Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Microsoft Windows NT/2000/2003 (http://forum.oszone.net/forumdisplay.php?f=5)
-   -   АD для начинающих (http://forum.oszone.net/showthread.php?t=160427)

minusodin 15-12-2009 23:10 1296239

АD для начинающих
 
Помогите разобраться с пониманием прав доступа. Есть DC под 2003. В AD создал OU (all_user) в которую поместил несколько групп пользователей. На эту OU создана GPO. Если в правах доступа этой GPO я уберу User Authentication и поставлю группы безопасности, то GPO применится только к тем пользователям которые входят в эти группы, при условии что сами группы включены в OU (all_user)?

И ещё - что определяют права доступа на саму OU ?

monkkey 16-12-2009 09:09 1296438

http://forum.ru-board.com/topic.cgi?forum=8&topic=8921
GPO (Group Policy Object) - это, в Вашем случае, OU. Изучение домена надо начинать с книг и статей, коих в Интернете предостаточно. Или Вы по любому вопросу, даже не умея его сформулировать (User Authentication - из этой серии), будете в форуме искать ответы?

exo 16-12-2009 09:23 1296443

Цитата:

Цитата minusodin
Если в правах доступа этой GPO я уберу User Authentication и поставлю группы безопасности, то GPO применится только к тем пользователям которые входят в эти группы, при условии что сами группы включены в OU (all_user)? »

совершенно верно.
Цитата:

Цитата minusodin
И ещё - что определяют права доступа на саму OU ? »

что вы имеете ввиду под правами доступа на OU ?

Ivan Bardeen 16-12-2009 09:25 1296444

Цитата:

Цитата minusodin
Помогите разобраться с пониманием прав доступа. Есть DC под 2003. В AD создал OU (all_user) в которую поместил несколько групп пользователей. На эту OU создана GPO. Если в правах доступа этой GPO я уберу User Authentication и поставлю группы безопасности, то GPO применится только к тем пользователям которые входят в эти группы, при условии что сами группы включены в OU (all_user)? »

Нет, в эту OU нужно поместить самих пользователей - так как ГП не действует на группы, с помощью групп можно только фильтровать применение ГП, что вы и пытаетесь сделать.

exo 16-12-2009 10:10 1296480

Цитата:

Цитата Ivan Bardeen
ГП не действует на группы, с помощью групп можно только фильтровать применение ГП, что вы и пытаетесь сделать. »

и попытка эта будет успешна.
ГП действует на OU, но применяется только к этим группам и их членам, что собственно и требуется.
На группы в этой OU, не указанных в фильтре, ГП - не применится.

Ivan Bardeen 16-12-2009 10:24 1296490

Цитата:

Цитата exo
но применяется только к этим группам »

Еще раз повторюсь политика не применяется к группам - OU должна содержать в себе пользователей, если пользователей в OU не будет - то попытка будет безуспешной. Группы могут быть где угодно, с помощью них примение политики фильтруется.

exo 16-12-2009 10:45 1296507

Цитата:

Цитата Ivan Bardeen
если пользователей в OU не будет - то попытка будет безуспешной »

тогда уточнение: пользователи могут быть во вложенных OU.

Ivan Bardeen 16-12-2009 10:48 1296509

Цитата:

Цитата exo
пользователи могут быть во вложенных OU. »

Где угодно внутри иерархии объекта, к которому применяется политика. Только главное чтобы на ниже лежащих OU не была применена "блокировка наследования" http://technet.microsoft.com/ru-ru/l...50(WS.10).aspx

minusodin 16-12-2009 13:37 1296664

Во первых всем спасибо. Я что-то может и неправильно сформулировал (типа Authenticated users) но ответы по правам доступа на GP помогли.

Во вторых
Цитата:

Цитата exo
что вы имеете ввиду под правами доступа на OU ? »

Имею ввиду - OU [например мой all_users] => all_users properties => Security С точки зрения распространения (применения) политики права доступа непосредственно на OU имеют значение?

exo 16-12-2009 13:45 1296671

Цитата:

Цитата minusodin
Security »

а вы Advanсed нажмите. посмотрите какие там права можно раздать.

minusodin 16-12-2009 18:11 1296963

Цитата:

Цитата exo
а вы Advanсed нажмите. посмотрите какие там права можно раздать. »

Посмотрел. Надеюсь понял правильно.

