Не все групповые политики применяются на windows server 2003
 

Добрый день!

Имеется windows server 2003 R2 SP2
поднятые роли на сервере:
- active directory
- dns сервер
(Устанавливал одновременно с помощью мастера установки)

ОС пользователя добавленного в Acrive directory windows XP

завел пользователя в active directory добавил компьютер в домен.
в сети отражаются оба и сервер и компьютер.

но никак не получается дать права пользователю на изменение параметров локальной сети, а именно изменение ip адреса и компонентов сети, что только не пробовал.
интересно то что разрешить переименовывать/отключать/включать подключение по локальной сети можно а настроить его не получается пользователем.

прилепил скрины если кто знает подксажите как дать права на изменению настроек сети пользователю через групповые политики?

файлы :
1 - скрин где видно подразделение (OU) adm и свойства пользователя adm - принадлежность к группам
2 - скрин где видно принадлежность компьютера w03 добавленного в домен к группам
3 - скрин где видно групповые политики настройки сети то есть какие необходимо включить а какие отключить чтобы дать права на изменение настроек сети?

в windows server 2008 standart групповые политики применял и возможность изменения настроек сети была, а вот в 2003 сервере ну никак не могу получить результат, как только не пробовал включать отключать пункты в этом разделе.

лог выполнения команды ipconfig/all на сервере:

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : dc2003
Основной DNS-суффикс . . . . . . : trest21.com
Тип узла. . . . . . . . . . . . . : неизвестный
IP-маршрутизация включена . . . . : нет
WINS-прокси включен . . . . . . . : нет
Порядок просмотра суффиксов DNS . : trest21.com

Подключение по локальной сети - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Intel(R) PRO/1000 MT Network Connection
Физический адрес. . . . . . . . . : 00-04-23-CA-65-A4
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.0.1
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . :
DNS-серверы . . . . . . . . . . . : 127.0.0.1

Подключение по локальной сети 2 - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Marvell Yukon 88E8050 PCI-E ASF Gigabit Ethernet Controller
Физический адрес. . . . . . . . . : 00-04-23-CA-65-A5
DHCP включен. . . . . . . . . . . : да
Автонастройка включена . . . . . : да
IP-адрес автонастройки. . . . . . : 169.254.135.169
Маска подсети . . . . . . . . . . : 255.255.0.0
Основной шлюз . . . . . . . . . . :
DNS-серверы . . . . . . . . . . . : 127.0.0.1

Добавляя пользователя в администраторы контроллера домена (1), вы порождаете 100% риск потери контроллера и вирусного поражения из-за неквалифицированных действий пользователя.
Добавляя компьютер в администраторы контроллера домена (2), вы порождаете риски поражения контроллера, но уже от лица операционной системы этого компьютера. (вообще никогда не понимал, зачем такое делают).
Третий экран вообще ничего не решает, там ничего не настроено. В любом случае, настройки "менять параметры сети" там нет. Таковой настройкой является добавление учётной записи требуемого пользователя в локальную группу Network Confguration Operators на той машине, где это требуется. Но не на контроллере по-любому.

Но вообще политики не должны нормально работать на рабочих станциях, так как на контроллере два сетевых интерфейса с IP-адресами, принадлежащими разным сегментам. Думаю, когда клиенты из одного сегмента будут обращаться к IP-адресу контроллера другого сегмента, будет отказ работы политик.

всего два вопроса:
- как они (клиенты) смогут это делать?
- как-же тогда работает структура AD-Site с несколькоми Subnets? =)

добавление в группу "администраторы" делалось только для того, чтобы проверить будет ли пользователь обладать правами на изменение настроек сети.

скриншот представлен для следующей цели: узнать какие именно политики из представленных на скриншоте необходимо включить или отключить чтобы появилась возможно у пользователя/администратора/оператора настройки сети изменять настройки а именно ip адрес и сетевые компоненты. пытался по разному включать и отключать политики все варианты которые применял включая отключая политики выкладывать смысла невижу т.к. быстрее будет подсказать какие нужно включить или отключить политики.

