Нужна помощь - НЕ ДЕЙСТВУЮТ НА КЛИЕНТА ГРУППОВЫЕ ПОЛИТИКИ!
Есть Win2kServer+SP3+AD, лок сеть, ИП-статические, есть PDC, так вот - при изменении Default Domain Policy (отключение актив десктоп к примеру), - это не действует на клиентов, а ттолько на сам сервак!!!!?????? Почему??? Время обновления поставил маленькое -1 минута и все равно - результат - нуль...

1. точно Default domain policy, а не Default domain controllers policy?
2. а что время обновления? достаточно завершить сеанс и войти вновь, для применения новых настроек групповых политик для пользователя.

воспользуйтесь утилитами gpresult и gptool из Windows 2000 Resource Kit tools  и проанализируйте их отчеты как на клиентах, так  и на сервере ( где у вас применяются настройки)

Во первых нехорошо крутить Default, создай подразделение, засунь туда компьютеры и пользователей, и закручивай им гайки.

Потом кто клиент? 2к?

Да я все вернул ....
Убрал Дефаулт.
Создал подразделение - создал для него политику - новую а не на основе дефаулта! - изменил ее чуть чуть - чтобы к примеру отключить иконку "Экран"  в КонтрольПанели - изменил период обновления политики - ставлю 1 минуту - и все равно не действует!!!!
блинннннннннннннннн

Мне тоже не удалось добиться ни черта. Политика в этой части срабатывала лишь для машин с ОС w2k Server, входящих в домен. Фиг его знает :(

Но ведь глуповато же получается то ....
и странно как то ...
у меня в домене тачки только win200Proff+sp4 - вроде бы все должно крутиться, есть еще в сети одна рабочая группа, но они не в домене и ладно...
но эти то!!!!!!

PEREPIRKA
ставлю 1 минуту
да что за одну минуту вы ставите????? оставьте ее в покое..

изменили настройку ГП - отключаете сеанс пользователя -и повторно регистрируетесь...
если учетная запись и объект Компьютер - находятся в вашем подразделении - то при повторном подключении ( после изменения групповых политик) - изменения вступят в силу..
либо, выполняйте secedit /refreshpolicy user_policy (secedit /refreshpolicy machine_policy) на конечном компьютере - изменения вступят в силу без перелогина.

PS вы похоже даже не читали что я вам раньше указал..
еще раз прочитайте..

Все я это уже читал и не в одном этом форуме.
Ладно, оставим ту 1 минуту, что я поставил. Убрал я ее.
Делаю изменения в
точно Default domain policy, а не Default domain !!!!!

Пишу на клиентской тачке :
secedit /refreshpolicy user(mashine)_policy /enforce

Результат: НИ-ЧЕ-ГО!!!!:(

Добавлено:

Все это срабатыввает ТОЛЬКО на самом сервере! ВСЕ!
Больше ни на чем!!!! Вот так то!!!!

Все это срабатыввает ТОЛЬКО на самом сервере! ВСЕ!
Больше ни на чем!!!! Вот так то!!!!

Скорее всего что-то в настройках на рабочих станциях.

1. На вирусы проверялся?
2. Что пишеться в журналах а) на сервере; б) на рабочей станции?
3. Проверь лицензии на сервере домена.
4. На рабочей станции запусти gpedit.msc и проверь Конф.комп./Адм.шабл./Система/Груп.пол. - может что заблокировано?
5. И совсем дурацкий вопрос, рабочие станции в домене? Или в рабочей группе?

1- На вирусы - проверялся.
2 - в Журнале на раб станции к примеру) с регулярностью в 5-10 минут: Приложения:
"Не удалось определить имя пользователя или компьютера. Возвращенное значение (1722). "
4 - лицензии в домене? стоит 100 шт
5 - На рабочей станции запусти gpedit.msc и проверь Конф.комп./Адм.шабл./Система/Груп.пол. - проверил - все стоит "НЕ ЗАДАНО"
6 - рабочие станции - в домене - т.е. нормально при входе - запрос имени, пароля, внизу строка домена. Сами станции после входа в сеть находятся в одном окне с серваком - ну т.е. в домене , компы - управляются по сети.

