Vovan911
Проверь, чтобы Infrastructure Master не был на ДК с ГК,
Ну и как это представляете при единственном ДК?!

Добавлено:

alexzz
Проверяйте настройки, dns, dhcp. Внимательно изучите отчет gpresult.
Если рабочие станции со статическими ip, то проверьте какой dns у них стоит, д.б. ДК.
Закройте политикой на одной из рабочих станций: Конф.комп./Конф.Винд./Парам.без./Лок.пол./Пар.без./Кол-во пред.обр.к кэшу = 0 и Предотвр.обработки пароля = включен.
Тогда при загрузке если недоступен домен во входе будет отказано. Если так, значит ошибки в наличии. И в таком случае политики не применяются.

GPResult пишет что "Run only allowed Windows programs" работает и список програм тот что я записывал, но не все програмы из этого списка запускаются... У меня на рабочих станциях динамические IP. Сегодня проверю DNS и DHCP потом напишу...

Короче отключить эту политику я теперь не могу... Точнее я её отключил, но GPResult для этого юзера пишет дальше, что она включена. Уже и фоновое обновление политик посмотрел. Ни черта не врубаюсь где проблема. Что она теперь отключиться(как и включилась) опять через 20 дней-маразм полный!?

alexzz
а рабочая станция какая? ХР?
если да, то прогоните еще и GPResul Set of Policy  из меню Администрирование.
точно  политика, которую вы правили - действовала на эту рабочую станцию?
имена совпадают в списке, полученном GPResult? что в жураналах событий на клиете? сообщения в журнале приложений от источника SceCli - имеются? какие?

дополнительные настройки какие еще через ГП приходят?

Рабочая станция XP Prof. Вот что выдала GPresult... New Group Policy Object - политика, которую я создал для этих юзеров и раб. станции. Там я и поставил "Run only allowed Windows programs". Теперь эта политика отменена, а ограничения дальше действуют... Короче вот отчёт:

RSOP results for SERVER\kotuha on LIGA5 : Logging Mode
-------------------------------------------------------

OS Type:                     Microsoft Windows XP Professional
OS Configuration:            Member Workstation
OS Version:                  5.1.2600
Domain Name:                 SERVER
Domain Type:                 Windows 2000
Site Name:                   Default-First-Site-Name
Roaming Profile:             \\server1\Profiles\kotuha
Local Profile:               C:\Documents and Settings\kotuha
Connected over a slow link?: No


COMPUTER SETTINGS
------------------

   Last time Group Policy was applied: 22.09.2004 at 12:19:55
   Group Policy was applied from:      server1.server.local
   Group Policy slow link threshold:   500 kbps

   Applied Group Policy Objects
   -----------------------------
       Default Domain Policy
       Политика локальной группы

   The following GPOs were not applied because they were filtered out
   -------------------------------------------------------------------
       New Group Policy Object
           Filtering:  Not Applied (Empty)

   The computer is a part of the following security groups:
   --------------------------------------------------------


USER SETTINGS
--------------

   Last time Group Policy was applied: 22.09.2004 at 13:23:13
   Group Policy was applied from:      N/A
   Group Policy slow link threshold:   500 kbps

   Applied Group Policy Objects
   -----------------------------
       New Group Policy Object
       Default Domain Policy
       Политика локальной группы

   The user is a part of the following security groups:
   ----------------------------------------------------
       Domain Users
       Все
       BUILTIN\Users
       ЛОКАЛЬНЫЕ
       ИНТЕРАКТИВНЫЕ
       Прошедшие проверку

Какие будут предложения?

Ну прям уж так и отменил, а они "действуют" :)

Смотрим настройки COMPUTER SETTINGS и имеем

The following GPOs were not applied because they were filtered out
-------------------------------------------------------------------
    New Group Policy Object

Эти ты отменил. Одухотворенные успехом читаем дальше

USER SETTINGS
--------------
И имеем

  Applied Group Policy Objects
  -----------------------------
      New Group Policy Object

Что собственно и поддтверждает тот факт, что настройки применяются.

Аспирин.
Запусти на server1.server.local в коммандной строке
Если это 2000:
secedit /refreshpolicy user_policy /enforce
secedit /refreshpolicy machine_policy /enforce

Если это 2003:
gpupdate /force

На LIGA5 запусти в командной строке
gpupdate /force

Теперь эта политика отменена, а ограничения дальше действуют... Короче

как вы ее отменяли?
по логу, видно, как указал вам верно Vovan911 что для пользователя, которым вы регистрируетесь эта политика применяется все равно.

можно для ее отмены:
в пареметрах ОГП (New Group Policy Object) - кнопка есть парамерты - отметить галку - ОТменено.
либо, просто удалить ссылки этого ОГП  в АД. делается через кнопку удалить - и выбора соответсвующего параметра.

