Несколько общих вопросов по правильной организации управления службой каталогов
 

Всем доброго времени суток!
Я начинающий админ AD, отвечаю в крупной организации за развертывание службы каталогов, часть работы проделана, созданы 2 контроллера домена, с двумя DNS серверами, которые реплицируются между собой, введена часть ПК в стандартную организационную единицу "Computers", все пользователи заведены в стандартную организационную группу "Users". Теперь столкнулся с такой проблемой, что для различных пользователей нужны различные групповые политики... Я создавал для этого рабочие группы и добовлял их в перечень различных групповых политик по умолчанию, но я так понимаю, что это неправильно, что организовывать надо для этих целей новое подразделение (так как практически различные групповые политики - это работники разных отделов, в пределах отдела они одинаковые и работники различных дополнительных офисов). Что мне делать?
Создавать новые подразделения в соответствии со структурой свое организации и разбрасывать и компьютеры и пользователей по ним? Или есть ещё какой-то другой вариант?

Еще вопрос:
Стоит ли создавать отдельно OU для ПК отдела и для пользователей отдела? например: Компьютеры Отдела маркетинга и отдельную OU Пользователи отдела маркетинга? Проблема в том, что много пользователей одного отдела имеют login совпадающи

й с именем ПК отдела

Ответ - можно поступать как вам удобнее.

В вашем случае правильнее будет создать группы и на них назначать политики.

Да.

ок, спасибо большое, пока все!

Всем привет, есть еще два вопроса:
1. Где в групповых политиках можно запретить вывод в меню "Пуск" Пункт "Выбор программ по умолчанию"? Он добавляется автоматически при создании нового профиля и находится над пунктом Программы в меню пуск
2. Как для новых(профилей) установить отсутствие обоев по умолчанию и заменить их просто на заливку одним цветом, то есть мне надо оставить те обои которые уже есть на активных профилях, а убрать только для новых пользователей на ПК

Задать "классический" вид меню "Пуск".
Для этого они должны быть в разных OU.

по второму вопросу все понятно, а вот по первому - я так и сделал, но проблема именно в этом пункте меню:



Мне нужно скрыть "Выбор программ по умолчанию"

Подскажите еще такой момент:
Как сделать синхронизацию времени на компьютерах при подключении к контроллеру домена?

по поводу времени - смотрите команду net time

по поводу "Выбор программ по умолчанию" - есть подозрение, что этот ярлык находится где-то в "C:\Documents and Settings\Default User\Главное меню", посмотрите, возможно достаточно удалить его оттуда?

Либо ярлык может быть в "C:\Documents and Settings\All Users\Главное меню", тогда при удалении его одним из пользователей (требуются права администратора) у остальных на этом компьютере этот ярлык тоже пропадет.

У меня при создании профиля этот пункт меню не создается

net time используется, но для него надо давать права изменения системного времени, которое отсутствует по умолчанию у группы Users, хотелось бы не менять настройки по умолчанию и не создавать новых групп с правом смены времени.

ЕЩЕ ОДИН вопросик. Некоторые рабочие станции работаю под управлением win 200 wrk +sp4, в групповых доменных политиках выставлена настройка по отключению встроенного фаервола на winxp+sp2, при вводе в то же подразделение win2000 при загрузке вываливается собщение, что невозможно применить настройки firewall, можно ли без перемещения в другое подразделение исправить эту ситуацию?

Объясню, как у меня настроены политики: создано общее подразделение "Рабочие станции", внутри - подразделения (различные отделы). Создается новая ГП, если она относится ко всем, то связывается с папкой "Рабочие станции", если к отделу, то соотвественно - с папкой отдела. Стандартные ГП (Default Domain Policy и Default Domain Controllers Policy) не редактирутся, для любых изменений создаются новые ГП. В названии ГП пишу то, что они меняют (например, "Программы - 7zip (x64)", "Службы - Удаленный реестр", "Сертификаты - Интернет"). Если ГП нужны для каких то определенных машин, причем входящие в разные отделы (например, установка ПО), то создаю группу (например "GPO - Compas 3D"), в которую добавляю имена компьютеров, на которые должна эта ГП применятся и удалив справа "Прошедщие проверку", добавляю эту группу. Стоит добавить в эту группу компьютер (если ГП связана с компьютером) и при следующей загрузке это правило применяется. Испульзуются фильтры (отделение 32-битной и 64-битной ОС, наличие офиса определенной версии, количество оперативной памяти и т.д.), но если у вас есть машины с Windows 2000, то они эти фильтры не понимают, поэтому лучше их обособить в отдельном подразделении.

Понял, спасибо, сейчас переделаю

Есть необходимость, чтобы все пользователи домена могли подключаться ко всем telnet серверам, которые запущены на рабочих станциях в домене. Как это сделать?
Можно конечно завести на рабочих станциях локальную группу безопасности TelnetUsers и поместить в неё доменную группу безопасности - Пользователи домена, но это долго, так как рабочих станций много.

Так и раздавайте права на уровне домена.
Это Вам зачем?

Я не знаю как это сделать, подскажите... Я не нашел в редакторе политики безопасности домена возможность указать группы пользователей, которым разрешен доступ к службе telnet на рабочих станциях.