АD для начинающих
Помогите разобраться с пониманием прав доступа. Есть DC под 2003. В AD создал OU (all_user) в которую поместил несколько групп пользователей. На эту OU создана GPO. Если в правах доступа этой GPO я уберу User Authentication и поставлю группы безопасности, то GPO применится только к тем пользователям которые входят в эти группы, при условии что сами группы включены в OU (all_user)?
И ещё - что определяют права доступа на саму OU ?
|
http://forum.ru-board.com/topic.cgi?forum=8&topic=8921
GPO (Group Policy Object) - это, в Вашем случае, OU. Изучение домена надо начинать с книг и статей, коих в Интернете предостаточно. Или Вы по любому вопросу, даже не умея его сформулировать (User Authentication - из этой серии), будете в форуме искать ответы?
|
Цитата:
Цитата minusodin
Если в правах доступа этой GPO я уберу User Authentication и поставлю группы безопасности, то GPO применится только к тем пользователям которые входят в эти группы, при условии что сами группы включены в OU (all_user)? »
|
совершенно верно.
Цитата:
Цитата minusodin
И ещё - что определяют права доступа на саму OU ? »
|
что вы имеете ввиду под правами доступа на OU ?
|
Ivan Bardeen |
16-12-2009 09:25 1296444 |
Цитата:
Цитата minusodin
Помогите разобраться с пониманием прав доступа. Есть DC под 2003. В AD создал OU (all_user) в которую поместил несколько групп пользователей. На эту OU создана GPO. Если в правах доступа этой GPO я уберу User Authentication и поставлю группы безопасности, то GPO применится только к тем пользователям которые входят в эти группы, при условии что сами группы включены в OU (all_user)? »
|
Нет, в эту OU нужно поместить самих пользователей - так как ГП не действует на группы, с помощью групп можно только фильтровать применение ГП, что вы и пытаетесь сделать.
|
Цитата:
Цитата Ivan Bardeen
ГП не действует на группы, с помощью групп можно только фильтровать применение ГП, что вы и пытаетесь сделать. »
|
и попытка эта будет успешна.
ГП действует на OU, но применяется только к этим группам и их членам, что собственно и требуется.
На группы в этой OU, не указанных в фильтре, ГП - не применится.
|
Ivan Bardeen |
16-12-2009 10:24 1296490 |
Цитата:
Цитата exo
но применяется только к этим группам »
|
Еще раз повторюсь политика не применяется к группам - OU должна содержать в себе пользователей, если пользователей в OU не будет - то попытка будет безуспешной. Группы могут быть где угодно, с помощью них примение политики фильтруется.
|
Цитата:
Цитата Ivan Bardeen
если пользователей в OU не будет - то попытка будет безуспешной »
|
тогда уточнение: пользователи могут быть во вложенных OU.
|
Ivan Bardeen |
16-12-2009 10:48 1296509 |
|
Во первых всем спасибо. Я что-то может и неправильно сформулировал (типа Authenticated users) но ответы по правам доступа на GP помогли.
Во вторых
Цитата:
Цитата exo
что вы имеете ввиду под правами доступа на OU ? »
|
Имею ввиду - OU [например мой all_users] => all_users properties => Security С точки зрения распространения (применения) политики права доступа непосредственно на OU имеют значение?
|
а вы Advanсed нажмите. посмотрите какие там права можно раздать.
|
Цитата:
Цитата exo
а вы Advanсed нажмите. посмотрите какие там права можно раздать. »
|
Посмотрел. Надеюсь понял правильно.
Есть ещё вопрос (из-за чего собственно и спрашивал про права) при попытке просмотреть rsop (через контекстное меню на OU => Task =>) в контекстном меню отображается только вкладка Resultant Set of Policy (Planning), а Resultant Set of Policy (Logging) отсутствует. Можете сказать в чём дело? И такая картина на любом OU. (DC под 2003 SP2 R2, захожу администратором, в правах доступа всё по умолчанию, т.е. Resultant Set of Policy разрешено.)
|
Цитата:
Цитата minusodin
а Resultant Set of Policy (Logging) отсутствует. »
|
ну наверное потому, что данный рсоп применим только к таким объектам как: пользователи, компьютеры.
|
Цитата:
Цитата exo
рсоп применим только к таким объектам как: пользователи, компьютеры »
|
Верно, так и оказалось. Респект.