по логу, видно, как указал вам верно Vovan911 что для пользователя, которым вы регистрируетесь эта политика применяется все равно.
можно для ее отмены:
в пареметрах ОГП (New Group Policy Object) - кнопка есть парамерты - отметить галку - ОТменено.

Так и сделал! А в GPresult да и вообще, политика применённая дальше.!!!!
И юзеров уже убирал из этой политики - ничего не помогает - похоже что-то типа фоновое обновление параметров политики выставлено неправильно - хотя там я тоже всё пересмотрел.

alexzz
тогда посмотрите, пожет у вас этот ОГП (New Group Policy Object) имеет еще какие - либо привязки в дереву домена.
зайдите в закладку групповой политики, выберите пункт добавить, откроется новое окно, в нем перейдите на закладку все.
выберите (New Group Policy Object) - и нажмите из контектсного меню Свойства. Далее на закладку Связи. Нажмите Найти.
отобразится список всех ОУ, куда прикреплен данный ОГП.


возможно у вас несколько связей у него просто.
если не поможет, то удалите все связи( но не сам объект групповой политики), обновите политику на клиенте (перезагрузка, или как указал Vovan911). проанализируйте логи  GPresult

Я  посмотрел линки груповой политики New Group Policy Object. Там в ОУ только мной созданная группа, в которой я обьеденил юзеров и компьютеры... Так что лишних ссылок нет....:(

alexzz
Так что лишних ссылок нет....
понятно.

давайте попробуем переименовать ОГП New Group Policy Object
во что-либо более понятное, например Restrict user programs.
а потом посмотрим, применится ли это изменение на компьютере клиента.

если отобразится, значит проблем с обновлением нет..

удалите совсем ваш сбойный ОГП (этот самый) и, если вам необходимо, создайте вновь и подключите.
если никуда подключать не требуется (сейчас же этот ОГП отключен), то и создавать новый не нужно..

давайте попробуем переименовать ОГП New Group Policy Object
во что-либо более понятное, например Restrict user programs.
а потом посмотрим, применится ли это изменение на компьютере клиента.

Вообще стёр New Group Policy Object с домена.Проверил...- зашёл в "Add Group Policy Object Link" Там 3 политики: AllowedPrg(эту я только что создал), Default Domain Controller Policy, Default Domain Policy.

Запустив GPResult на  раб. станции вижу всё тот же результат, что и выше уже выкладывал...

Добавлено:

2003:
gpupdate /force

На LIGA5 запусти в командной строке
gpupdate /force

Пробовал- тоже не помогает - GPResult всё тот же...

USER SETTINGS
--------------

  Last time Group Policy was applied: 22.09.2004 at 13:23:13
  Group Policy was applied from:      N/A
  Group Policy slow link threshold:   500 kbps

  Applied Group Policy Objects
  -----------------------------
      New Group Policy Object
      Default Domain Policy
      Политика локальной группы

а что со временем обновления теперь? дата и время совпадает с текущими?
не может же быть ГП - призраков?

воспользуйтесь анализом через команду gpresult /s (из ресурс кита 2000го сервера), може больше информации получится получить?

ЗЫ профиль пользователя перемещаемый у вас, кстати. может попробовать обыного пользователя, без выкрутасов разных? создать пустого в домене и попроовать под ним еще раз все проверить?

Только что на раб.станции зашёл в eventviewer - и вот что интересное там обнаружил в секции "application"(правда время не то, когда я делал gpupdate):

Event Type:Error
Event Source:Userenv
Event Category:None
Event ID:1054
Date:27.09.2004
Time:23:37:07
User:NT AUTHORITY\SYSTEM
Computer:LIGA5
Description:
Windows cannot obtain the domain controller name for your computer network. (The specified domain either does not exist or could not be contacted. ). Group Policy processing aborted.


А вот предыдущая ошибка от туда же:

Event Type:Error
Event Source:Userenv
Event Category:None
Event ID:1054
Date:27.09.2004
Time:20:15:01
User:NT AUTHORITY\SYSTEM
Computer:LIGA5
Description:
Windows cannot obtain the domain controller name for your computer network. (Указанный домен не существует или к нему невозможно подключиться. ). Group Policy processing aborted.






Добавлено:

COMPUTER SETTINGS
------------------

* *Last time Group Policy was applied: 28.09.2004 at 0:34:05
* *Group Policy was applied from: * * *server1.server.local
* *Group Policy slow link threshold: * 500 kbps

* *Applied Group Policy Objects
* *-----------------------------
* * * *Default Domain Policy
* * * *Политика локальной группы

* *The following GPOs were not applied because they were filtered out
* *-------------------------------------------------------------------
* * * *New Group Policy Object
* * * * * *Filtering: *Not Applied (Empty)

* *The computer is a part of the following security groups:
* *--------------------------------------------------------


USER SETTINGS
--------------

* *Last time Group Policy was applied: 28.09.2004 at 0:34:05
* *Group Policy was applied from: * * *N/A
* *Group Policy slow link threshold: * 500 kbps

* *Applied Group Policy Objects
* *-----------------------------
* * * *New Group Policy Object
* * * *Default Domain Policy
* * * *Политика локальной группы

* *The user is a part of the following security groups:
* *----------------------------------------------------
* * * *Domain Users
* * * *Все
* * * *BUILTIN\Users
* * * *ЛОКАЛЬНЫЕ
* * * *ИНТЕРАКТИВНЫЕ
* * * *Прошедшие проверку

Добавлено:

воспользуйтесь анализом через команду gpresult /s (из ресурс кита 2000го сервера), може больше информации получится получить?

