Не отрабатывает gpo. - Компьютерный форум OSzone.net

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Windows Server 2008/2008 R2 (http://forum.oszone.net/forumdisplay.php?f=97)

- - Не отрабатывает gpo. (http://forum.oszone.net/showthread.php?t=266165)

sy7s	14-08-2013 14:13 2201404

Не отрабатывает gpo.

Добрый день.
Собственно есть домен на 2008r2.
Не получается применить раздел gpo, конфигурация компьютера.
Объект "компьютер", расположен в подконтейнере к которому прилинкована gpo.
В фильтр безопасности пробовал добавить встроенную группу "компьютеры домена", просто Computername$, не помогло.
Политики пользователя отрабатывают прекрасно. Система подопытного win2008r2.
Конктретно хотел изменить два параметра.
Конфигурация компьютера-Административные шаблоны-Система-Служба времени Windows-Поставщики времени-"Настроить ntp-клиент", "Включить ntp-клиент".
gpresult показывает в разделе конфигурация компьютера "Данные отсутствуют".
Что я неправильно делаю?

uel	14-08-2013 20:53 2201688

Цитата:

Цитата sy7s

встроенную группу "компьютеры домена" »

Вроде для встроенных групп gpo не применяется, хотя могу ошибаться.
Для начала в оснастке Управление групповой политикой смотрим наследование, вдруг ее просто перекрывает другая gpo.
Во вторых запустите rsop на компе и смотрите какие политики до него дошли.
И сам комп не в стандартном контейнере, который винда создает, надеюсь?

winbond

14-08-2013 22:07 2201735

Для встроенных отрабатывают.
В остальном непонятно. Стандартный Computers также отрабатывает. ГП включено/не включено для конкретного подразделения? Логи системс на пациенте ничего не говорят? (netlogon особенно)

P.S. Возможно комп слетел из домена, бывает такое - но почему, хз. Бывает раза два в год на каком-нибудь. Барабашка, как называю. Решается перезаводом в домен (->workgroup -> domain, в крайних случаях в АД сбросить комп). srv записи обновляются. В моем случае проблемы связаны скорее с керберос - смешанная среда из диси 2к, 2003 R2, 2008 R2 и с федерацией в 2012. Пичалько.

uel	14-08-2013 22:43 2201747

Цитата:

Цитата winbond

Стандартный Computers также отрабатывает. »

Нет, не отрабатывает.
http://dimanb.wordpress.com/2012/06/22/config-rd-gpo1/

Цитата:

По умолчанию учетные записи компьютеров создаются в контейнере Computers, который является классом container и отличается от подразделения тем, что в данном контейнере вы не можете создавать дочернее подразделение и к нему невозможно привязать объекты групповых политик, что в производственной среде считается крайне неудобным.

winbond

14-08-2013 22:49 2201751

Отрабатывает даже у меня. На стандартный Computers и прочее есть стандартная политика - default. Всё. Для диси другой дефолт. Тезку давно не читал, увы. Либо пивом, либо почитать, либо...есть варианты.

uel	14-08-2013 22:55 2201756

Верно. Только default на весь домен подействует, что нежелательно в большинстве случаев.

winbond

14-08-2013 23:04 2201761

uel, в другом посте заметил что это да - неправильно. Но действует. Вам шашечки или ехать? Вообще подумал: если домен маленький - 50 компов и около того юзеров -> смысла нет мутить что-то кроме опенсорца. но где взять админов под это?... негде

uel	14-08-2013 23:31 2201777

Цитата:

Цитата winbond

в другом посте заметил »

В каком? Не заметил)

Под опенсорцем имеете ввиду что-то вроде openLDAP? Сам хотел внедрить сначала, потом оценил сложность, отсутствие гпо, отсутствие явных преимуществ, количество костылей и решил забить.

sy7s	15-08-2013 07:29 2201863

Спасибо за ответы.
RSOP показывает что конфигурация компьютера применена.
Наверное сам затупил.
Проверял gpupdate /force & gpresult /h.
Конфигурация компьютера только после перезагрузки встанет?

Время: 07:57.