Windows Server 2003 SP1
Active Direcory
есть подразделение VIP. В нём 5 users и 5 computers.
Через GPO хочу разрешить локальный вход на эти 5 компов только этим 5 пользователям, входящим в одну группу.
Это просто.
А вот как разрешить локальный вход на каждый комп определённого пользователя через GPO ?
т.е. на комп1 только пользователь1 и т.д.
Не создовая другие OU и другие GPO. В голову приходит WMI фильтр.
Спасибо.

Как вариант можно в свойствах пользователя указать с каких компьютеров он может работать и соответственно каждому пользователю прописать по одному компу.

Свойства учетной записи в AD - Account - Log on to... и прописываем каждому пользователю его компьютер.

AD - Account - Log on to... »
у меня много-много пользовотателей. я кучу времени убъю всем прописывать лог он ту...
а мне нужно, чтобы на эти компы заходили только эти пользователи. что бы эти пользователи могли заходить и на другие компы, а на их компы только они. т.е. не юзерская политика, а компутерная.

Если всего 5 компов - каждому политику Deny Log on locally - всем, кроме нужных людей.
У меня 100 компов, каждому пользователю определены компы, на которые они могут заходить. И зачем людям лазить по разным компьютерам? что бы эти пользователи могли заходить и на другие компы »

Им ограничения не прописывать, а всем остальным - да.

5 компов - каждому политику »
5 политик... а одной можно?

на их компы только они »
Если на 5 компов - всем можно, то - конечно.

всем можно »
надо подумать...
а вот в политиках есть фишка Security Filter: Authenticated Users по умолчанию. Какой смысл этого фильтра?
Т.е. если я укажу в GPO Log on localy ---- User1, а в фильтре User2 - то будет работать фильтр для User1 ?

Там же написано:
Can only apply to the following groups... и т.д.
Т.е. применяется только к содержащейся там группе пользователей (или отдельным пользователям)

Т.е. применяется только к содержащейся там группе пользователей (или отдельным пользователям) »
я могу указать вместо пользователей копьютеры ???

Да, если политика применяется в разделе "К компьютеру".

следующий вопрос:
есть 100 компов в разных OU, т.е. в каждом отделе кроме Юзерей ещё и компы.
мне нужно на тех 100 пользовтельских компах настроить брендмауер виндовый.
т.е. его включить, включить определённые исключения (RPD для админов, сети для админов).
Нужно сделать так, чтобы никто кроме админов не мог по сети зайти на пользовательские компы.
Даже если открыты шары (есть спец сервер для этого).
Реально ли это через GPO выполнить?

Конечно.
Управление брандмауэром Windows через групповые политики (http://www.interface.ru/home.asp?artId=4758)
Deploying Windows Firewall Settings With Group Policy (http://technet.microsoft.com/en-us/library/bb490626.aspx)

Управление брандмауэром Windows через групповые политики »
ооо копий этой статьи навалом. почитаемс...

нубский вопрос: http://exonix.ru/gpo-1.jpg
есть IT-отдел, и к нему GPO.
ниже есть "Для тестов" и на неё распрастраняется GPO. Так как мне отвязать ит-ую GPO от "для тестов" ?
и ещё, какая GPO будет главной? т.е. какая перезапишет политики в имеющемся случае?

вот и ответы.
- для блокировки нужно сделать так:
http://exonix.ru/gpo-2.jpg
как видно из рисунка, пропала и ит-ая GPO, и доменная GPO. Но мне нужно доменную GPO оставить.

Как быть?

- сначала примениться доменная политика, потом IT-ая, и так далее. Чем ниже OU, тем позже\главнее GPO.
Но, IT-gpo сказанно - локальный вход только группе Programmers и DomainAdmins. В тестовой GPO сказанно "локальный вход для DomainAdmins и Domain\test. Однако захожу в политики - Testa нет, и есть Programmers. Хотя гпапдейт /форс делал и комп ребутал клиентский.

нашёл, как отменить "запрет наследования" для доменной политики. Нужно где-то поставить NO Override... только не могу найти где. Написанно в Options, но там нет.
у меня GPMS установленно
Значит, что я сделал.
Зашёл на ДК без ГПМС, включил в опциях NO Override.
Зашёл на ДК с ГПМС, смотрю - включилась галочка напротив ENFORCED...
Вот как включить NO Override с установленным ГПМС.

так, значит одна GPO заблочена, доменная работает.
Дальше.
Настраиваю GPO для OU, которая перекроет доменную GPO если будут конфликты параметров.
Рза десять уже gpupdate /force и перезагрузка клиентской машины - политика не применяется.
Прошёл час - политиа "применилась", точнее только один параметр.
Я настроили брандмауер так:
http://exonix.ru/firewall.jpg
и применилось лишь: ремоут администрайшен - удалённый помошник.
а остальное не активно. ещё нужно подождать?

Вообще странно.
Не применяется политика. Брандмауер включен, исключения - нет. Да и включен он скоре всего админской учёткой.
Пожалуйста, покажите мне, что я делаю не так, почему политика не применяется?
Делаю Rsop, а там вообще ничего не понятно...

Какая операционка на клиентских компьютерах? Если w2000 то скорей всего они эту опцию не поддерживают.
Еще неплохо посмотреть, что показывает планируемая результирующая политика.
А также gpresult и ошибки эвентлога на клиентской машине.

Какая операционка на клиентских компьютерах? »
XP pro.