В результирующей политике настройки (большинство но не все), относящиеся к политикам Computer Configuration, отмечены красным крестом, т.е. не применяются. Среди них Default Domain Policy. Настройки политик типа Block Policy inheritance нигде не устанавливал (хотя параметры настройки уровня домена, определяющие политику паролей и политику учетных записей, и не могут быть заблокированы). В чём может быть проблема? В системных логах никаких ошибок.
|
Можно ли имитировать (Planning) рсоп для доменных станций под 2000 ? Может быть ошибка на картинке с политиками именно из-за этого?
|
Цитата:
Цитата minusodin
Можно ли имитировать (Planning) рсоп для доменных станций под 2000 ? »
|
Нет. ХР и выше.
|
А можно ли что-то доустановить на 2000, что бы рсоп на DC отработал в отношении неё?
Использование gpmc.msi решает проблему с 2000 ?
|
minusodin,
Нет, конечно. Грубо говоря, это тот же RSOP, только в GUI (более наглядном виде).
|
Т.е. пока рабочие станции под 2000 о рсоп забыть?
|
Мда.... жаль.
1. Тогда как можно (или какие инструменты существуют) выявлять ошибки с применением (точнее неприменением) доменных политик на 2000 ?
2. Для общего развития. А какие условия необходимы для выполнения рсоп? Имею ввиду не столько ОС, сколько порты, протоколы, сервисы и т.д.
|
Ivan Bardeen |
21-12-2009 14:46 1300748 |
Цитата:
Цитата minusodin
1. Тогда как можно (или какие инструменты существуют) выявлять ошибки с применением (точнее неприменением) доменных политик на 2000 ?
2. Для общего развития. А какие условия необходимы для выполнения рсоп? Имею ввиду не столько ОС, сколько порты, протоколы, сервисы и т.д. »
|
1. утилита gpresult
2. http://technet.microsoft.com/en-us/l...15(WS.10).aspx
|
А можно ли как-то посмотреть (на клиентских машинах или на DC) "содержимое" доменной политики? Т.е. увидеть какие именно настройки в неё заложены.
|
Ivan Bardeen |
23-12-2009 11:10 1302334 |
Цитата:
Цитата minusodin
А можно ли как-то посмотреть (на АРМ или на DC) "содержимое" доменной политики? Т.е. увидеть какие именно настройки в неё заложены. »
|
Конечно, с помощью этого http://www.microsoft.com/downloads/d...displaylang=en
PS: АРМ - автоматизированное рабочее место?
|
Цитата:
Цитата Ivan Bardeen
PS: АРМ - автоматизированное рабочее место? »
|
Да, оно. Исправил на другую формулировку. Т.е. Resultant Set of Policy (Logging, Planning) с помощью gpmc.msi не выполнить (для станций с 2000), но просмотреть, отредактировать политики можно (посколько с клиентским станциями эта функция не связана)?
|
Ivan Bardeen |
23-12-2009 12:10 1302381 |
Цитата:
Цитата minusodin
Т.е. Resultant Set of Policy (Logging, Planning) с помощью gpmc.msi не выполнить (для станций с 2000), но просмотреть, отредактировать политики можно (посколько с клиентским станциями эта функция не связана)? »
|
да
|
А в поиске проблем применения политик gpmc.msi точно никак не может помочь? (например (может конечно это будет неудачный пример) но анализировать сетевой драйвер, исправность DNS и т.п.)
|
Ivan Bardeen |
23-12-2009 12:36 1302401 |
Цитата:
Цитата minusodin
А в поиске проблем применения политик gpmc.msi точно никак не может помочь? »
|
помогает.
разговор затянулся не правда ли? Поставьте GPMC и почитайте документацию
|
Время: 06:08.
© OSzone.net 2001-