Войти

Показать полную графическую версию : Как создать исключения в групповой политике тольо для одного компа?


mr.R
03-03-2009, 16:17
Подцепил conficker/kido, и начитавшись разных умных мыслей, и в итоге, сделал как написано у майкрософта в http://support.microsoft.com/kb/962007:
Поставил обновления. Создал групповую политику, применил, работает.
Почти все компы пролечились автоматом, остальные руками. Все почти в норме.
Но есть компы удаленных филиалов, которые работают в нашей сети. Они были заражены конфикером до ее примения.
Итог, конфикер на них есть, висит в памяти, в процесс svchost. Kidokiller и McAfee его видят, но прибить не могут. т.к разрешения на запись в svchost отключены.
Как сделать исключения в примении групповых политик только для одно компа, так чтоб у него появилась возможность записи в реестр?
Или есть другие методы, которыми можно включить запись в реестре?
Домен рулится Win 2003, а лечние нужно на 5 компах с Win XP Pro SP2 и 4 с Win 2000 PRO SP4.

artem_
03-03-2009, 16:30
Создать отдельный Organization Unit, перенести туда этот комп, прицепить к этому OU политику. В этой политике дать разрешения на реестр. Или настроить локальную политику, она применяется последней и должна перекрыть все ваши полики.
Если не ошибаюсь, то проядок применения политик такой:
1. Политика сайта
2. Default domain policy
3. Политика подраделения (Organization Unit) в которм ваш комп/пользователь.
4. Локальная политика.

Delirium
04-03-2009, 02:38
А может проще запустить лечение на нужных компах от имени админа? насколько я помню в новой версии Kidokiller есть возможность невидимой проверки, ну и runas админ - и проблемы не будет.

Safety1st
12-03-2009, 20:57
artem_, ошибаетесь: Локальная политика применяется первой. Поэтому, если и создавать GPO, то в подразделении.

exo
13-03-2009, 01:55
Создать отдельный Organization Unit »
а можно создать группу безопасности Kido_computers и применить GPO только на неё... предварительно введя заражённые компьютеры в эту группу.

monkkey
13-03-2009, 09:00
В созданном OU поставить в свойствах групповой политики галку "Не перекрывать" (No override) и настроить по желанию.




© OSzone.net 2001-2012