Да и вообще хочешь-не-хочешь а Default Domain Policy трогадь придется, хотя бы просто потому, что Account Policies всегда определяется политикой Default Domain Policies не зависимо от того есть ли там еще какие политики.

попробуем разобраться

настройки Account Policies вступают в силу только на "уровне домена". На "уровнях ОП" они не используются. Этим, кстати, иногда определяется необходимость выделения дочерних доменов, где требования безопасности отличаются от исходного.

На уровне домена может быть прилинковано несколько ОГП, при этом в случае возникновения конфликтых ситуаций, используется приоритетность - порядок первый - второй - третий ОГП и тд..
По умолчанию на уровне домена уже присутствует только Default Domain Policy - которая и стоит первой в этом списке (и единственной). все новые ОГП, прилинкованные к этому уровню -становятся следующими -вторыми, третьими и тд.. и соотвественно имеют более низкий приоритет при разрешении конфликтов.

Если не трогать ОГП по умолчанию.. и для своих политик создавать свои ОГП, то при прилинковании их на этом уровне -необходимо менять очердность и перемещать "свои" ОГП выше по списку, чем Default Domain Policy (об этом в как раз и говорится на зкладке Групповой политики в свойствах уровня домена).

Здравствуйте Уважаемые форумчане, как я посмотрю у вас знаний немеренно тогда помогите разобраться.
Имеется Winda2000 Server и созданный на нем Organization Unit , в нем Группа безопасности с глобальной областью действия. Групповая политика прилинкованная к контейнеру Organization Unit распространяется только на юзеров которые находятся внутри етого контейнера, а вот на юзеров внутри Группы безопасности не действует. Как можно исправить ситуацию ?

Serjione
Воспользуйтесь GPMC от МС, увидите, как распространяются политики.

Serjione
во-первых - объекты групповой политики не применяются на группы. Их воздействие осуществляется на объекты безопаности - Учетные записи пользователей и компьютеров - те на те объекты, которые имеют параметры для настроек в этих ОГП. На группы все-таки можно настроить применение, однако все равно, учетные записи должны "попадать" под действие ОГП - те его прилинковывыют на высоких уровнях (домена или организационного подразделения.

во-вторых: правильно говорить организационное подразделение (Organisation Unit - в переводе), а не контейнер. Объект контейнер был введен специально - на него нельзя подключить ОГП. отчего фраза: Групповая политика прилинкованная к контейнеру Organization Unit - как вы понимаете абсурдная, к тому же подключают на саму ГП, а объект групповой политики - ОГП.

На группы все-таки можно настроить применение, однако все равно, учетные записи должны "попадать" под действие ОГП - те его прилинковывыют на высоких уровнях (домена или организационного подразделения.

Это поподробнее можно ?

Serjione
Помещаете группу безопасности в OU ( ОП ), делаете линк на существующую ГП. (Еще раз советую GPMC- http://www.microsoft.com/downloads/details.aspx?FamilyId=0A6D4C24-8CBD-4B35-9272-DD3CBFC81887&displaylang=en)

подробее можно, но времени нет, извиняйте.
можно отправить вас во встроенную справку в раздел фильтрация применения ОГП при помощи групп

новая политика - на уровень домена - настройки для пользователей - свойства ОГП - безопасность - группу прошедшие проверку удаляем - на ее место с теми же разрешениями (чтение и применение) добавляем нужную группу.
результат - все из уч записей, кто в этой группе - применят настройки, кто не входит - право на это иметь не будут.

Дело в том что мне нужно добавить(именно добавить а не переместить) пользователя находящегося в Domain Admins в группу где бы я ему смог бы обрезать права, чиста чтобы проверить есть такая возможность или нет. А правой кнопочкой на юзере есть пункт добавить только в группу, поетому создал Организационное подразделение, создал в нем новую группу безопасности и добавил туда етого юзера. Попробовал к нему привязать политику через GPMC (Спасибо monkkey) и как получается ето невозможно. Извиняйте если надоел.

да уж =))

все что вы хотите я уже отметил для вас: новая политика - на уровень домена - настройки для пользователей - свойства ОГП - безопасность - группу прошедшие проверку удаляем - на ее место с теми же разрешениями (чтение и применение) добавляем нужную группу.
результат - все из уч записей, кто в этой группе - применят настройки, кто не входит - право на это иметь не будут.

