|
[решено] Ошибка 1024 Userenv - Проблема с применением GPO на членах домена.
Домен под Windows 2003. Члены домена под Win XP Pro. Хотел запретить запуск левых программ: на Win XP Pro *в Local computer policy поставил Enabled на свойстве "Run only allowed Windows programs" и указал какие проги запускать. Под локальным профайлом ограничение работает, а если зайти под профайлом домена - нет. Тогда на домене в "Domain controller policy" сделал то же самое. Всё равно если зайти на рабочую станцию под доменным профайлом - ограничение не работает. Что не так сделал?
[s]Исправлено: alexzz, 3:35 24-08-2004[/s] |
Груповая политика в сети с доменом Windows 2003
Цитата:
Вообще говоря, default крутить не стоит. Заведите контейнер, положите туда пользователей и их компьютеры. Для контейнера создайте групповую политику. |
Груповая политика в сети с доменом Windows 2003
Цитата:
Но если хотите, то используйте "Domain policy", а не "Domain controller policy" |
Груповая политика в сети с доменом Windows 2003
Цитата:
Что может быть? |
Груповая политика в сети с доменом Windows 2003
Еще это может быть рассинхронизировано время. Особенно, если клиенты имеют статические адреса.
Настрой синхронизицию времени с сервером. |
Груповая политика в сети с доменом Windows 2003
Путь как указывали?
|
Груповая политика в сети с доменом Windows 2003
Цитата:
В Active Dir есть компы, члены домена, правой кнопкой нажал на компе и сделал move в свой OU. |
Груповая политика в сети с доменом Windows 2003
Путь к прогам как указывал в политике?
[s]Исправлено: Jussy, 17:39 25-08-2004[/s] |
Груповая политика в сети с доменом Windows 2003
Просто без пути: Winword.exe и т.п. Для локальных юзеров всё работает, а для доменных - нет.
|
Груповая политика в сети с доменом Windows 2003
А вообще политика срабатывает? Другие ключи менять пробовал? На клиентах отражалось?
|
Груповая политика в сети с доменом Windows 2003
Цитата:
|
Груповая политика в сети с доменом Windows 2003
Локально на ХР в gpedit.msc ничего не крутили?
см. Конф.комп./Адм.шаблоны/Система/Групповая политика И что говорит gpresult ? [s]Исправлено: Dennis, 15:38 26-08-2004[/s] |
Груповая политика в сети с доменом Windows 2003
Цитата:
|
Груповая политика в сети с доменом Windows 2003
Синхронизировал время - не помогло. Кто нибудь сталкивался с таким? Помогите пожалуйста!
|
Груповая политика в сети с доменом Windows 2003
Читай инструкции ниже:
|
Груповая политика в сети с доменом Windows 2003
Цитата:
|
Груповая политика в сети с доменом Windows 2003
Ну ладно, уламал - шли тогда MPSReports с твого единственного ДК и с работчей станции - одной "хорошей" и одной "плохой". Позыбаем, чем они у тебя там живут.
|
Груповая политика в сети с доменом Windows 2003
alexzz
GPresult попробуйте с ключами.. и GPResPolicy из меню Admins tools |
Груповая политика в сети с доменом Windows 2003
Представляете сегодня (через 20 дней после установки) политика заработала! Запускаються только программы, которые в определены "Run only allowed Windows programs". Сначала добавил ещё других програм, применил, перезагрузил рабочую станцию - всё заработало. Но после этого добавить ещё каких-то програм для запуска невозможно - просто добавляются в Run only allowed Windows programs, а рабочие станции не реагируют. Что это за чертовщина - заработало через 20 дней, а при добавлении новых програм политика уже не реагирует(я чесно ничего за 20 дней не менял, а доступ к GP на сервере имею только я)?
