[SkyF]

alexzz

Цитата:

Так что лишних ссылок нет....

понятно.

давайте попробуем переименовать ОГП New Group Policy Object
во что-либо более понятное, например Restrict user programs.
а потом посмотрим, применится ли это изменение на компьютере клиента.

если отобразится, значит проблем с обновлением нет..

удалите совсем ваш сбойный ОГП (этот самый) и, если вам необходимо, создайте вновь и подключите.
если никуда подключать не требуется (сейчас же этот ОГП отключен), то и создавать новый не нужно..

[alexzz]

Цитата:

давайте попробуем переименовать ОГП New Group Policy Object во что-либо более понятное, например Restrict user programs. а потом посмотрим, применится ли это изменение на компьютере клиента.

Вообще стёр New Group Policy Object с домена.Проверил...- зашёл в "Add Group Policy Object Link" Там 3 политики: AllowedPrg(эту я только что создал), Default Domain Controller Policy, Default Domain Policy.

Запустив GPResult на  раб. станции вижу всё тот же результат, что и выше уже выкладывал...

Добавлено:

Цитата:

2003: gpupdate /force На LIGA5 запусти в командной строке gpupdate /force

Пробовал- тоже не помогает - GPResult всё тот же...

[SkyF]

Цитата:

USER SETTINGS --------------   Last time Group Policy was applied: 22.09.2004 at 13:23:13   Group Policy was applied from:      N/A   Group Policy slow link threshold:   500 kbps   Applied Group Policy Objects   -----------------------------       New Group Policy Object       Default Domain Policy       Политика локальной группы

а что со временем обновления теперь? дата и время совпадает с текущими?
не может же быть ГП - призраков?

воспользуйтесь анализом через команду gpresult /s (из ресурс кита 2000го сервера), може больше информации получится получить?

ЗЫ профиль пользователя перемещаемый у вас, кстати. может попробовать обыного пользователя, без выкрутасов разных? создать пустого в домене и попроовать под ним еще раз все проверить?

[alexzz]

Только что на раб.станции зашёл в eventviewer - и вот что интересное там обнаружил в секции "application"(правда время не то, когда я делал gpupdate):

Event Type:Error
Event Source:Userenv
Event Category:None
Event ID:1054
Date:27.09.2004
Time:23:37:07
User:NT AUTHORITY\SYSTEM
Computer:LIGA5
Description:
Windows cannot obtain the domain controller name for your computer network. (The specified domain either does not exist or could not be contacted. ). Group Policy processing aborted.


А вот предыдущая ошибка от туда же:

Event Type:Error
Event Source:Userenv
Event Category:None
Event ID:1054
Date:27.09.2004
Time:20:15:01
User:NT AUTHORITY\SYSTEM
Computer:LIGA5
Description:
Windows cannot obtain the domain controller name for your computer network. (Указанный домен не существует или к нему невозможно подключиться. ). Group Policy processing aborted.






Добавлено:

COMPUTER SETTINGS
------------------

* *Last time Group Policy was applied: 28.09.2004 at 0:34:05
* *Group Policy was applied from: * * *server1.server.local
* *Group Policy slow link threshold: * 500 kbps

* *Applied Group Policy Objects
* *-----------------------------
* * * *Default Domain Policy
* * * *Политика локальной группы

* *The following GPOs were not applied because they were filtered out
* *-------------------------------------------------------------------
* * * *New Group Policy Object
* * * * * *Filtering: *Not Applied (Empty)

* *The computer is a part of the following security groups:
* *--------------------------------------------------------


USER SETTINGS
--------------

* *Last time Group Policy was applied: 28.09.2004 at 0:34:05
* *Group Policy was applied from: * * *N/A
* *Group Policy slow link threshold: * 500 kbps

* *Applied Group Policy Objects
* *-----------------------------
* * * *New Group Policy Object
* * * *Default Domain Policy
* * * *Политика локальной группы

* *The user is a part of the following security groups:
* *----------------------------------------------------
* * * *Domain Users
* * * *Все
* * * *BUILTIN\Users
* * * *ЛОКАЛЬНЫЕ
* * * *ИНТЕРАКТИВНЫЕ
* * * *Прошедшие проверку

Добавлено:

Цитата:

воспользуйтесь анализом через команду gpresult /s (из ресурс кита 2000го сервера), може больше информации получится получить?

