Опытные администраторы в w2k3 подскажите. Имеется OU (domain - corp - all)
, в ней 2 пользователя. Один с правами - Администратор домена, второй - пользователь домена. Профили пользователей идентичны и загружаются с контролера домена (\\server\userfrofile\*). Имеется на OU групповая политика, но она применяется только на учетную запись с правами администратора домена, а на пользователя домена - нет. Хотя и у обоих winpolicies показывает что политики применились. Политика применяется на всех прошедших проверку. А если поставить пользователю с правами пользователя домена, права администратора домена, все встает на свои места.

fix! Как создать для каждой группы свою групповую политику? Различия групп в домене? (http://forum.oszone.ru/showthread.php?t=54572)
fix! На клиентах домена перестали применяться настройки групповой политики (GPO) (http://forum.oszone.ru/showthread.php?t=54114)

to fighter

Нет. Это немного не та информация которая мне нужна. GPO я настраивать умею, и все у меня работало до недавнего времени (наверное до установки GPMC, а может это связанно и не с ней). Политика к правам пользователя домена применяется. Пользователь ограничен в действиях (не может подключится к другому домену (раб. группе), неактивна кнопка "отключить" в свойствах подключения сети) и т.д.. Но вот мой GPO почему то на учетные записи с правами "пользователей домена" не распространяются, хотя в winpolicies пишет обратное. Ести группу "пользователи домена" включить в группу "администраторы домена", то все работает. Создается такое впечатление что моя GPO блокируется встроенной GPO прав пользователей домена.

раз вы упомянули gpmc отфильтруйте применение данной политики
так же вы сказали о "применении на всех прошедших проверку". это не совсем есть гуд
включите применение данной политики на те подразделения/компьютеры которые вам необходимы
в данном случае на выходе. опять же, та же самая gpmc покажет объекты ГПО которые возможно
перекрывают/блокируют ваши установки

Отключил все кроме этой политики (даже Default domain polices, Def domain controller pol. -не отключал, но она и не наследуется) в GPMC отображает на данном OU только мою GPO. Применение политики указал вплоть то конкретной учетной записи (указывал и ВСЕ, и Пользователи домена) все безрезультатно, применяется только к Адм. домена. Складывается впечатление, что права пользователя домена ограничены доступом к реестру на Read Only на все ветви. Не сохраняется даже команды вводимые в run. Вследствии и настройки политики не вносятся в реестр. Что можно сделать, где посмотреть???Есть предложения?

%windir%\security\logs\Winlogon.log на предмет ошибочных сообщений
равно как и журналы событий
gpresult и RSoP

В winlogon.log все нормально - ошибок/аномалий нет, в результирующей политике (RSoP) показанна наследуемаю (нужная) политика с контролера домена (Установки GPO которые я ставил в gpedit на сервере) но она не применяется. В gprslt тоже все ок. Может есть возможность откатить AD к дефолту?

или может есть возможность удалить gpmc чтобы вкладка в свойствах контейнера Групповая волитика вернулась к своему первозданному виду. Проблема то в том, что у пользователя домена нет прав применить политику на рабочей станции.

погодите откатывать...
результаты где? выкладывайте сюда будем в четыре (и больше =)) глаза смотреть,
авось и всплывет камешек подводный
что касается прав пользователя, ему нужны права только на чтение и применение ГПО
все остальное дело третье
ЗЫ. не верю я что аномалий нет, в первой ссылке поста №2 SkyF вполне нормально описал
порядок создания и применения политик. что то вы упускаете

Все это я еже читал/знал/делал. Дело то в том, что на клиенте пишет во всех анализирующих программах (winpolicies, RSoP, gprslt) что политика применилась, на деле же, это не так. Работает локальная политика для ограниченой учетной записи, причем или локальная - ограниченая, или админ домена с сервера....

чего же вы ждете? панацеи ака нажать то, включить это?
выкладывать результаты не хотите, чего уж дальше?
политика применяется, но неработает... ну не смешно ли?
NTFS разрешения на соответсвующие объекты ГП есть?

-- NTFS разрешения на соответсвующие объекты ГП есть? - это где именно? Если на клиенте видятся политики, читаются значения, а более то разрешений и не надо.

Вот выкладываю логи.
Вот только в winlogon.log ничего относительно сегоднешнего входа в систему, и применения GP нет

Если на клиенте видятся политики, читаются значения
именно это я и имел ввиду
USER SETTINGS
--------------
...
Last time Group Policy was applied: N/A
Group Policy was applied from: N/A
gpupdate /Target:User
и повторно результаты
ЗЫ. а RSoP лучше выполнить не планированием а протоколированием

ЗЫ. а RSoP лучше выполнить не планированием а протоколированием - как это сделать.

gpupdate /target:user - сделал... все тоже самое. без изменений.

Что делать, ума не приложу.

ms-its:C:\WINDOWS\Help\RSoP.chm::/RSPhtUA.htm

странно что что в журнале приложений не регистрируются события
если политика распространилась должно быть соотв. событие 1704 в журнале
если нет соотв. другое. что в этой стороне? не говорите только что там пусто =)
разрешения на соотв. админ. шаблоны проверьте (system.adm)

в данном случае за запрет даного параметра отвечает ветка реестра (User) и параетр:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr"=dword:00000001
и его наличие и будет итогом отработки политики
а что касательно остальных (конф. пользователя/компютера) параметров? таже ситуация?
или только в админ. шаблонах?

Проверил реестр,
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ --- а дальше только \explorer. и все!!!
а у пользователя нет прав на создание разделов в реестре. В одном конкретном случае, решаемо. Но в пределах предприятия... Не ходить же на каждом выставлять права на создание разделов...

И почему так получилось?!...
Есть какие нибудь мысли?

xstranger так и должно быть, при распростанении политики
изменения произодятся от имени system которая по дефолту имеет
полный доступ к данным разделам.
мысли есть, они изложены выше

у меня system имеет дефолтовый полный поступ, но политика не применяется....

подскажите что либо, более конкретное, чем "пойди туда, сам не знаю куда и т.д."

еще раз, давайте события журнала приложений.
и не говорите что их нет. если политика нормально применилась
должно быть соотв. событие 1704. если нет, какое либо другое сопутств. ошибке и т.д.
если ничего не отображается - это говорит только об одном. аудит. настраиваем в лок. политике.
Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Политика аудита\.
нас интересует Аудит системных событий

Вот журнал системных событий. Usr-Kononenko; Time-9:48