Добавлено: Представляете сегодня (через 20 дней после установки) политика заработала! Запускаються только программы, которые в определены "Run only allowed Windows programs". Сначала добавил ещё других програм, применил, перезагрузил рабочую станцию - всё заработало. Но после этого добавить ещё каких-то програм для запуска невозможно - просто добавляются в Run only allowed Windows programs, а рабочие станции не реагируют. Что это за чертовщина - заработало через 20 дней, а при добавлении новых програм политика уже не реагирует(я чесно ничего за 20 дней не менял, а доступ к GP на сервере имею только я)? |
Груповая политика в сети с доменом Windows 2003
Проверь, чтобы Infrastructure Master не был на ДК с ГК, если у нас есть следующий сценарий:
- Домен содержит N Доменных Контроллеров. - Домен содержит M Глобальных Каталогов, где N > M. KB248047 "Phantoms, Tombstones and the Infrastructure Master" http://support.microsoft.com/?id=248047 |
Груповая политика в сети с доменом Windows 2003
Vovan911
Цитата:
Добавлено: alexzz Проверяйте настройки, dns, dhcp. Внимательно изучите отчет gpresult. Если рабочие станции со статическими ip, то проверьте какой dns у них стоит, д.б. ДК. Закройте политикой на одной из рабочих станций: Конф.комп./Конф.Винд./Парам.без./Лок.пол./Пар.без./Кол-во пред.обр.к кэшу = 0 и Предотвр.обработки пароля = включен. Тогда при загрузке если недоступен домен во входе будет отказано. Если так, значит ошибки в наличии. И в таком случае политики не применяются. |
Груповая политика в сети с доменом Windows 2003
GPResult пишет что "Run only allowed Windows programs" работает и список програм тот что я записывал, но не все програмы из этого списка запускаются... У меня на рабочих станциях динамические IP. Сегодня проверю DNS и DHCP потом напишу...
|
Груповая политика в сети с доменом Windows 2003
Короче отключить эту политику я теперь не могу... Точнее я её отключил, но GPResult для этого юзера пишет дальше, что она включена. Уже и фоновое обновление политик посмотрел. Ни черта не врубаюсь где проблема. Что она теперь отключиться(как и включилась) опять через 20 дней-маразм полный!?
|
Груповая политика в сети с доменом Windows 2003
alexzz
а рабочая станция какая? ХР? если да, то прогоните еще и GPResul Set of Policy из меню Администрирование. точно политика, которую вы правили - действовала на эту рабочую станцию? имена совпадают в списке, полученном GPResult? что в жураналах событий на клиете? сообщения в журнале приложений от источника SceCli - имеются? какие? дополнительные настройки какие еще через ГП приходят? |
Груповая политика в сети с доменом Windows 2003
Рабочая станция XP Prof. Вот что выдала GPresult... New Group Policy Object - политика, которую я создал для этих юзеров и раб. станции. Там я и поставил "Run only allowed Windows programs". Теперь эта политика отменена, а ограничения дальше действуют... Короче вот отчёт:
RSOP results for SERVER\kotuha on LIGA5 : Logging Mode ------------------------------------------------------- OS Type: Microsoft Windows XP Professional OS Configuration: Member Workstation OS Version: 5.1.2600 Domain Name: SERVER Domain Type: Windows 2000 Site Name: Default-First-Site-Name Roaming Profile: \\server1\Profiles\kotuha Local Profile: C:\Documents and Settings\kotuha Connected over a slow link?: No COMPUTER SETTINGS ------------------ Last time Group Policy was applied: 22.09.2004 at 12:19:55 Group Policy was applied from: server1.server.local Group Policy slow link threshold: 500 kbps Applied Group Policy Objects ----------------------------- Default Domain Policy Политика локальной группы The following GPOs were not applied because they were filtered out ------------------------------------------------------------------- New Group Policy Object Filtering: Not Applied (Empty) The computer is a part of the following security groups: -------------------------------------------------------- USER SETTINGS -------------- Last time Group Policy was applied: 22.09.2004 at 13:23:13 Group Policy was applied from: N/A Group Policy slow link threshold: 500 kbps Applied Group Policy Objects ----------------------------- New Group Policy Object Default Domain Policy Политика локальной группы The user is a part of the following security groups: ---------------------------------------------------- Domain Users Все BUILTIN\Users ЛОКАЛЬНЫЕ ИНТЕРАКТИВНЫЕ Прошедшие проверку Какие будут предложения? |
