Настройки политики домена
Вложений: 2
Добрый день!
Решил от большой лени и во имя просвящения попробовать использовать меню "ярлыки" в доменной политике и не получилось, на рабочих станциях при входе в систему не появляются новые значки. У кого есть опыт в этом деле подскажите пожалуйста. В архиве результирующая политика по одному из компьютеров, отчет по доменной политике политике и еще прикреплен принтскрин ошибки. |
Покажите, какие точно параметры политики настраивали.
|
Вложений: 1
WindowsNT, да, конечно!
|
Общие параметры -> Удалить этот элемент, когда он более не применяется, попробуй галку установить.
|
zai, нет, не помогло...
|
На закладке Общие Параметры указано "исполнять от лица пользователя"?
Что говорит журнал Application (да и System тоже) проблемной машины? |
Попробуй вот как у меня...
У меня так все работает. |
WindowsNT, стоит еще галочка напротив "выполнять в контексте безопасности вошедшего пользователя(параметр политики пользователя)"
в журнале есть предупреждение "Уровень Дата и время Источник Код события Категория задачи Предупреждение 10.03.2013 18:43:34 Group Policy Shortcuts 4098 (2) "Элемент предпочтения пользователь ""Консультант Новый"" в объекте групповой политики ""Ds {31B2F340-016D-11D2-945F-00C04FB984F9}"" не применен по причине ошибки с кодом ""0x80070002 Не удается найти указанный файл."" Эта ошибка была отключена." Cruzenshtern, я думаю как раз понял почему не работает как раз в журнале пишется об ошибке но как устранить. |
Нобель, Попробуй вместо server-f прописать айпи адрес. И кстати как с правами доступа к этому каталогу\файлу??
|
Cruzenshtern, сейчас попробовал, не помогло.Доступ временно полный чтение/запись
|
Нобель,
-Удалите старый ярлык из ГП. -Сделайте все как у меня на картинке. Свои данные подставьте. -На вкладке общие параметры ничего трогать не надо. Проэксперементировал у себя, все работает. |
Так, все же косяк был. Названия сетевых папок были другими нежели в политике, еще раз проверил все пути, предупреждения в журнале исчезли, но ярлыки все так же не появляются
|
Нобель,
gpupdate /force надо набрать на компах где должны появиться. |
Вложений: 1
Cruzenshtern, вот сделал как сказали.
Репликация между контроллером и клиентом ведь у нас происходит после перезагрузки? Если ничего не путаю то тоже не помогло. |
Cruzenshtern,
Цитата:
|
gpupdate /force Принудительное обновление политик, без перезагрузки.
У меня складывается ощущение что пользователь к которому применяется данная политика ярлыка просто не имеет доступ к данному каталогу\файлу. Проверьте доступ через проводник к данному файлу. И еще раз приведите лог. |
Вложений: 2
Cruzenshtern, Доступ сразу же и проверял ручками через проводник(заходит,создает, удаляет)
Вот журналы двух машин, ничего противоестественного нету вроде. |
Cruzenshtern, Все спасибо большое!!! Крузенштерн проверил, оказалось что не была включена связь политики. И не правильные пути к сетевым ресурсам.
|
Сам боролся с такой проблемой.
Оказалось, что поля "Конечный путь", "Рабочая папка", "Путь значка" не должны содержать кавычек. Тобишь копируем пути ярлыка без кавычек в нужные поля и будет работать. При условии, что все пути верные и связь включена. DC: 2008 R2 |
Подскажите, а если нужно в доменной системе создать ярлык на рабочем столе скажем на 100 рабочих станциях из двухсот. Можно где-то указать список имен этих компьютеров или их IP?
|
Ну а как вы сами собираетесь эти рабочие станции отличать друг от друга?
|
Говорят, что создать ярлыки для рабочих станций можно с помощью скрипта. Я готов в этом скрипте указать 100 имен (набить их вручную).
|
Не лучшее решение. Может, хотя бы разнесёте учётные записи компьютеров по группам? Тогда можно будет пришить группы к политике.
|
Спасибо. Как вариант.
|
Всех приветствую. Если, конечно, еще можно...