Есть ещё вопрос (из-за чего собственно и спрашивал про права) при попытке просмотреть rsop (через контекстное меню на OU => Task =>) в контекстном меню отображается только вкладка Resultant Set of Policy (Planning), а Resultant Set of Policy (Logging) отсутствует. Можете сказать в чём дело? И такая картина на любом OU. (DC под 2003 SP2 R2, захожу администратором, в правах доступа всё по умолчанию, т.е. Resultant Set of Policy разрешено.)

exo 17-12-2009 09:14 1297370

Цитата:

Цитата minusodin
а Resultant Set of Policy (Logging) отсутствует. »

ну наверное потому, что данный рсоп применим только к таким объектам как: пользователи, компьютеры.

minusodin 17-12-2009 17:03 1297826

Цитата:

Цитата exo
рсоп применим только к таким объектам как: пользователи, компьютеры »

Верно, так и оказалось. Респект.

В результирующей политике настройки (большинство но не все), относящиеся к политикам Computer Configuration, отмечены красным крестом, т.е. не применяются. Среди них Default Domain Policy. Настройки политик типа Block Policy inheritance нигде не устанавливал (хотя параметры настройки уровня домена, определяющие политику паролей и политику учетных записей, и не могут быть заблокированы). В чём может быть проблема? В системных логах никаких ошибок.

minusodin 18-12-2009 14:14 1298544

Можно ли имитировать (Planning) рсоп для доменных станций под 2000 ? Может быть ошибка на картинке с политиками именно из-за этого?

monkkey 18-12-2009 15:06 1298581

Цитата:

Цитата minusodin
Можно ли имитировать (Planning) рсоп для доменных станций под 2000 ? »

Нет. ХР и выше.

minusodin 18-12-2009 15:17 1298590

А можно ли что-то доустановить на 2000, что бы рсоп на DC отработал в отношении неё?

Использование gpmc.msi решает проблему с 2000 ?

monkkey 21-12-2009 08:54 1300506

minusodin,
Нет, конечно. Грубо говоря, это тот же RSOP, только в GUI (более наглядном виде).

minusodin 21-12-2009 10:19 1300548

Т.е. пока рабочие станции под 2000 о рсоп забыть?

monkkey 21-12-2009 11:56 1300618

Да.

minusodin 21-12-2009 14:36 1300732

Мда.... жаль.
1. Тогда как можно (или какие инструменты существуют) выявлять ошибки с применением (точнее неприменением) доменных политик на 2000 ?
2. Для общего развития. А какие условия необходимы для выполнения рсоп? Имею ввиду не столько ОС, сколько порты, протоколы, сервисы и т.д.

Ivan Bardeen 21-12-2009 14:46 1300748

Цитата:

Цитата minusodin
1. Тогда как можно (или какие инструменты существуют) выявлять ошибки с применением (точнее неприменением) доменных политик на 2000 ?
2. Для общего развития. А какие условия необходимы для выполнения рсоп? Имею ввиду не столько ОС, сколько порты, протоколы, сервисы и т.д. »

1. утилита gpresult
2. http://technet.microsoft.com/en-us/l...15(WS.10).aspx

minusodin 23-12-2009 11:02 1302328

А можно ли как-то посмотреть (на клиентских машинах или на DC) "содержимое" доменной политики? Т.е. увидеть какие именно настройки в неё заложены.

Ivan Bardeen 23-12-2009 11:10 1302334

Цитата:

Цитата minusodin
А можно ли как-то посмотреть (на АРМ или на DC) "содержимое" доменной политики? Т.е. увидеть какие именно настройки в неё заложены. »

Конечно, с помощью этого http://www.microsoft.com/downloads/d...displaylang=en
PS: АРМ - автоматизированное рабочее место?

minusodin 23-12-2009 12:08 1302379

Цитата:

Цитата Ivan Bardeen
PS: АРМ - автоматизированное рабочее место? »

Да, оно. Исправил на другую формулировку.
Цитата:

Цитата Ivan Bardeen
Конечно, с помощью этого http://www.microsoft.com/downloads/d...displaylang=en »

Т.е. Resultant Set of Policy (Logging, Planning) с помощью gpmc.msi не выполнить (для станций с 2000), но просмотреть, отредактировать политики можно (посколько с клиентским станциями эта функция не связана)?

Ivan Bardeen 23-12-2009 12:10 1302381

Цитата:

Цитата minusodin
Т.е. Resultant Set of Policy (Logging, Planning) с помощью gpmc.msi не выполнить (для станций с 2000), но просмотреть, отредактировать политики можно (посколько с клиентским станциями эта функция не связана)? »

да

minusodin 23-12-2009 12:29 1302395

А в поиске проблем применения политик gpmc.msi точно никак не может помочь? (например (может конечно это будет неудачный пример) но анализировать сетевой драйвер, исправность DNS и т.п.)

Ivan Bardeen 23-12-2009 12:36 1302401

Цитата:

Цитата minusodin
А в поиске проблем применения политик gpmc.msi точно никак не может помочь? »

помогает.
разговор затянулся не правда ли? Поставьте GPMC и почитайте документацию


Время: 06:08.

Время: 06:08.
© OSzone.net 2001-