Груповая политика в сети с доменом Windows 2003
Ну прям уж так и отменил, а они "действуют" :)
Смотрим настройки COMPUTER SETTINGS и имеем The following GPOs were not applied because they were filtered out ------------------------------------------------------------------- New Group Policy Object Эти ты отменил. Одухотворенные успехом читаем дальше USER SETTINGS -------------- И имеем Applied Group Policy Objects ----------------------------- New Group Policy Object Что собственно и поддтверждает тот факт, что настройки применяются. Аспирин. Запусти на server1.server.local в коммандной строке Если это 2000: secedit /refreshpolicy user_policy /enforce secedit /refreshpolicy machine_policy /enforce Если это 2003: gpupdate /force На LIGA5 запусти в командной строке gpupdate /force |
Груповая политика в сети с доменом Windows 2003
Цитата:
по логу, видно, как указал вам верно Vovan911 что для пользователя, которым вы регистрируетесь эта политика применяется все равно. можно для ее отмены: в пареметрах ОГП (New Group Policy Object) - кнопка есть парамерты - отметить галку - ОТменено. либо, просто удалить ссылки этого ОГП в АД. делается через кнопку удалить - и выбора соответсвующего параметра. |
Груповая политика в сети с доменом Windows 2003
Цитата:
Цитата:
И юзеров уже убирал из этой политики - ничего не помогает - похоже что-то типа фоновое обновление параметров политики выставлено неправильно - хотя там я тоже всё пересмотрел. |
Груповая политика в сети с доменом Windows 2003
alexzz
тогда посмотрите, пожет у вас этот ОГП (New Group Policy Object) имеет еще какие - либо привязки в дереву домена. зайдите в закладку групповой политики, выберите пункт добавить, откроется новое окно, в нем перейдите на закладку все. выберите (New Group Policy Object) - и нажмите из контектсного меню Свойства. Далее на закладку Связи. Нажмите Найти. отобразится список всех ОУ, куда прикреплен данный ОГП. возможно у вас несколько связей у него просто. если не поможет, то удалите все связи( но не сам объект групповой политики), обновите политику на клиенте (перезагрузка, или как указал Vovan911). проанализируйте логи GPresult |
Груповая политика в сети с доменом Windows 2003
Я посмотрел линки груповой политики New Group Policy Object. Там в ОУ только мной созданная группа, в которой я обьеденил юзеров и компьютеры... Так что лишних ссылок нет....:(
|
Груповая политика в сети с доменом Windows 2003
alexzz
Цитата:
давайте попробуем переименовать ОГП New Group Policy Object во что-либо более понятное, например Restrict user programs. а потом посмотрим, применится ли это изменение на компьютере клиента. если отобразится, значит проблем с обновлением нет.. удалите совсем ваш сбойный ОГП (этот самый) и, если вам необходимо, создайте вновь и подключите. если никуда подключать не требуется (сейчас же этот ОГП отключен), то и создавать новый не нужно.. |
Груповая политика в сети с доменом Windows 2003
Цитата:
Запустив GPResult на раб. станции вижу всё тот же результат, что и выше уже выкладывал... Добавлено: Цитата:
|
Груповая политика в сети с доменом Windows 2003
Цитата:
не может же быть ГП - призраков? воспользуйтесь анализом через команду gpresult /s (из ресурс кита 2000го сервера), може больше информации получится получить? ЗЫ профиль пользователя перемещаемый у вас, кстати. может попробовать обыного пользователя, без выкрутасов разных? создать пустого в домене и попроовать под ним еще раз все проверить? |
