Построение иерархической структуры для применения групповых политик
До начала конфигурации В2003 в одной организации (около 30 компов), перечитал кучу информации, хотел сделать все правильно и красиво. Но споткнулся в самом начале.
Ситуация. AD+PDC+DNS на одном сервере в локальной сети с одним доменом. ------------------------------------------------------------------------------------------------------------- создал подразделения (ou "первого типа"), чтобы разместить туда пользователей и их расшареные ресурсы: ..бухгалтерия ..администрация ..техники .. .. и заполнил их свежесозданными пользователями. к этим подразделениям не применяются никакие политики, кроме основной политики для всего домена (в которой тоже ничего нет; для пробы изменил пару вещей, чтобы можно было визуально увидеть - сработало или нет) потом создал другие подразделения (ou "вторго типа"), чтобы применять политики для подключения сетевых дисков и ярлыков на рабочий стол: ..пользователи такой-то сетевой программы ..пользователи другой сетевой программы .. .. тут у каждого подразделения есть своя групповая политика по исполнению логон-скрипта Проблема: ------------------------------------------------------------------------------------------------------ если в ou (вторго типа), разместить (или переместить) пользователя в чистом виде, то при логине это пользователя - политика применяется. но мне это не подходит потому что пользователи в чистом виде находятся в ou первого вида (бухгалтерия, техники,...), а в ou второго вида я хотел создать группы, членами которых хочу сделать пользователей из (бухгалтерия, техники,...) . В этом случае политики к членам групп не применяются. теперь наглядно попытаюсь объяснить: domen.com |____________Default Domain Policy |___________________бухгалтерия | |_________user 1,2,3 |___________________администрация | |_________user 4,5,6 |___________________техники | |_________user 7,8,9 | |___________________пользователи "1С" | |_____ "1С" group policy | | |__________"1С" UserGroup | | |__________user 1,4,7 |___________________ |____________ user 10 В этом случае политика Default Domain Policy - применяются для всех пользователей домена А "1С" group policy только для user 10, А ПОЧЕМУ НЕ ПРИМЕНЯЕТСЯ ДЛЯ USER 1,4,7 ??????????? Спасибо за ответы. |
Чуть-чуть съехали линии в схеме активной директории, но я думаю, понятно - в подразделении "пользователи 1С" есть группа "1C UserGroup" с пользователями 1,4,7 (которые из других подразделений), а также есть пользователь 10, созданый прямо в подразделении "пользователи 1С". Только для него применяются директивы "1С group policy". Почему не применяются для пользователей 1,4,7 ?????
|
Блин, ну вот нашел ответ на свой вопрос в одной книжечке:
...цитата.... Объект групповой политики может действовать ТОЛЬКО на объекты «КОМПЬЮТЕР» и «ПОЛЬЗОВАТЕЛЬ». Политика действует только на объекты, находящиеся в объекте каталога (сайт, домен, подразделение), с которым связан GPO и ниже по «дереву» (если не запрещено наследование). ...конец цитаты... т.е. на группы не действует ;-(((( а как же быть если к юзеру одновременно должны примениться политики из разных подразделений, но при этом его запись должна оставаться в своем подразделении (куда он принадлежит физически, по департаменту фирмы) |
Да групповая политика не применяется к группам. А самом правильным будет грамотно использовать распределение пользователей по организационным группам и политики разные прикручивать также иерархически.
|
Спасибо хохмодав. Прошла ночь и на утро я увидел твое, достаточно общесмысловое, письмо из которого мне помогла фраза
Цитата:
|
Время: 08:26. |
Время: 08:26.
© OSzone.net 2001-