![]() |
Не все групповые политики применяются на windows server 2003
Добрый день!
Имеется windows server 2003 R2 SP2 поднятые роли на сервере: - active directory - dns сервер (Устанавливал одновременно с помощью мастера установки) ОС пользователя добавленного в Acrive directory windows XP завел пользователя в active directory добавил компьютер в домен. в сети отражаются оба и сервер и компьютер. но никак не получается дать права пользователю на изменение параметров локальной сети, а именно изменение ip адреса и компонентов сети, что только не пробовал. интересно то что разрешить переименовывать/отключать/включать подключение по локальной сети можно а настроить его не получается пользователем. прилепил скрины если кто знает подксажите как дать права на изменению настроек сети пользователю через групповые политики? файлы : 1 - скрин где видно подразделение (OU) adm и свойства пользователя adm - принадлежность к группам 2 - скрин где видно принадлежность компьютера w03 добавленного в домен к группам 3 - скрин где видно групповые политики настройки сети то есть какие необходимо включить а какие отключить чтобы дать права на изменение настроек сети? в windows server 2008 standart групповые политики применял и возможность изменения настроек сети была, а вот в 2003 сервере ну никак не могу получить результат, как только не пробовал включать отключать пункты в этом разделе. лог выполнения команды ipconfig/all на сервере: Настройка протокола IP для Windows Имя компьютера . . . . . . . . . : dc2003 Основной DNS-суффикс . . . . . . : trest21.com Тип узла. . . . . . . . . . . . . : неизвестный IP-маршрутизация включена . . . . : нет WINS-прокси включен . . . . . . . : нет Порядок просмотра суффиксов DNS . : trest21.com Подключение по локальной сети - Ethernet адаптер: DNS-суффикс этого подключения . . : Описание . . . . . . . . . . . . : Intel(R) PRO/1000 MT Network Connection Физический адрес. . . . . . . . . : 00-04-23-CA-65-A4 DHCP включен. . . . . . . . . . . : нет IP-адрес . . . . . . . . . . . . : 192.168.0.1 Маска подсети . . . . . . . . . . : 255.255.255.0 Основной шлюз . . . . . . . . . . : DNS-серверы . . . . . . . . . . . : 127.0.0.1 Подключение по локальной сети 2 - Ethernet адаптер: DNS-суффикс этого подключения . . : Описание . . . . . . . . . . . . : Marvell Yukon 88E8050 PCI-E ASF Gigabit Ethernet Controller Физический адрес. . . . . . . . . : 00-04-23-CA-65-A5 DHCP включен. . . . . . . . . . . : да Автонастройка включена . . . . . : да IP-адрес автонастройки. . . . . . : 169.254.135.169 Маска подсети . . . . . . . . . . : 255.255.0.0 Основной шлюз . . . . . . . . . . : DNS-серверы . . . . . . . . . . . : 127.0.0.1 |
Добавляя пользователя в администраторы контроллера домена (1), вы порождаете 100% риск потери контроллера и вирусного поражения из-за неквалифицированных действий пользователя.
Добавляя компьютер в администраторы контроллера домена (2), вы порождаете риски поражения контроллера, но уже от лица операционной системы этого компьютера. (вообще никогда не понимал, зачем такое делают). Третий экран вообще ничего не решает, там ничего не настроено. В любом случае, настройки "менять параметры сети" там нет. Таковой настройкой является добавление учётной записи требуемого пользователя в локальную группу Network Confguration Operators на той машине, где это требуется. Но не на контроллере по-любому. Но вообще политики не должны нормально работать на рабочих станциях, так как на контроллере два сетевых интерфейса с IP-адресами, принадлежащими разным сегментам. Думаю, когда клиенты из одного сегмента будут обращаться к IP-адресу контроллера другого сегмента, будет отказ работы политик. |
Цитата:
- как они (клиенты) смогут это делать? - как-же тогда работает структура AD-Site с несколькоми Subnets? =) |
Цитата:
Цитата:
Цитата:
Хотя замечу в windows server 2008 stabdart мне удалось дать права на изменение настройки сети в частности изменение ip адреса путем добавления в группу "Операторы настройки сети" и включение и отключение политик из этой ветки указанной на скриншоте! после чего пришлось переустановить на windows server 2003 по другим причинам. |
В структуре АД с несколькими сегментами между подсетями обычно есть маршрутизация. В данном же случае контроллер просто зарегистрирован в DNS с двумя IP-адресами, а по какому из них клиенты попытаются связаться с контроллером? Скорее всего, через round robin (то есть, каждый адрес будет выдаваться клиентам по очереди). Как итог, в половине случаев политики работать не будут.
Умение читать - первое умение администратора. Вы добавляете пользователя в группу на КОНТРОЛЛЕРЕ; то есть, он повышенные привилегии получает, но на контроллере и только на нём. А вам где надо было? Да, и "желаемого результата не получил" ни капли не говорит ни о чём. Что конкретно, где, когда и куда было добавлено; как проверено? Поищу эту информацию у Нострадамуса.. |
Цитата:
правда в Windows DNS он тоже работает оригинально =( |
Я знаю, что включён. Но попробуйте вручную выполнить несколько раз nslookup, будут чудеса.
Забыл уже материал учебника, но склонен считать, что netmask ordering нормально себя покажет только при обозначении сайтов в AD Sites and Services. В реальной среде оно у меня не работает, пока ещё не вникал подробно, почему. И вот аналогия: связавшись с SCCM, вообще открыл для себя, что SCCM supenetting не поддерживает, каждый-каждый сегмент в нём обязательно следует прописывать отдельно. То есть, во всём есть свои проблемы и нюансы, и местами их объём зашкаливает. |
Цитата:
но проверять влом. по-сути вы правы. |
Цитата:
Подключение по локальной сети - Ethernet адаптер: IP-адрес . . . . . . . . . . . . : 192.168.0.3 Маска подсети . . . . . . . . . . : 255.255.255.0 DNS серверы . . . . . . . . . . . : 192.168.0.1 значит компьютер добавленный в домен получает политики от сервера с помощью dns сервера от 1 сетевого интерфейса. Цитата:
на windows server 2008 standart, получалось же, также добавлял пользователя домена в группу "Операторы настройки сети" и именно на контроллере! и пользователь садился за любой компьютер добавленный в домен логинился своей учетной записью и менял настройки ip адреса. Цитата:
-проверка осуществлялась путем включения/отключения политик в той ветке на скриншоте -команда gpupdate или pgupdate/force на компьютере добавленный в домен - и перезагрузкой тоже пользовался как метод обновления применения политик Цитата WindowsNT: Цитата:
прикладываю скриншот компьютера добавленного в домен и залогинившегося с учетную записью пользователь adm: 1- учетная запись adm добавленная в домен не отображается в пользователях и группах компьютера добавленного в домен (отображаются только локальный админ , учетка с именем "1" и гость и тд) 2- ip адрес выставлен в ручную 3- сеть доступна 4-картинка присвоена через групповые политики говорит о том что политики применяются! 5-нет прав на изменение свойств ip адреса вопрос остается открыт как дать права этому горепользователю на изменение свойств ip адреса? |
Время: 14:05. |
Время: 14:05.
© OSzone.net 2001-