Груповая политика в сети с доменом Windows 2003
Только что на раб.станции зашёл в eventviewer - и вот что интересное там обнаружил в секции "application"(правда время не то, когда я делал gpupdate):
Event Type:Error Event Source:Userenv Event Category:None Event ID:1054 Date:27.09.2004 Time:23:37:07 User:NT AUTHORITY\SYSTEM Computer:LIGA5 Description: Windows cannot obtain the domain controller name for your computer network. (The specified domain either does not exist or could not be contacted. ). Group Policy processing aborted. А вот предыдущая ошибка от туда же: Event Type:Error Event Source:Userenv Event Category:None Event ID:1054 Date:27.09.2004 Time:20:15:01 User:NT AUTHORITY\SYSTEM Computer:LIGA5 Description: Windows cannot obtain the domain controller name for your computer network. (Указанный домен не существует или к нему невозможно подключиться. ). Group Policy processing aborted. Добавлено: COMPUTER SETTINGS ------------------ * *Last time Group Policy was applied: 28.09.2004 at 0:34:05 * *Group Policy was applied from: * * *server1.server.local * *Group Policy slow link threshold: * 500 kbps * *Applied Group Policy Objects * *----------------------------- * * * *Default Domain Policy * * * *Политика локальной группы * *The following GPOs were not applied because they were filtered out * *------------------------------------------------------------------- * * * *New Group Policy Object * * * * * *Filtering: *Not Applied (Empty) * *The computer is a part of the following security groups: * *-------------------------------------------------------- USER SETTINGS -------------- * *Last time Group Policy was applied: 28.09.2004 at 0:34:05 * *Group Policy was applied from: * * *N/A * *Group Policy slow link threshold: * 500 kbps * *Applied Group Policy Objects * *----------------------------- * * * *New Group Policy Object * * * *Default Domain Policy * * * *Политика локальной группы * *The user is a part of the following security groups: * *---------------------------------------------------- * * * *Domain Users * * * *Все * * * *BUILTIN\Users * * * *ЛОКАЛЬНЫЕ * * * *ИНТЕРАКТИВНЫЕ * * * *Прошедшие проверку Добавлено: Цитата:
[s]Исправлено: SkyF, 2:00 28-09-2004[/s] |
Груповая политика в сети с доменом Windows 2003
Цитата:
http://eventid.net/display.asp?event...nv&phase=1 проверьте сначала настройки DNS на этом клиенте (первичный сервер DNS в настройках TCP должен указывать на первый контроллер домена (на нем аккурат служба DNS должна быть автоматически при создании домиена быть и настроена уже) - и так для всех компьютеров в сети , отключите все файрволы, и выполните на клиенте netdiag (кажется входит в Support Tools дистрибутива сервера), да и на сервере.. потом посмотрим.. Цитата:
http://www.microsoft.com/windows2000...gpresult-o.asp далее желательно скачать и изучить (сильно близко к тексту) Troubleshooting Group Policy in Windows Server 2003 из этой же книги берем данные о Appendix: Group Policy Log Files и утилитах прочих и откуда их взять... |
Спасибо всем, кто помогал разобраться с проблемой. Так и есть - глючил DNS-сервер... Теперь всё работает, "как книжка пишет"! Единственная загадка осталась нераскрытой- как GP применилась через 20 дней после установления её на сервере, если был неправильно настроен DNS-сервер и после этого никакие изменения не входили в силу... :oszone:
|
вот еще пару линков на схожие темы:
fix! На клиентах домена перестали применяться настройки групповой политики (GPO) fix! измененя групповой политики паролей не применяются на клиентах домена однако все проблемы по групповой политике обсуждаем тут. |
Dennis:
Цитата:
Но это лишь ИМХО. Поэтому хочется узнать кто и что думает по этому поводу. И еще. Существует ли у Microsoft документация по грамотной настройке Active Directory? Советы и рекомендации какие-нибудь или как надо делать, а как не надо. Буду признателен за любое мнение и любые ссылки... |
rooty