А у вас есть ОНО. Если можете, пожалуйста вышлите мне на мыло: нельзя почту в сообщении указывать. нарушение правил форума. используйте адрес из профиля


[s]Исправлено: SkyF, 2:00 28-09-2004[/s]

[SkyF]

Цитата:

Windows cannot obtain the domain controller name for your computer network. (Указанный домен не существует или к нему невозможно подключиться. ). Group Policy processing aborted.

миллионы советов:
http://eventid.net/display.asp?event...nv&phase=1

проверьте сначала настройки DNS на этом клиенте (первичный сервер DNS в настройках TCP должен указывать на первый контроллер домена  (на нем аккурат служба DNS должна быть автоматически при создании домиена быть и настроена уже) - и так для всех компьютеров в сети , отключите все файрволы, и выполните на клиенте netdiag (кажется входит в Support Tools дистрибутива сервера), да и на сервере..
потом посмотрим..

Цитата:

воспользуйтесь анализом через команду gpresult /s (из ресурс кита 2000го сервера)

ОНО всюду есть.. как грибы в лесу утили этих по сети, но мы как всегда на первоисточник ходим:
http://www.microsoft.com/windows2000...gpresult-o.asp

далее желательно скачать и изучить (сильно близко к тексту)
Troubleshooting Group Policy in Windows Server 2003

из этой же книги берем данные о Appendix: Group Policy Log Files  и утилитах прочих и откуда их взять...

[alexzz]

Спасибо всем, кто помогал разобраться с проблемой. Так и есть - глючил DNS-сервер... Теперь всё работает, "как книжка пишет"! Единственная загадка осталась нераскрытой- как GP применилась через 20 дней после установления её на сервере, если был неправильно настроен DNS-сервер и после этого никакие изменения не входили в силу...

[SkyF]

вот еще пару линков на схожие темы:


fix! На клиентах домена перестали применяться настройки групповой политики (GPO)
fix! измененя групповой политики паролей не применяются на клиентах домена

однако все проблемы по групповой политике обсуждаем тут.

[rooty]

Dennis:

Цитата:

Во первых нехорошо крутить Default, создай подразделение, засунь туда компьютеры и пользователей, и закручивай им гайки.

Возникают тогда такие вопросы: а какие компы засовывать в новое подразделение (из переноса контроллера домена из родного контейнера без изменения ссылок политик вряд ли что хорошее получится)? стоит ли трогать стандартных пользователей? Да и вообще хочешь-не-хочешь а Default Domain Policy трогадь придется, хотя бы просто потому, что Account Policies всегда определяется политикой Default Domain Policies не зависимо от того есть ли там еще какие политики.

Но это лишь ИМХО. Поэтому хочется узнать кто и что думает по этому поводу. И еще. Существует ли у Microsoft документация по грамотной настройке Active Directory? Советы и рекомендации какие-нибудь или как надо делать, а как не надо.

Буду признателен за любое мнение и любые ссылки...

[monkkey]

rooty
Да
И кто Вам сказал, что Default Domain Policy "самая главная"? В принципе, F1 никто не отменял.

[Dennis]

rooty

Цитата:

а какие компы засовывать в новое подразделение

Если при меняете настройки политика для компьютеров, то эти компьютеры и надо положить. А вообще можно все компьютеры пользователей.

Цитата:

переноса контроллера домена из родного контейнера без изменения

А вот это точно не нужно. Зачем котроллер трогать? Он лежит в OI Domain Controllers и на него можно добавить свои политики, не трогая при этом default domain controller policy
Компьютеры пользователей лежат изначально в контейнере computers. К контейнеру не применяются политики. (точнее только default...)

Цитата:

хотя бы просто потому, что Account Policies всегда определяется политикой Default Domain Policies не зависимо

А это вы от куда взяли такую информацию?
Account Policies применятся к компьютерам, а если вы компьютеры пользваотелей не положили в OI, то естественно, так и будет. В случае OI все применяется.
И Default Policy может быть и заблокирована