какой смысл создавать новое ОП, если ОГП будет применяться на уровне всего домена и должны былабы воздействовать на всех пользователей (тк изначально ОГП содержит группу в списке доступа - "Прошедшие ПРоверку" - которую мы удаляем и добавляем только одну нашу группу. поэтому всесто ВСЕХ уч. записей - применять политику "сверху" будет только тот пользователь (ли) у которых на это есть права - те только тот кто входит в эту новую группу.

Извините, но ваши советы не прокатали. Буду копать дальше сам. Спасибо.

приветствую вас, знатоки

у меня возникла аналогичная проблема, с неприменением ГП,
т.е. раньше все работало, но было несколько отключений света, очень длительных, и сервак отрубился (UPS сдох)...
наверно после этого глюк и попер. собственно хотел я изменить кое-какие параметры безопасности, для ОП, но они не вступили в силу! перед тем как я начал все это воротить у меня было 5 политик, каждая для своей группы пользователей (Menedgers, Buhgalters, Other...) названия у них были одноименные. изменять их я не стал, а как я обычно делаю создал политику TEST и там настроил политику ограниченния использования программ. но ничего не изменилось, тогда я начал тестировать, изменил рисунок рабочего стола, не применилось... тестил я для одного компа, назовем его TestComp, на TestComp в репорте gpresult было сказано, что применена только политика Other, а остальные отфильтрованы (Отказано по безопасности). Политикой TEST там вообще не пахло... далее в событиях компа TestComp нашел такие две ошибочки:
1030 и 1058
в первой сказано, что не удалось получить список политики, а во второй описание проблемы: не удалось получить доступ к файлу GPT.INI, указан путь и грит сетевой путь не найден, однако путь существует и доступен всем . начался гемор, вот проделонные действия:
1. gpupdate /force на серваке и на клиенте, рестарт... ничего
2. удалил нахрен все политики, оставил только TEST, gpresult на клиенте грит что все так и осталось (все старые политик показывает), причем я не только ссылки удалил, но и сами файлы.
3. восстановил дефолтную политику безопасности... ничего
4. лазил на мелкософте, читал про ошибки 1058 и 1030 грят, что DFS может виноват, проверил реестр, там ничего нет, создал ключ включил DFS (я так думаю)... gpupdate /force -> restart -> gpresult ->тоже самое
5. вывел комп TestComp из домена, загрузил, ввел снова и ... изменились политик безопасности компьютера, а именно, удалился тот список политик, который был (я их давно уже удалил)... но ГП юзера, те же, что и писал выше
6. скачал прогу GMPC, сделал анализ TestComp, показывает то же что и gpresult, но вывел другую ошибку с тем же смыслом: Component Status failed, не найден сетевой путь.
Эх... заб=ся кстати после установки этой проги исчезла вкладка настройки ГП из AD, как дефолтовой, так и для ОП
7. зашел сюда, прочитал эту и ещё одно похожую тему, перепробывал все изложенное, ничига, думал что DNS погнал, перезагрузил, в эвенте грит ОК, запущен.
8...... решил спросить у вас!
и к сожалению у меня нет времени ждать 20 мистических дней... :(

Жуть какая-то.
Вобщем ситуация.

Тестирование. Сервер 2003 SP2 R2, клиенты XP SP2. На сервере расшаренная папка DOCS. В эту папку черех GP перенаправляется папка "Мои документы" пользователей. Входим пользователем, все пучком. Папка перенаправляется куда надо, выставляются нужные права, тестовый пользователи на тестовой машине успешно выполняет все операции.

Реальность. После тестирования, создаю по образу и подобию расшаренную папку на файл сервере (не том на котором тестировалось) . В старой политике (на которой тестил) отключаю перенаправление папки "Мои документы", в новой политике, созданной для целевого OU (компьютер и пользователь уже в нем) включаю перенаправление документов в созданную папку.

В итоге. Вся политика применяет к компьютеру и пользователю (включая параметры из созданных вручную adm шаблонов), за исключением перенаправления папки "Мои документы". Она упорно пытается перенаправляться по старому значению (в тестовую папку на тестовом сервере). Должно направляться \\dcfs\docs\%USERNAME%\ (задано в политике), пытается направляться \\dcweb\share\docs\%USERNAME%\ (было задано в другой политике и позже отключено)

В домене 4 контролера, один хозяин операций, DNS работает, никаких сообщений в логах о сбоях, репликация тоже проходит по плану. Проверил на всех контролерах политика со всеми параметрами одинаковая (включая самодельные adm которые добавлял только на 1 машине хозяине операций).

