Как правильно использовать групповые политики
 

Объясняю ситуацию. Стоит сервак под Win 2003 Enterprise (Eng). Поднял контроллер домена, DNS, DHCP на другом серваке. Создал пользователей. Подключение к контроллеру опробовал всё на ура. Проблема в том что не получается настроить групповые политики. Настраиваю Default policy эти же настройки срабатывают и на серваке. То есть если настроил какие-то ограничения для пользователей, то и на серваке они срабатывают. Как сделать ограничения только для пользователей домена. Статьи на данном сайте перечитал вдоль и поперёк, ничего не получается. Везде написано что групповые политики можно настраивать из свойства выбранного объекта, но эти политики видны только из свойства контроллера. Подскажите как быть.

так по уму создается отдельный объект гп, который затем применяется к тем кому нужно

Создавал. Как прицепить к тому к кому нужно ?

создай OU в нею внеси пользователей которые должны быть ограниченны
Настраивай новую OU и создай не дефолт а новую групповую политику...
Дефолт лучше не трогать :)

так в редакторе гп, добавляеш нужных пользователей или группы

используй Group Policy Management. создаешь объекты, настраиваешь их, а потом линкуешь к OU

http://technet2.microsoft.com/Window....mspx?mfr=true
http://www.microsoft.com/windowsserv...w/gpintro.mspx

Тогда ещё вопрос на засыпку. При включении пользователя в домен теряются все его локальные настройки. Эти настройки (новые) тянутся с сервера ? Как перенести настройки пользователя (рабочий стол и т.д.) ?

tiromanЛокального пользователя нельзя "включить в домен" - "в домен включается" компьютер, а пользователи домена и в локале разные, соответственно разные и профили... Поэтому для восстановления настроек нужно просто скопировать старый профиль (локального пользователя) в новый (доменного пользователя): Мой компьютер\Свойства\Дополнительно\Профили пользователей, естественно это надо делать под "третьим" аккаунтом, чтобы копируемые профили были не заняты.

Короче, всё выглядит так - создал новую группу, включил туда нужных пользователей. Захожу в свойства домена (оснастка Пользователи и компы), там на закладке Групповые политики добавляю новую, привязываю к созданной группе, запускаю gpupdate.exe. затем проверяю через gpresult.exe, эти политики применены и на сервере. В политиках ставил запрет на свойства рабочего стола, проверил на серваке политика работает. Как быть ?

tiroman
Нет не в свойства Домена!
А в свойство нового подразделения.
Тебе для этого его нужно создать

Если ты заходишь на сервер пользователем, которого включил в группу, то конечно следует ожидать что политика примениться на профиль пользователя на сервере

и зачем так мучиться чтобы запустить Group Policy Management, её же можно запустить из Administrative Tools

В свойстве созданной группы нет закладки Групповые политики. Если подразделение конечно подразумевает группу.

не группы а организационной единицы!
создается OU туда пихайются пользователи, группы и политика применяется к OU

Всё сэнкс разобрался. Спасибо dimds'у.

Слушайте, мужики, нифига не получается. Групповые политики настроил. Создал подразделение, создал пользователей, создал для подразделения политику. Подключился к домену как пользователь, а политика на компе не срабатывает. Заметил такую фигню - создал пользователя, участника группы пользователи домена, выполняю сетевую идентификацию на подключаемом компе, он пишет что такой пользователь в домене не найден, просит указать имя компьютера и домен, ну я пишу имя, он просит указать пользователя с правами подключения юзнров к домену, я указываю администратора, происходит подключение. Затем захожу на сервер, он создаёт в Computers одноимённый ПК. Таким образом у меня созданный мной юзер в созданном мной подразделении, с созданной политикой, а подключённый пк в Computers где действуют дефолтные ГП. И поэтому созданные мной политики не работают. Пытался даже перекинуть ПК в моё подразделение, не срабатывают хоть убей.

один момент. куда (в какой ОУ) входит этот самый пользователь?
если нужно применить политику ко всем пользователям домена то нужно слинковать политику с указаной группой

если я правильно понял, то комп, с которого ты пытаешся войти не является членом твоего домена!
загружаешся на нем например локально под админом, после чего вводиш его в домен, затем перегружаешся и обязано быть тебе счастье)

Попробую

А у меня вот какая проблема.
Есть отдельное OU и там несколько пользователей. Для которых мне надо изменить Политику Блокирования Учетной Записи.
для этого OU я создал Групповую политику, где в конфигурации компьютера это и настроил. Указал, что эта полтика не перекрывается. Но она все равно не применяется.
Подскажите, где я не прав.