Да И кто Вам сказал, что Default Domain Policy "самая главная"? В принципе, F1 никто не отменял. |
rooty
Цитата:
Цитата:
Компьютеры пользователей лежат изначально в контейнере computers. К контейнеру не применяются политики. (точнее только default...) Цитата:
Account Policies применятся к компьютерам, а если вы компьютеры пользваотелей не положили в OI, то естественно, так и будет. В случае OI все применяется. И Default Policy может быть и заблокирована ;) |
Цитата:
настройки Account Policies вступают в силу только на "уровне домена". На "уровнях ОП" они не используются. Этим, кстати, иногда определяется необходимость выделения дочерних доменов, где требования безопасности отличаются от исходного. На уровне домена может быть прилинковано несколько ОГП, при этом в случае возникновения конфликтых ситуаций, используется приоритетность - порядок первый - второй - третий ОГП и тд.. По умолчанию на уровне домена уже присутствует только Default Domain Policy - которая и стоит первой в этом списке (и единственной). все новые ОГП, прилинкованные к этому уровню -становятся следующими -вторыми, третьими и тд.. и соотвественно имеют более низкий приоритет при разрешении конфликтов. Если не трогать ОГП по умолчанию.. и для своих политик создавать свои ОГП, то при прилинковании их на этом уровне -необходимо менять очердность и перемещать "свои" ОГП выше по списку, чем Default Domain Policy (об этом в как раз и говорится на зкладке Групповой политики в свойствах уровня домена). |
Здравствуйте Уважаемые форумчане, как я посмотрю у вас знаний немеренно тогда помогите разобраться.
Имеется Winda2000 Server и созданный на нем Organization Unit , в нем Группа безопасности с глобальной областью действия. Групповая политика прилинкованная к контейнеру Organization Unit распространяется только на юзеров которые находятся внутри етого контейнера, а вот на юзеров внутри Группы безопасности не действует. Как можно исправить ситуацию ? |
Serjione
Воспользуйтесь GPMC от МС, увидите, как распространяются политики. |
Serjione
во-первых - объекты групповой политики не применяются на группы. Их воздействие осуществляется на объекты безопаности - Учетные записи пользователей и компьютеров - те на те объекты, которые имеют параметры для настроек в этих ОГП. На группы все-таки можно настроить применение, однако все равно, учетные записи должны "попадать" под действие ОГП - те его прилинковывыют на высоких уровнях (домена или организационного подразделения. во-вторых: правильно говорить организационное подразделение (Organisation Unit - в переводе), а не контейнер. Объект контейнер был введен специально - на него нельзя подключить ОГП. отчего фраза: Групповая политика прилинкованная к контейнеру Organization Unit - как вы понимаете абсурдная, к тому же подключают на саму ГП, а объект групповой политики - ОГП. |
Цитата:
|
Serjione
Помещаете группу безопасности в OU ( ОП ), делаете линк на существующую ГП. (Еще раз советую GPMC- http://www.microsoft.com/downloads/d...displaylang=en) |
подробее можно, но времени нет, извиняйте.
можно отправить вас во встроенную справку в раздел фильтрация применения ОГП при помощи групп новая политика - на уровень домена - настройки для пользователей - свойства ОГП - безопасность - группу прошедшие проверку удаляем - на ее место с теми же разрешениями (чтение и применение) добавляем нужную группу. результат - все из уч записей, кто в этой группе - применят настройки, кто не входит - право на это иметь не будут. |
Дело в том что мне нужно добавить(именно добавить а не переместить) пользователя находящегося в Domain Admins в группу где бы я ему смог бы обрезать права, чиста чтобы проверить есть такая возможность или нет. А правой кнопочкой на юзере есть пункт добавить только в группу, поетому создал Организационное подразделение, создал в нем новую группу безопасности и добавил туда етого юзера. Попробовал к нему привязать политику через GPMC (Спасибо monkkey) и как получается ето невозможно. Извиняйте если надоел.
