Новости
Видео
Microsoft
Windows 10
Железо
Программы
Форум
Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  

Название темы: вопросы связанные с безопасностью в win2k3 (групповая политика)
Показать сообщение отдельно

Аватара для rivera

Ветеран


Сообщения: 661
Благодарности: 10

Профиль | Отправить PM | Цитировать

не ребят у меня не получается:

1. в AD я создал контейнер "admins" туда переместил 2 пользователей:
administrator - встроенная учетка
adm - созданная учетка (член групп: domain admins, administrators)

через групповую политику привязал к данному контейнеру особенную политику, которая ничем не ущемлена.

захожу на раб.станцию, проверяю настройки политики безопасности(запрещал сменить прокси сервер в Internet Explorer) - работает: нельзя сменить прокси сервер в IE

захожу на раб.станцию админом домена (и встроенной тоже пробовал) - все равно запрещено менять прокси сервер в IE!

куда копать дальше?

добавлено:решение
т.к. для контейнера "admins" соответсвующая настройка стояла на "не определено" - принялась политика для всех. надо было поставить "разрешить"

еще пара вопросов:

2. контейнер "Users" по умолчанию вбириает в себя всех пользователей и групп домена, так? если я создам контейнер "groups" и перенесу туда все (или частично) группы созданные в домене, то перенесенные группы все равно останутся группами домена? например группа "IT" домена "DOMAIN" все равно будет domain\it независимо от того, в каком контейнере она находится?? (интуитивно я догадываюсь, что "да", но всеже хотелось бы узнать однозначный ответ)
добавлено:решение
Учтите, что контейнер Users не является OU. Если вы перенесете группы в отдельное OU, то они все равно останутся доменными группами.


3. обязательно ли участие всех до единого пользователей в группе "domain users"? (вообще, группа "domain users" она кого объединяет: все объекты которые имеют имя пользователя и пароль?)
добавлено:решение
Технически это членство не является необходимым, но удаление пользователей из нее требует тщательного планирования разрешений во всем домене и может привести к неприятностям в дальнейшем.

4. может ли быть группа в группе: группа "it" может входить в группу "domain admins"? интуитивно я догадываюсь, что "да", но всеже хотелось бы узнать однозначный ответ)
добавлено:решение
см. здесь

5. если группа "it" входит в состав группы "domain admins" (а группа "domain admins", если я не ошибаюсь, по умолчанию входит в группу "administrators"), то обязательно ли пользователю, который входит в группу "it", давать права "administrators" или "domain admins"? или он возмет эти права по наследству?
добавлено:решение
да, по наследству. см. здесь
ответы из форума Майкрософт

Последний раз редактировалось rivera, 06-02-2007 в 11:44.

Отправлено: 09:22, 06-02-2007 | #15

Название темы: вопросы связанные с безопасностью в win2k3 (групповая политика)