Здравствуйте!
Сервер 2003.
Проблема с GPO. Использую GPMC. Взял политику с Domain Controllers под название Default Domain Controllers Policy, создал копию и установил ее на в корень домена. Что хочу добиться - проставить настройки, общие для других OU в домене. Каждой OU присвоена своя GPO.
Теперь при заходе в систему пишется, что Интерактивный вход запрещен локальными политиками. Подскажите, где разблокировать это.
Чтобы обойти это, просто удалил описанную выше GPO. Дал команду gpupdate, но политика перестала действовать только спустя 10 минут. Можно ли ускорить процесс применения этих политик.

Спасибо.

Теперь при заходе в систему пишется, что Интерактивный вход запрещен локальными политиками. Подскажите, где разблокировать это. »
Вполне разумная мера безопасности для серверов :)

Применить к корню домена политику "Default Domain policy", и впредь назначать куда либо производные от неё.
Ибо в политике для контроллеров доменов может быть много других запретов,*которые на рабочих станциях вызовут большие неудобства.


Можно ли ускорить процесс применения этих политик. »
Запускать данную программу с ключом /force (полный список ключей выводится ключом /?)

Default Domain Controllers Policy должна быть привязана к OU domain controllers
Зачем вы привязали эту политику к корню домена?

при заходе в систему пишется, что Интерактивный вход запрещен локальными политиками »
Значение параметра "Локальный вход в систему" по умолчанию:

На рабочих станциях и серверах:
"Администраторы",
"Операторы архива",
"Опытные пользователи",
"Пользователи",
"Гость".

На контроллерах домена:
"Операторы учета",
"Администраторы",
"Операторы архива",
"Операторы печати",
"Операторы сервера".


По поводу частоты обновления групповой политики -

По умолчанию, пользовательские групповые политики обновляются в фоновом режиме каждые 90 минут, со случайным смещением времени обновления на интервал от 0 до 30 минут.

Можно задать периодичность обновления от 0 до 64800 минут (45 дней). Если указана периодичность в 0 минут, компьютер пытается обновлять групповую политику каждые 7 секунд. Однако, поскольку обновления могут мешать нормальной работе пользователя и увеличивают сетевой трафик, очень короткие интервалы обновления использовать не рекомендуется.

Помимо команды gpupdate /force форсировать обновление ГП можно перезагрузкой и/или перелогиниванием (в зависимости от измененных параметров ГП) .

В итоге, как правильно указали выше, сносите со всех OU копию политики Default Domain Controllers Policy (разумеется кроме самих контроллеров домена) и назначайте новую, указывая только те параметры, которые вам нужны

Default Domain Controllers Policy должна быть привязана к OU domain controllers
Зачем вы привязали эту политику к корню домена? »

Делаю, но эта политика не применяется. Например, делаю в Сообщение для пользователей при входе в систему. Но я не вижу никакого сообщения. А если в корень домена кинуть эту политику, то ОК.

Сообщение для пользователей при входе в систему »
Для этого сделайте отдельную политику, привяжите куда вам надо,потом сообщите результат.
Default Domain Controllers Policy верните линк по умолчанию к OU Domain controllers

Значение параметра "Локальный вход в систему" по умолчанию:
Цитата:
На рабочих станциях и серверах:
"Администраторы",
"Операторы архива",
"Опытные пользователи",
"Пользователи",
"Гость".
На контроллерах домена:
"Операторы учета",
"Администраторы",
"Операторы архива",
"Операторы печати",
"Операторы сервера". »

Т.е правый щелчок мышью по названию домена, далее Link and ...GPO, выбираю Default Domain policy. Редактирую ее, в Конфигурации компьютера в Назначении прав пользователя, далее Локальный вход в систему, вот здесь каких пользователей нужно прописать.
Данные настройки делаются на контроллере домена для того чтобы на рабочих станция не было сообщения Интерактивный вход запрещен локальными политиками и происходил вход в домен.

Спасибо.

Т.е правый щелчок мышью по названию домена, далее Link and ...GPO, выбираю Default Domain policy. Редактирую ее »
Нет, не так - не стоит трогать существующую политику. Лучше создать новую и ее править. Для этого ПКМ на Group Policy Objects, затем New. Здесь надо будет указать имя для новой ГП (например GPO1). Правишь нужные тебе параметры в GPO1. Затем ПКМ на названии домена, Link and Existing GPO и указываешь GPO1. Только учти, что если на OU Domain Controllers не стоит Block Inheritance (блокирование наследования) или на ГП, применяемой для всего домена, стоит Enforced (не перекрывать) то данная ГП политика будет применяться в том числе и к контроллерам домена, что может привести к неприятным результатам. Поэтому лучше пользователей разнести по разным OU и GPO1 применять к конкретным OU.

Michael,

Спасибо большое вам и всем кто принял участие в обсуждении. Проблему решил. Изменения в Default Domain policy убрал. Создал новую GPO, поставил в корень домена. В Default Domain policy сказал Enforced. Остальные GPO, относящиеся к OU - снял галку с Enforced - в этом был трабл (стояла на всех). Заработало.

Чуть непонятно следующее:

1. Default Domain policy - применяется к контроллеру домена? Если не прав, то какая политика к нему применяется.
2. где в GPMC установить Block Inheritance (блокирование наследования)? Не мог найти.
3. Установил текст сообщения при входе пользователей. На некоторых машинах (Вин 2000 проф) он отображается весь, а на некоторых обрезан, примерно половина. Почему так происходит?

Спасибо

YDen, по умолчанию Default Domain Policy применяется ко всем нижестоящим OU, в том числе и к OU Domain Controllers. Если есть еще ГП привязаннные к корню домена, то они будут также применяться к OU Domain Controllers. Исключение - на Domain Controllers установлено Block Inheritance (однако если на вешестоящих ГП стоит Enforced то блокирование не поможет - политика применится)
Block Inheritance устанавливаетсяне для ГП, а для OU (ПКМ на OU и там увидишь)