|
да уж =))
все что вы хотите я уже отметил для вас: Цитата:
|
Извините, но ваши советы не прокатали. Буду копать дальше сам. Спасибо.
|
приветствую вас, знатоки
у меня возникла аналогичная проблема, с неприменением ГП, т.е. раньше все работало, но было несколько отключений света, очень длительных, и сервак отрубился (UPS сдох)... наверно после этого глюк и попер. собственно хотел я изменить кое-какие параметры безопасности, для ОП, но они не вступили в силу! перед тем как я начал все это воротить у меня было 5 политик, каждая для своей группы пользователей (Menedgers, Buhgalters, Other...) названия у них были одноименные. изменять их я не стал, а как я обычно делаю создал политику TEST и там настроил политику ограниченния использования программ. но ничего не изменилось, тогда я начал тестировать, изменил рисунок рабочего стола, не применилось... тестил я для одного компа, назовем его TestComp, на TestComp в репорте gpresult было сказано, что применена только политика Other, а остальные отфильтрованы (Отказано по безопасности). Политикой TEST там вообще не пахло... далее в событиях компа TestComp нашел такие две ошибочки: 1030 и 1058 в первой сказано, что не удалось получить список политики, а во второй описание проблемы: не удалось получить доступ к файлу GPT.INI, указан путь и грит сетевой путь не найден, однако путь существует и доступен всем . начался гемор, вот проделонные действия: 1. gpupdate /force на серваке и на клиенте, рестарт... ничего 2. удалил нахрен все политики, оставил только TEST, gpresult на клиенте грит что все так и осталось (все старые политик показывает), причем я не только ссылки удалил, но и сами файлы. 3. восстановил дефолтную политику безопасности... ничего 4. лазил на мелкософте, читал про ошибки 1058 и 1030 грят, что DFS может виноват, проверил реестр, там ничего нет, создал ключ включил DFS (я так думаю)... gpupdate /force -> restart -> gpresult ->тоже самое 5. вывел комп TestComp из домена, загрузил, ввел снова и ... изменились политик безопасности компьютера, а именно, удалился тот список политик, который был (я их давно уже удалил)... но ГП юзера, те же, что и писал выше 6. скачал прогу GMPC, сделал анализ TestComp, показывает то же что и gpresult, но вывел другую ошибку с тем же смыслом: Component Status failed, не найден сетевой путь. Эх... заб=ся кстати после установки этой проги исчезла вкладка настройки ГП из AD, как дефолтовой, так и для ОП 7. зашел сюда, прочитал эту и ещё одно похожую тему, перепробЫвал все изложенное, ничига, думал что DNS погнал, перезагрузил, в эвенте грит ОК, запущен. 8...... решил спросить у вас! и к сожалению у меня нет времени ждать 20 мистических дней... :( |
Вложений: 1
Жуть какая-то.
Вобщем ситуация. Тестирование. Сервер 2003 SP2 R2, клиенты XP SP2. На сервере расшаренная папка DOCS. В эту папку черех GP перенаправляется папка "Мои документы" пользователей. Входим пользователем, все пучком. Папка перенаправляется куда надо, выставляются нужные права, тестовый пользователи на тестовой машине успешно выполняет все операции. Реальность. После тестирования, создаю по образу и подобию расшаренную папку на файл сервере (не том на котором тестировалось) . В старой политике (на которой тестил) отключаю перенаправление папки "Мои документы", в новой политике, созданной для целевого OU (компьютер и пользователь уже в нем) включаю перенаправление документов в созданную папку. В итоге. Вся политика применяет к компьютеру и пользователю (включая параметры из созданных вручную adm шаблонов), за исключением перенаправления папки "Мои документы". Она упорно пытается перенаправляться по старому значению (в тестовую папку на тестовом сервере). Должно направляться \\dcfs\docs\%USERNAME%\ (задано в политике), пытается направляться \\dcweb\share\docs\%USERNAME%\ (было задано в другой политике и позже отключено) В домене 4 контролера, один хозяин операций, DNS работает, никаких сообщений в логах о сбоях, репликация тоже проходит по плану. Проверил на всех контролерах политика со всеми параметрами одинаковая (включая самодельные adm которые добавлял только на 1 машине хозяине операций). В старой политике в настройках перенаправления стоял чекбокс "При отключении политики перенаправить папку в локальный профиль пользователя" gpupdate /force делал на всех контролерах и на тестовой машине. Свойства двух применяемых политик и результаты GP modeling и GP resultat в аттаче поста Хелп! Весь моск себе поломал. ЗЫ. А почему тестовая машина получает политику с одного из 3 дополнительных контролеров домена, а не с основного (хозяин операций)? Так и задумано? |
удалил все политики, оставил только DDP, не помогает...