В старой политике в настройках перенаправления стоял чекбокс "При отключении политики перенаправить папку в локальный профиль пользователя"

gpupdate /force делал на всех контролерах и на тестовой машине.

Свойства двух применяемых политик и результаты GP modeling и GP resultat в аттаче поста

Хелп! Весь моск себе поломал.


ЗЫ. А почему тестовая машина получает политику с одного из 3 дополнительных контролеров домена, а не с основного (хозяин операций)? Так и задумано?

удалил все политики, оставил только DDP, не помогает...
Как можно восстановить дефолтовую политику домена?

ё мое... ничего не помогает....

Запусти gpresult /v на клиенте

да запускал уже все что можно.
В домене осталась только одна политика дефолтовая да и ту через dcgpfix.exe сбросил до состояния на момент установки.

Тем не менее к пользователям продолжают применяться так сказать фантомные политики...
Думал может на тестовой машине глюки какие-то. Взял голую машину, поставил винду, подключил к домену. Те же яйца, только в профиль. к любому пользователю на машине применяются параметры несуществующей политики.

Теряюсь в догадках.

Каким может быть вообще алгоритм возвращения всего домена к исходному состоянию? Удалить все политики, восстановит DDP dcgpfix.exe одновременно на всех доменах?

Где могли прижиться эти фантомные политики?

Запусти gpresult /v на клиенте и выложи результат.

Microsoft Windows XP [Версия 5.1.2600]
(С) Корпорация Майкрософт, 1985-2001.

C:\Documents and Settings\badeev>gpresult /v

Программа формирования отчета групповой политики операционной системы
Microsoft (R) Windows (R) XP версии 2.0
(С) Корпорация Майкрософт, 1981-2001

Создано на 30.05.2007 в 16:43:59


RSOP-результаты для NOUPMG\badeev на WS358-08 : Режим журналирования
---------------------------------------------------------------------

Тип ОС: Microsoft Windows XP Professional
Конфигурация ОС: Рядовая рабочая станция
Версия ОС: 5.1.2600
Имя домена: NOUPMG
Тип домена: Windows 2000
Имя сайта: Default-First-Site-Name
Перемещаемый профиль:
Локальный профиль: C:\Documents and Settings\badeev
Подключение по медленному каналу?: Нет


Конфигурация компьютера
------------------------
CN=WS358-08,OU=STEND,DC=noupmg,DC=corp
Последнее применение групповой политики: 30.05.2007 at 16:28:59
Групповая политика была применена с: dcweb.noupmg.corp
Порог медленной связи групповой политики: 500 kbps

Примененные объекты групповой политики
---------------------------------------
Default Domain Policy
WSUS

Следующие политики GPO не были приняты, поскольку они отфильтрованы
--------------------------------------------------------------------
Политика локальной группы
Фильтрация: Не применяется (пусто)

STEND
Фильтрация: Не применяется (пусто)

Компьютер является членом следующих групп безопасности:
-------------------------------------------------------
Администраторы
Все
Пользователи
СЕТЬ
Прошедшие проверку
WS358-08$
Компьютеры домена
CERTSVC_DCOM_ACCESS

Результирующий набор политик для компьютера:
---------------------------------------------

Установка программ
------------------
Н/Д

Сценарии запуска
----------------
Н/Д

Сценарии завершения работы
--------------------------
Н/Д

Политики учетных записей
------------------------
GPO: Default Domain Policy
Политика: MinimumPasswordAge
Параметры компьютера: 1

GPO: Default Domain Policy
Политика: PasswordHistorySize
Параметры компьютера: 24

GPO: Default Domain Policy
Политика: MinimumPasswordLength
Параметры компьютера: 7

GPO: Default Domain Policy
Политика: LockoutBadCount
Параметры компьютера: Н/Д

GPO: Default Domain Policy
Политика: MaximumPasswordAge
Параметры компьютера: 42

Политика аудита
---------------
Н/Д

Права пользователя
------------------
Н/Д

Параметры безопасности
----------------------
GPO: Default Domain Policy
Политика: RequireLogonToChangePassword
Параметры компьютера: Не включено

GPO: Default Domain Policy
Политика: PasswordComplexity
Параметры компьютера: Включено

GPO: Default Domain Policy
Политика: ForceLogoffWhenHourExpire
Параметры компьютера: Не включено

GPO: Default Domain Policy
Политика: ClearTextPassword
Параметры компьютера: Не включено

