она перекроет локальную и пропишется там.
если это не подходит, то как мне изменить локальную политику, что на скрине?
точнее в том месте где ты показываеш.) там все "неопределено". »
я просто выделил эти парамтры для примера. на самом деле хочу поменять то, что выделенно синей строкой - Сетевой вход на комп.
Вы локальную политику от RSOP отличаете? »
отличаю, не беспокойтесь.

exo,
Воспользуйтесь консолью GPMC, где в наглядном виде представлены выигрывающие политики для компьютера.

Воспользуйтесь консолью GPMC, где в наглядном виде представлены выигрывающие политики для компьютера. »
я понимаю, что он покажет последнии политики которые применятся. Кстати как это в ГПМС посмотреть, для определёного компьютера?
мне нужно не увидеть какие есть, а изменить то, что на скрине. Если это меняется не через доменные политики, то как?

Group Policy Results - можно посмотреть применение на любой компьютер или пользователя.
мне нужно не увидеть какие есть, а изменить то, что на скрине »
Думаю, для начала надо узнать ДЕЙСТВУЮЩИЕ на компьютер политики.

Думаю, для начала надо узнать ДЕЙСТВУЮЩИЕ на компьютер политики »
мне не нужно знать какие есть, а нужно узнать почему я не могу поменять локальные политики безопасности сервера, даже если они переписываются другими политиками.