локальные и доменные политики
 

Доброго дня.
Зашёл вот на один из рабочих серверов глянуть локальные политики безопасности.
И вот что увидел:



Извините за терминалогию.
То что синими картинками - это от локальных политик. Это понятно.
А вот то, что я обвёл красными квадратиками - это от куда? я думаю, что это от дефолтной доменной политики.
Т.к. изменить там я ничего не могу.
Зашёл в доменную политику - действительно есть. Изменил. Выполнил GPUPDATE. Но в локальной политики параметры так и не поменялись.
Может нужно подождать? или я не прав насчёт доменной политики?

gpupdate /force

HLT, это вряд ли. То, что падает из домена, показывается оснасткой RSOP, а у автора не она на скриншоте. Так что имхо проблема в другом. А почему он изменить не может - вот это вопрос.

HLT, блин... что-то не понимаю.
Значит есть Локальные политики и Доменные Политики (про Политики ДК понятно).
Могу ли я повлиять доменными политиками на локальные ? Или нужно обойти каждый комп, что бы настроить локальные политики безопасности?
Dirk Diggler, смотрите, если я на голом домене зашёл в локалдьные политики, то эта политика с синим значком, а тут типа два сервера. Почему такой значёк, откуда он?
Это скрин не с ДК, а с сервера.

Вобще странно. Значит на Виртулке у меня есть ДК и Рабочая станция.
Через Доменные политьики безопасности разрешил вход локально Администраторам и user1.
Сделал gpupdate /force - и пытаюсь зайти на рабочюю станцию пользователем user2 - и вошёл

exo, так просто к сведенью политики применяются в следующем порядке L.S.D.OU или
L - локальные политики
S - политики сайта
D - политики всего домена
OU - политики организационной еденицы. если ОУ несколько то в иерархическом парядке.

групповые политики применяються при запуске ПК при входе пользователя в систему. по-умолчанию обнавляються каждые 90мин с 30мин разбросом, для того что все машины в домене через 90мин не ламонулись и не затопили запросами ДС.) это для рядовых ПК. для ДС политики обнавляются каждые 5мин. всё это конечно можно изменить через групповые политики.

wertyg, это всё понятно. вопрос в другом, почему меня на картинке локальной политики, политика имеет значёк "серверов", и я не могу изменить там ничего?
Или мне нужно для этого зайти не доменным пользователем, а локальным?
Вопрос ещё: LSDOU - если локальная политика запрещает RUN, а политика OU его разрешает, то будет RUN или нет?

ах да забыл сказать что политики перезаписываются. т.е.
сначала применяеться локальнаяПолитика. потом её замещает политикаСайта, потом политикаДомена, потом политики организационных едениц в иерархическом порядке. т.е. если у вас ОУ вложены один в одни тогда последняя применившаяся политика будет от самого ближайшего ОУ к обьекту политики. если политика "не Определена" это значит что действительным будет последнее определие или значение по-умолчанию.

... то RUN будет разрешён.

потому что у контроллера домена нет локальной политики! у него есть политикаБезопасностиДомена и политикаБезопасностиКонтроллераДомена. всё зависит от того что ты хочеш изменить.

а вообще что ты схватился за обходПерекрёстнойПроверки? нах она тебе?

это скрин не с контроллера домена. а с рядового сервера приложений.
это я к примеру.

- значит она назначена "сверху"
Каким именно ГПО назначен каждый параметр - можно увидеть в RSOP


вопрос не в том, что "не может", а в том что меняет - но не меняется.

Поэтому надо на клиентской машине и не мучать мозг

дык если клиентских больше 100 - только ждать 90 минут ?

Нет, именно не может. Найдите у себя в локальной политике аналогичным образом выделенные параметры. Вы не сможете их изменить - чекбоксы неактивны

exo, но значения по-умолчанию там неспроста.

также для вступления политик в действие поможет перезагрузка.) или как говорит HLT, перезагрузку можно выполнить и удаленно с помощью команды shutdown.exe, а второе с помощью телнет сесии.

да согласен с HLT, если это рядовая станция политика пришла сверху, но странно потому как у меня такого нет, точнее в том месте где ты показываеш.) там все "неопределено".

а вообще неплохобы сначала определить организационную структуру, потом прикинуть какие политики и в каких местах нужны(при возможности посоветоваться с кем нибудь. за это кстати деньги берут.))) ), потом проверить ещё раз всё и только после этого поднимать домен, назначать ГПО, заводить пользователей.) недостежимая реальность.)

открываем глаза и читаем: Поэтому Или начинаем учить автора темы правильно задавать вопросы.

хм... всё дело в том, что домен-то уже поднят, вот и расхлёбываю...
HLT, я то всё понял, чтобы локальная политика изменилась (то что на скрине), нужно изменить доменную политику и gpupdate /forece на 100 компах или перезагрузить все 100 компа, или дождаться 90 минут, или изменить политику обновления политик хм... и снова первые два "или"... Это на этом сервер сразу увижу обновление, а на рабочих станциях нужно "или" - "или".

Ну! А с какого перепуга они там должны измениться-то???? Чего вы удивляетесь-то? Что меняли доменную, а доменная и изменилась?
Вы локальную политику от RSOP отличаете? Это RSoP получается складыванием политик, а не локальная(которая есть отдельная сущность, с прочими GPO связана лишь косвенно).