Параметры журнала событий
-------------------------
Н/Д

Группы с ограниченным доступом
------------------------------
Н/Д

Системные службы
----------------
Н/Д

Параметры реестра
-----------------
Н/Д

Параметры файловой системы
--------------------------
Н/Д

Политики открытого ключа
------------------------
Н/Д

Административные шаблоны
------------------------
GPO: WSUS
Параметр: Software\Policies\Microsoft\Windows\Wi
ndowsUpdate\AU
Состояние: Включено

GPO: WSUS
Параметр: Software\Policies\Microsoft\Windows\Wi
ndowsUpdate\AU
Состояние: Включено

GPO: WSUS
Параметр: Software\Policies\Microsoft\Windows\Wi
ndowsUpdate
Состояние: Включено

GPO: WSUS
Параметр: Software\Policies\Microsoft\Windows\Wi
ndowsUpdate
Состояние: Включено

GPO: WSUS
Параметр: Software\Policies\Microsoft\Windows\Wi
ndowsUpdate\AU
Состояние: Включено

GPO: WSUS
Параметр: Software\Policies\Microsoft\Windows\Wi
ndowsUpdate\AU
Состояние: Включено

GPO: WSUS
Параметр: Software\Policies\Microsoft\Windows\Wi
ndowsUpdate\AU
Состояние: Включено

GPO: WSUS
Параметр: Software\Policies\Microsoft\Windows\Wi
ndowsUpdate\AU
Состояние: Включено

GPO: WSUS
Параметр: Software\Policies\Microsoft\Windows\Wi
ndowsUpdate\AU
Состояние: Включено

GPO: WSUS
Параметр: Software\Policies\Microsoft\Windows\Wi
ndowsUpdate\AU
Состояние: Включено

GPO: WSUS
Параметр: Software\Policies\Microsoft\Windows\Wi
ndowsUpdate\AU
Состояние: Включено


Конфигурация пользователя
--------------------------
CN=Бадеев Д.В.,OU=ИТ,OU=Гимназия,DC=noupmg,DC=corp
Последнее применение групповой политики: 30.05.2007 at 15:00:31
Групповая политика была применена с: dcweb.noupmg.corp
Порог медленной связи групповой политики: 500 kbps

Примененные объекты групповой политики
---------------------------------------
Н/Д

Следующие политики GPO не были приняты, поскольку они отфильтрованы
--------------------------------------------------------------------
Default Domain Policy
Фильтрация: Отключено (связь)

Политика локальной группы
Фильтрация: Не применяется (пусто)

Пользователь является членом следующих групп безопасности:
----------------------------------------------------------
Пользователи домена
Все
Пользователи
Администраторы
ИНТЕРАКТИВНЫЕ
Прошедшие проверку
ЛОКАЛЬНЫЕ
ИТ-Отдел
Администраторы домена
Администраторы схемы
Администраторы предприятия
CERTSVC_DCOM_ACCESS
Администраторы DHCP

Результирующий набор политик для пользователя:
-----------------------------------------------

Установка программ
------------------
Н/Д

Политики открытого ключа
------------------------
Н/Д

Административные шаблоны
------------------------
Н/Д

Перенаправление папки
---------------------
Н/Д

Пользовательский интерфейс обозревателя Internet Explorer
---------------------------------------------------------
Н/Д

Подключения Internet Explorer
-----------------------------
Н/Д

Адреса Internet Explorer
------------------------
Н/Д

Безопасность Internet Explorer
------------------------------
Н/Д

Программы Internet Explorer
---------------------------
Н/Д

C:\Documents and Settings\badeev>

Судя по результату, у тебя никакого перенаправления сейчас не стоит, а стоит значение "неопределенно", в результате чего ИМХО она берет последние активное перенаправление папки.
Теперь сделай ГП с перенаправлением папки и привяжи к ОУ пользователя, и сделай команду на клиенте еще раз.

ЗЫ Оформляй результат тэгом [code]

завтра с утра сделаю выложу. уже не на работе.
Но откуда он берет последнее перенаправление если все политики были удалены, а дефолтовым доменным сделан откат до исходного состояния (dcgpofix).

После этого проверил sysvol на всех контроллерах, везде только две дефолтовых политики с одинаковой версией. В реестре тестовых машин тоже ничего остаться не может, так как на машины залил чистую винду. Первоначальные тестовые OU и пользователей удалил. создал новые с другими именами.

Я в осадке. ДоМен с приведениями какой-то.