учетная запись добавлена в группу "Операторы настройки сети" - но как факт желаемого результата я не получил.

Хотя замечу в windows server 2008 stabdart мне удалось дать права на изменение настройки сети в частности изменение ip
адреса путем добавления в группу "Операторы настройки сети" и включение и отключение политик из этой ветки указанной на скриншоте! после чего пришлось переустановить на windows server 2003 по другим причинам.

В структуре АД с несколькими сегментами между подсетями обычно есть маршрутизация. В данном же случае контроллер просто зарегистрирован в DNS с двумя IP-адресами, а по какому из них клиенты попытаются связаться с контроллером? Скорее всего, через round robin (то есть, каждый адрес будет выдаваться клиентам по очереди). Как итог, в половине случаев политики работать не будут.

Умение читать - первое умение администратора. Вы добавляете пользователя в группу на КОНТРОЛЛЕРЕ; то есть, он повышенные привилегии получает, но на контроллере и только на нём. А вам где надо было?

Да, и "желаемого результата не получил" ни капли не говорит ни о чём. Что конкретно, где, когда и куда было добавлено; как проверено? Поищу эту информацию у Нострадамуса..

netmask ordering по-умолнию включен ;)
правда в Windows DNS он тоже работает оригинально =(

Я знаю, что включён. Но попробуйте вручную выполнить несколько раз nslookup, будут чудеса.
Забыл уже материал учебника, но склонен считать, что netmask ordering нормально себя покажет только при обозначении сайтов в AD Sites and Services. В реальной среде оно у меня не работает, пока ещё не вникал подробно, почему.

И вот аналогия: связавшись с SCCM, вообще открыл для себя, что SCCM supenetting не поддерживает, каждый-каждый сегмент в нём обязательно следует прописывать отдельно. То есть, во всём есть свои проблемы и нюансы, и местами их объём зашкаливает.

а я где-то читала, что требуется отключить RR для работы NMO =)
но проверять влом.
по-сути вы правы.

я не силен в администрировании серверов, обладаю лишь поверхностными знаниями на сколько хватает времени пытаюсь изучить. будет ли верным мой ответ на ваш вопрос? компьютер добавленный в домен имеет настройки сети выставленные вручную то есть:

Подключение по локальной сети - Ethernet адаптер:

IP-адрес . . . . . . . . . . . . : 192.168.0.3
Маска подсети . . . . . . . . . . : 255.255.255.0
DNS серверы . . . . . . . . . . . : 192.168.0.1

значит компьютер добавленный в домен получает политики от сервера с помощью dns сервера от 1 сетевого интерфейса.

я просто не понимаю как тогда пользователю домена изменять ip адрес компьютера за которым он сидит, если добавление учетной записи в группу "Операторы настройки сети" на контроллере не дает ему такого права?

на windows server 2008 standart, получалось же, также добавлял пользователя домена в группу "Операторы настройки сети" и именно на контроллере! и пользователь садился за любой компьютер добавленный в домен логинился своей учетной записью и менял настройки ip адреса.

-учетная запись пользователя домена была добавлена в группу "Операторы настройки сети" на контроллере домена
-проверка осуществлялась путем включения/отключения политик в той ветке на скриншоте
-команда gpupdate или pgupdate/force на компьютере добавленный в домен
- и перезагрузкой тоже пользовался как метод обновления применения политик


Цитата WindowsNT:
как добавить учетную запись требуемого пользователя в группу "Операторы настройки сети" на требуемом компьютере если эта учетная запись не отображается в пользователях и группах?

прикладываю скриншот компьютера добавленного в домен и залогинившегося с учетную записью пользователь adm:

1- учетная запись adm добавленная в домен не отображается в пользователях и группах компьютера добавленного в домен (отображаются только локальный админ , учетка с именем "1" и гость и тд)
2- ip адрес выставлен в ручную
3- сеть доступна
4-картинка присвоена через групповые политики говорит о том что политики применяются!
5-нет прав на изменение свойств ip адреса

вопрос остается открыт как дать права этому горепользователю на изменение свойств ip адреса?