А у вас есть ОНО. Если можете, пожалуйста вышлите мне на мыло: нельзя почту в сообщении указывать. нарушение правил форума. используйте адрес из профиля


Исправлено: SkyF, 2:00 28-09-2004

Windows cannot obtain the domain controller name for your computer network. (Указанный домен не существует или к нему невозможно подключиться. ). Group Policy processing aborted.

миллионы советов:
http://eventid.net/display.asp?eventid=1054&eventno=1393&source=Userenv&phase=1

проверьте сначала настройки DNS на этом клиенте (первичный сервер DNS в настройках TCP должен указывать на первый контроллер домена  (на нем аккурат служба DNS должна быть автоматически при создании домиена быть и настроена уже) - и так для всех компьютеров в сети , отключите все файрволы, и выполните на клиенте netdiag (кажется входит в Support Tools дистрибутива сервера), да и на сервере..
потом посмотрим..

воспользуйтесь анализом через команду gpresult /s (из ресурс кита 2000го сервера)
ОНО всюду есть.. как грибы в лесу утили этих по сети, но мы как всегда на первоисточник ходим:
http://www.microsoft.com/windows2000/techinfo/reskit/tools/existing/gpresult-o.asp

далее желательно скачать и изучить (сильно близко к тексту)
Troubleshooting Group Policy in Windows Server 2003 (http://www.microsoft.com/downloads/details.aspx?FamilyId=B24BF2D5-0D7A-4FC5-A14D-E91D211C21B2&displaylang=en)

из этой же книги берем данные о Appendix: Group Policy Log Files  и утилитах прочих и откуда их взять...

Спасибо всем, кто помогал разобраться с проблемой. Так и есть - глючил DNS-сервер... Теперь всё работает, "как книжка пишет"! Единственная загадка осталась нераскрытой- как GP применилась через 20 дней после установления её на сервере, если был неправильно настроен DNS-сервер и после этого никакие изменения не входили в силу... :oszone:

вот еще пару линков на схожие темы:


fix! На клиентах домена перестали применяться настройки групповой политики (GPO) (http://forum.oszone.net/showthread.php?t=54114)
fix! измененя групповой политики паролей не применяются на клиентах домена (http://forum.oszone.net/showthread.php?t=55372)

однако все проблемы по групповой политике обсуждаем тут.

Dennis:
Во первых нехорошо крутить Default, создай подразделение, засунь туда компьютеры и пользователей, и закручивай им гайки.

Возникают тогда такие вопросы: а какие компы засовывать в новое подразделение (из переноса контроллера домена из родного контейнера без изменения ссылок политик вряд ли что хорошее получится)? стоит ли трогать стандартных пользователей? Да и вообще хочешь-не-хочешь а Default Domain Policy трогадь придется, хотя бы просто потому, что Account Policies всегда определяется политикой Default Domain Policies не зависимо от того есть ли там еще какие политики.

Но это лишь ИМХО. Поэтому хочется узнать кто и что думает по этому поводу. И еще. Существует ли у Microsoft документация по грамотной настройке Active Directory? Советы и рекомендации какие-нибудь или как надо делать, а как не надо.

Буду признателен за любое мнение и любые ссылки...

rooty
Да (http://search.microsoft.com/search/results.aspx?st=b&na=80&qu=Active+Directory&View=en-us)
И кто Вам сказал, что Default Domain Policy "самая главная"? В принципе, F1 никто не отменял.

rooty
а какие компы засовывать в новое подразделение
Если при меняете настройки политика для компьютеров, то эти компьютеры и надо положить. А вообще можно все компьютеры пользователей.
переноса контроллера домена из родного контейнера без изменения
А вот это точно не нужно. Зачем котроллер трогать? Он лежит в OI Domain Controllers и на него можно добавить свои политики, не трогая при этом default domain controller policy
Компьютеры пользователей лежат изначально в контейнере computers. К контейнеру не применяются политики. (точнее только default...)
хотя бы просто потому, что Account Policies всегда определяется политикой Default Domain Policies не зависимо
А это вы от куда взяли такую информацию?
Account Policies применятся к компьютерам, а если вы компьютеры пользваотелей не положили в OI, то естественно, так и будет. В случае OI все применяется.
И Default Policy может быть и заблокирована ;)