Показать полную графическую версию : Настройка Организационного подразделения
Я так понимаю что в твоем случаи в AD должно быть так
Есть две OU: Teachers и Schoolboys
Для каждой OU есть свои GPO со своими настройками: GPO Teachers Users; GPO Schoolboys Users
И они прилинкованны к своим OU
Так же у тебя настроены Local GPO, с какиме-то своими настройками не жели в GPO Teachers Users и GPO Schoolboys Users
Соотвественно если у тебя в Local GPO определена опция "Скрыть Мои компьютер"
а в GPO Teachers Users это опция ни как не определена, то естествено при заходе с учеткой преподавателя будут действовать Local GPO
А что бы они не действовали нужно для соответствующих опциях в GPO Teachers Users поставить значения Disable(вообщем задать обратное значение, чем в Local GPO )
Есть утилитка gpresult
Kirill NN
13-10-2006, 14:55
Micrus - Есть утилитка gpresult
а поподробнее, с ссылками на скачку если можно...
Micrus
Спасибо за совет. В понедельник проверю.
Удачи.
Kirill NN
Наберите в командной строке.
xoxmodav
16-10-2006, 09:26
YDen
Проблема решалась ещё в 10 сообщении вашего вопроса - ссылкой monkkey на "Порядок применения политик". И как верно заметил потом Micrus - применяются сначала локальные политики, потом доменные - и если параметры вторых не перекрывают все параметры первых, то параметры первых (которые не перекрываются), остаются в силе.
xoxmodav
Ну и ... ?
Единственное ,что можно было вынести из предложенного, свелось к следующему:
Первое: закрыть доступ к gpedit.msc
Второе: Убрать все административные привилегии для локальных пользователей
Ну и третье: сбросить все локальные политики на клиентах в default.
1 и 2 -делаются легко, остается решить 3 пункт.
xoxmodav
16-10-2006, 13:47
XPurple
Исходя из слов YDen - пользователи не имеют никаких администраторских прав и исходя из этого - не надо блокировать gpedit.msc, т.к. редактировать ей они не смогут.
А по третьему пункту - используя команду:
secedit /configure /cfg %windir%\repair\secsetup.inf /db secsetup.sdb /verbose
Происходит сброс в исходное состояние безопасности, системных файлов и папок NTFS, реестра, политик безопасности, системных служб, пользовательских прав, групп пользователей.
Либо использовать ключ /areas AreaName1 AreaName2, где AreaNamex:
SECURITYPOLICY - Локальная политика и политика для домена, включая политики учетных записей, политики аудита и т.п.
GROUP_MGMT - Настройка ограничений для всех групп, указанных в шаблоне безопасности
USER_RIGHTS - Права пользователей на вход в систему и предоставление привилегий
REGKEYS - Безопасность разделов локального реестра
FILESTORE - Безопасность локальных устройств хранения файлов
SERVICES - Безопасность для всех определенных служб
Спасибо всем за внимание к моей проблеме.
Да все получилось.
xoxmodav
Я не могу убрать права администратора для локальных пользователей. Да, у меня ученики администраторы. И все это из-за учебников Кирилла и Мефодия. Они наотрез не хотят запускаться под клюбыми правами кроме администраторких. обращался в поддержку - результат 0. Многое перепробовал, в том числе и сканировал regmon - ом. Ничего не получилось. Поэтому приходится все позапрещать. И этих учебников большинство - на каждой 25 наименований, всего 40 машин. К этим настройкам я шел 3 года. Сейчас все отлажено и менять не стоит. Поэтому я хотел иметь возможность локального входа в систему - на случай сбоя на сервере, чтобы все машины не остались не рабочими. А просто сбросить все локальные ГП на default - это значит дать ученикам доступ к машинам. Поэтому у меня будет заведено для каждого ученика в домене по учетной записи (для интернета, использую ИСУ), и как запасной вариант - локальный вход.
У меня всречный воспрос. в ГП можно настроить запрет на отображение дисков в Моем компьютере. Но это можно сделать только для A, B, C и d дисков. Я подключил для одного типа пользователей сетевой диск. Мне нужно, чтобы только он отображался в Моем компьютере. Т.е есть ли такая возможность скрытия всех локальных дисков и отображения сетевых.
Спасибо еще раз.
xoxmodav
16-10-2006, 16:43
YDen
Насчёт скрытия сетевых дисков не знаю, но ИМХО вся ваша работа - это ходьба по тонкому льду, т.к. любой человек обладающий администраторскими правами может вывести машину из домена, установить удалить что угодно и как угодно - т.е. сделать что угодно и как угодно.
А filemon использовал? Не пробовал узнать куда вообще они лезут? Не могут же они к драйверам устройств напрямую обращаться.
YDen, сетевые диски так же как и сетевые принтеры подключаются только пользователем и соответственно сведения оних хнранятся в настройках профиля пользователя
т.е. это не настройки всего компьютера.
На счет учебников , я думаю что этим прогам просто необхоим доступ на запаись в установленную папку и соответствующие ветки реестра, поэтому если пользователям дать права Power User(можно даже User) и дать права на запись в папку учебников и в ветку реестра, то может сработать. Я уже с подобными программами сталкивался( так же себя ведет SmetaWizard)
xoxmodav
Попробовал запустить локально то, что вы предложили.
Для одноразового применения - сойдет.
Но массово (вкладывая в скрипт)- использовать не стоит, т.к. команда обрабатывается очень долго.
xoxmodav
17-10-2006, 15:53
XPurple
В данном вопросе лёгких путей решения нет.
© OSzone.net 2001-2012
vBulletin v3.6.4, Copyright ©2000-2025, Jelsoft Enterprises Ltd.