КД: W-2008 R2, Задача стояла такая: на раб.станциях удалить старых ярлык из "общего раб. стола" и там же создать новый, с новым путем. в "Политике","/конфигурация компьютера", создал два ярлыка - один на "удаление" старого, второй на "создание" нового. Фильтры политики выставлены, связь включена, в общем, до этих изменений всё уже отработало не раз. После ее применения на пользовательских компах (XP, Windows 7) старый ярлык удалился, а новый не создался с записью события в журнал приложений - Элемент предпочтения компьютер "Doc на computer" в объекте групповой политики "Политика для компьютеров пользователей {GUID}" не применен по причине ошибки с кодом "0x80070002 Не удается найти указанный файл." Эта ошибка была отключена. Самое интересное, что на подопытной виртуальной машине (Windows XP SP3) все и удаляется, и создается! Сначала было подумал, что пути не находит - переменная окружения в XML-файле политики прописана как "%CommonDesktopDir%". Но на виртуалке я нигде даже упоминания на эту переменную не нашел - и тем не менее политика на ней срабатывает без ошибок. В политике, в настройках свойств ярлыка опция "Выполнять в контексте безопасности вошедшего пользователя" не доступна, т.к. настройка в разделе "конфигурация компьютера", а не "конфигурация пользователя". На КД в разделе "Моделирование групповой политики" промоделировал выполнение для компе, на котором политика не отрабатывает корректно. И что - "Результирующий объект групповой политики" такой-то - "Результат - выполнено". Что за фигня, не пойму. Уже не знаю, где еще рыть. Да, забыл добавить - права доступа на "общую папку с общим раб. столом" конечно же, установлены, есть разрешение на запись и т.д. (удалять-то-удаляет!). Да, забыл добавить - права доступа на "общую папку с общим раб. столом" конечно же, установлены, есть разрешение на запись и т.д. (удалять-то-удаляет!). |
Barmaley000,
По хорошему нужно создавать свою тему. ;) Цитата:
Создайте политику не на компьютер, а на пользователя с применением фильтра WMI. Не вариант? |
Anton04, благодарю за ответ.
Ну, по поводу Цитата:
Насчет Цитата:
Политика на некоторых машинах отрабатывает корректно, это и ХР-юши, и "семерки", но на большинстве, какХР-юш, так и "семерок" - нет, с записью в журнал указанной ошибки с кодом 0x80070002. |
Barmaley000, обязательно нужно использовать %CommonDesktopDir%, которой нет? Так как "cd %CommonDesktopDir%" выдаёт ошибку и стоит взять за основу %ALLUSERSPROFILE%?
|
Дело в том, что переменную "%CommonDesktopDir%" не я сам подставляю, а система. Я только при настройке ярлыка в редакторе политики выбираю из списка в выпадающем меню "Размещение"- "All Users\Рабочий стол". Все. Никаких переменных там нету. то, что используется именно переменная "%CommonDesktopDir%" я вычислил сам, когда полез в папку политики "...\SYSVOL\domain.local\Policies\{GUID}\Machine\Preferences\Shortcuts\" и там нашел файлик "Shortcuts.xml", в котором, собсно, в удобочитаемом виде и нашел оную.
Между прочим, как я написал в первом своем сообщении, эта политика прекрасно отрабатывает как на моей рабочей машине (W7 x64 SP1), так и на виртуальной в VMWare "XP x86 SP3", несмотря на всякие там "%CommonDesktopDir%"... |
Вложений: 1
Вот, вложение с картинкой.
|
Кстати, "грех" на "%CommonDesktopDir%" - это чисто мои субъективные измышления. Проблема может быть совсем в другом! Ведь на некоторых машинах эта же политика отрабатывает, несмотря на отсутствие каких-либо, где-либо упоминаний об этой переменной.
|
Очень похоже не то, что есть проблема с файлами для поддержки GPP на рабочих станциях.