Как можно восстановить дефолтовую политику домена? |
ё мое... ничего не помогает....
|
Запусти gpresult /v на клиенте
|
да запускал уже все что можно.
В домене осталась только одна политика дефолтовая да и ту через dcgpfix.exe сбросил до состояния на момент установки. Тем не менее к пользователям продолжают применяться так сказать фантомные политики... Думал может на тестовой машине глюки какие-то. Взял голую машину, поставил винду, подключил к домену. Те же яйца, только в профиль. к любому пользователю на машине применяются параметры несуществующей политики. Теряюсь в догадках. Каким может быть вообще алгоритм возвращения всего домена к исходному состоянию? Удалить все политики, восстановит DDP dcgpfix.exe одновременно на всех доменах? Где могли прижиться эти фантомные политики? |
Запусти gpresult /v на клиенте и выложи результат.
|
Код:
Microsoft Windows XP [Версия 5.1.2600] |
Судя по результату, у тебя никакого перенаправления сейчас не стоит, а стоит значение "неопределенно", в результате чего ИМХО она берет последние активное перенаправление папки.
Теперь сделай ГП с перенаправлением папки и привяжи к ОУ пользователя, и сделай команду на клиенте еще раз. ЗЫ Оформляй результат тэгом [code] |
завтра с утра сделаю выложу. уже не на работе.
Но откуда он берет последнее перенаправление если все политики были удалены, а дефолтовым доменным сделан откат до исходного состояния (dcgpofix). После этого проверил sysvol на всех контроллерах, везде только две дефолтовых политики с одинаковой версией. В реестре тестовых машин тоже ничего остаться не может, так как на машины залил чистую винду. Первоначальные тестовые OU и пользователей удалил. создал новые с другими именами. Я в осадке. ДоМен с приведениями какой-то. |
Если бы ты поставил на папке перенаправления, значение не "не определено", а "Запрещено", то перенаправление бы отменилось, а так ИМХО параметр политиками не трогался, и оставалось последнее перенаправление.
|
хмм.. и де там "запрещено" я вижу только "не задано" и два варианта перенаправления (простой и расширенный. Значение "Запрещено" ни для одной из папок перенаправления не вижу.
Кстати в политике стояло для перенаправляемых папок "При отключении политики перенаправить назад в локальный профиль пользователя" |
Да... Ну значит ошибся, сегодня ночью буду на работе поэкспериментирую.
Но все равно попробуй теперь привязать политику с перенаправлением в другую папку. |
вроде бы проблема решилась сама собой...
после обеда полез проверять. все политики обрабатываются корректно |
Люди - подскажите!.. почему может не применяться политика "Группы с ограниченным доступом"... GPResult выдаёт:
Цитата:
вот мой GPResult: Цитата:
Цитата:
Помогите кто чем может)).. |
Спасибо всем большое за помощь)))...
Оказалось что эта политика применяется для компьютера - надо было в OU добавить нужные компьютеры домена. |
| Время: 20:26. |
Время: 20:26.
© OSzone.net 2001-