НО - все равно политики не применяются....
Есть такое чуйство, что станции просто не могут найти сервак, потому и лезут такие ошибки, как их исправить не знаю......
блин

Время совпадает на сервере и на рабочих станциях?
Что говорит команда "net time" ?
Если не совпадает - то отшибает kerberos.
У тебя ip - статические? Тогда, возмжно, рабочая станция не знает сервер времени...
Попробуй на рабочей станции дать команду net time /domain:mydomain /set /yes

на клиентах стоит DNS суффикс домена?

Если чесно, то все вышесказанные советы - фигня! Все дело в том было, что не работал ДНС на сервере- все! Настроил его -и телемаркет!
Так что тема закрыта.

Снова вопрос по GPO.

Задачка: Группе пользователей необходимо выдать полные права на определенную ветку их локального реестра.

Как решаю:

Создаю групповую политику в нужном мне OU.
В самой политике захожу: Конфигурация компьютера -> Конфигурация Windows -> Параметры безопасности -> Реестр. Добавляю сюда нужную мне ветку реестра, в свойствах ее безопасности добавляю нужную мне группу,
ставлю ей полный доступ.

Опции: Настроить этот раздел, Распространить наследуемые разрешения на все подразделы.

В Security Filtering опять же оставляю только нужную мне группу.

Вроде, все. Но не работает! Что я упустил?

PS. А не кажется ли вам, господа, что по Active Directory стоит сделать отдельный раздел на форуме?

В Security Filtering опять же оставляю только нужную мне группу
компутеров? =)

В самой политике захожу: Конфигурация компьютера
А в самом OU лежит объект компьютер?

sanykool
посмотрите утилиту GPMC с сайта Microsoft - она позволяет выполнить анализ и моделирование настроек и работы ваших Объектов групповой политики.

PS. А не кажется ли вам, господа, что по Active Directory стоит сделать отдельный раздел на форуме?
вы и нахидитесь в этом разделе =)
только нигде об этом не написано, надо полагать чтобы никто об этом не догадался.

предложение ваше правильное, только раздел выделять не стоит ,а возможно просто добавить к названию:
Microsoft Windows NT/2000/2003 + AD

Хотя я бы переименовал во что-либо такое: Microsoft Windows Sever + AD

Мучаясь к доменом набрел на утилитку. Нехотели машины поднимать групповую политику с контроллера, помогло. Попробуй на рабочих станциях запустить
если win2000
secedit /refreshpolicy user_policy /enforce
secedit /refreshpolicy machine_policy /enforce
если XP и выше
gpupdate /force (кажется, не помню точно, глянь в справке - /?)

Попутно вопрос: Security Filtering - это где? Или торможу, или не знаю.

Всем спасибо, проблема решена. Грабли были в репликации между контроллерами домена (на одном остановилась служба NtFrs), и с одного контроллера не срелицировалось удаление нескольких старых политик. Они-то и мешали обработке групповых политик клиентами. Удалил вручную, сдлелал gpupdate /force, и все стало хорошо. Кстати, GPMC - вещь жизненнонеобходимая, без ее режима тестирования результатов применения групповых политик я бы этот косяк нашел нескоро.

gultsSecurity Filtering - это где? Или торможу, или не знаю.

фильтрация через параметры безопасности.
У каждого Объекта групповой политики (GPO) есть список доступа - в котором определяется по умолчанию те объекты безопасности (пользователи и группы) которым разрешен доступ к этому объекту и какой.

по умолчанию это административные группы - полный доступ, системные конечно же и упоминаются группы "Прошедших проверку" - с правом чтения и выполнения этого объекта - вот почему эти настройки применяются к пользователям и компьютерам, попавшим под ее воздействие.

фильтрация заключается в том, что вы:

либо добавляете группу исключения и устанавливаете параметр ЗАПРЕТ применения политики из этого объекта
либо удалив группу "прошедших проверку" - добавляете ТОЛЬКО ТЕ группы - членам которых вы хотите политику применять, вместо всех.