Объясните, почему?

я исходил, что она перекроет локальную и пропишется там.
если это не подходит, то как мне изменить локальную политику, что на скрине?
я просто выделил эти парамтры для примера. на самом деле хочу поменять то, что выделенно синей строкой - Сетевой вход на комп.
отличаю, не беспокойтесь.

exo,
Воспользуйтесь консолью GPMC, где в наглядном виде представлены выигрывающие политики для компьютера.

я понимаю, что он покажет последнии политики которые применятся. Кстати как это в ГПМС посмотреть, для определёного компьютера?
мне нужно не увидеть какие есть, а изменить то, что на скрине. Если это меняется не через доменные политики, то как?

Group Policy Results - можно посмотреть применение на любой компьютер или пользователя.
Думаю, для начала надо узнать ДЕЙСТВУЮЩИЕ на компьютер политики.

мне не нужно знать какие есть, а нужно узнать почему я не могу поменять локальные политики безопасности сервера, даже если они переписываются другими политиками.

Действующие - те, которые применяются к компьютеру, т.е. результативные.
Если стоит галка "Не перекрывать" ( No override), к примеру.

тыкните меня, пожалуйста, где эта галка.

Delirium, ууу, а тоже самое при утановленном GPMS ?

На низлежащей может быть Block Inheritance.
Чем гадать - поставьте GPMC.

аааааа
срочная проблема появилась. Возможно связанно с GPO.
Есть рабочая станция. С неё можно войти на общие ресурсы рядовых серверов. А вот на общие ресурсы DC - не пускает.
Точнее как происходит дело.
Захожу под пользователем локально.
Далее: run -> \\dc_name\
спрашивает логин и пароль.
ввожу логин и пароль пользователя - никакой ругани, но снова просит ввести логин и пароль.
дальше, захожу на комп со своей учёткой, делаю теже манипуляции - результат тот же.
Ещё момент: на DC run -> rsop -> name_this_comp ---> нет доступа!
На компе стоит каспер - выключал.
Брэндмауер выключен.
Пожалуйста, помогите советом.
ну у меня и стоит, как там посмотреть "Перекрытие" ? Я только "Edit" нашёл, а параметры нет...

Создайте новую шару на сервере с полным доступом на доступ и разрешения ВСЕМ. Попробуйте зайти нужным пользователем(своей учеткой). Если не пустит(а такого быть не должно, если доступ есть всем), то будем ковырять дальше. Если пустит, а на другие не пускают, смотрите разрешения на сетевую папку, каким группам разрешен доступ и входит ли ваша учетка в эти группы.
Для совсем глобального теста внесите свою учетку в группу администраторов домена и попробуйте зайти на шару.

Delirium, понимаешь, дело не в шаре, вообще к DC доступа нет с проблемного компа.
т.е. когда набираю \\name_DC\ спрашивает пароль - ввожу и 0.
если я зайду этой учёткой на другой комп, то спокойно зайду на DC.

А вводите имя в каком виде? \\server\share или же \\server.local\share (к примеру)?
Ну а раз проблема в компе, то могу предложить загрузиться в безопаске с поддержкой сети, отрубить все файрволы на клиенте и посмотреть на результат.

да просто \\server\ - он должен вывести все шары, а я даже подключится не могу.

Попробуйте удалить Kaspersky Anti-Virus NDIS Filter.

хм... а там этого не было...

Это стоит в настройках сети(там где вы устанавливаете протокол TCP\IP, либо какой другой).

вот там этого и нет

пытаюсь к компу подключиться через просмотр событий, пиште - не найден сетевой путь.
Может какую службу остановили на компьютере? хотя на другие сервера то всё ок, только с ДК проблема. Короче, я попал...

Куча вариантов. "Сетевой вход в систему", "Служба Времени Windows" и т.п. Версию винды и ошибки в логах на проблемном компе в студию. А также - гарантию на отсутствие мультихомности, вирусов и левоты в Winsocks. Для чистоты эсперимента.

это что такое?
ошибок нет, только ошибки с доступом каким-то, но это относится к клиент-банку.
это включенно: на другие сервера и с других машин на ДК заходят.

exo, дополнительно проверьте политики:
HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters\enablesecuritysignature
HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters\requiresecuritysignature
HKLM\SYSTEM\CurrentControlSet\Services\lanmanworkstation\parameters\enablesecuritysignature
HKLM\SYSTEM\CurrentControlSet\Services\lanmanworkstation\parameters\requiresecuritysignature
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\lmcompatibilitylevel

Статьи:
http://support.microsoft.com/kb/887429/ru
http://support.microsoft.com/kb/916846

где-то я недавно их менял... сейчас гляну.

А пинг идет по полному доменному имени и по короткому? Все таки у меня настойчивое предположение, что дело в разрешении имен. По IP то работает все?

оба идут.
не работает.
вчера вот что сделал попытался подключить с компа евент вьюер DC - и тут получил - "отказанно в доступе".

Как бы увидеть результаты работы rsop.msc на проблемной машине?

а что именно от туда показать?
там столько всего.