Поэтому: sfc /scannow в первую очередь. Затем обновления системы. Либо сначала чтение журналов системы на выявление проблем, которые не дают создавать переменную окружения и затем из исправление. |
Ну, буду, конечно, проверять. В одно время вычитал, что для корректной работы некоторых более продвинутых возможностей ГП (установка приложений, например) на ХР-юши надо ставить "Клиентские расширения предпочтений групповых политик для ОС Windows XP (KB943729)
Group Policy Preference Client Side Extensions for Windows XP (KB943729)". Но, боюсь, не в данном случае. Т.к. на какие-то машины я пробовал ставить оное - бестолку. Обновления на машины (и ХР-ю, и вынь-7) в свое время ставил от "Симпликса" - еще "UpdatePackLive-17.7.1". Регулярно не обновляю - нет потребности, только при каких-то явных проблемах, т.к. процесс обновления довольно длительный и проводится в ручном режиме. |
Здесь написано, что эта переменная требует админских прав и политку с ней надо ставить в конфигурацию компьютера и связывать с OU в которой лежат все учётки компьютеров.
|
paranoya, все это, конечно же, было проверено в первую очередь, и было сделано самой системой изначально, я даже ничего не настраивал - все "права-шмава" были выставлены по умолчанию, я только их перепроверил. А с "ОУ" - так я и привязал эту политику к "ОУ" в которой лежат те учетки компов, на которых эту политику обработать надо, а как иначе (риторический вопрос)?!
|
Добавлю. Может вы не в курсе...
Если какие-либо учетки компов не включены в ОУ, к которой применяется политика - так эти компы и так лесом идут по фильтрам безопасности, и никаких ошибок типа "0x80070002" и в помине не будет. |
Barmaley000, по начальному описанию проблемы не было указано какие варианты решения применялись.
Если все нужные компьютеры находятся в одном OU, в одной группе безопасности и не попадают ни под какую фильтрацию в ГП, то нужно искать отличия на самих рабочих станциях. Я бы для эксперимента попробовал бы сначала проблемные рабочие станции перенести в другую OU, обновить принудительно ГП с перезагрузкой и затем снова перенести в нужное OU с принудительным обновление политик и перезагрузкой. |
Цитата:
Для эксперимента - благодарю за идею, буду искать возможность это сделать, хотя "подопытных кроликов" найти будет непросто... |
Barmaley000, включи логирование групповых политик и смотри уже по логам, почему не срабатывает.
|
Да включено - уже смотрел на одной из машин.
"C:\WINDOWS\Debug\UserMode\userenv.log" - ведется, часть лога
USERENV(2dc.42c) 07:50:20:047 PolicyChangedThread: UpdateUser failed with 6.
USERENV(2dc.430) 09:24:01:456 GetGPOInfo: Local GPO's gpt.ini is not accessible, assuming default state. USERENV(2dc.608) 09:29:14:875 GetGPOInfo: Local GPO's gpt.ini is not accessible, assuming default state. USERENV(2dc.430) 11:03:58:087 GetGPOInfo: Local GPO's gpt.ini is not accessible, assuming default state. USERENV(2dc.608) 11:08:12:125 GetGPOInfo: Local GPO's gpt.ini is not accessible, assuming default state. USERENV(2dc.430) 12:35:58:842 GetGPOInfo: Local GPO's gpt.ini is not accessible, assuming default state. USERENV(2dc.608) 12:55:13:219 GetGPOInfo: Local GPO's gpt.ini is not accessible, assuming default state. USERENV(2dc.430) 14:18:59:202 GetGPOInfo: Local GPO's gpt.ini is not accessible, assuming default state. USERENV(2dc.608) 14:25:14:186 GetGPOInfo: Local GPO's gpt.ini is not accessible, assuming default state. USERENV(2dc.2e0) 07:56:49:859 CUserProfile::CleanupUserProfile: Ref Count is not 0 USERENV(2dc.2e0) 07:56:49:875 CUserProfile::CleanupUserProfile: Ref Count is not 0 USERENV(2dc.2e0) 07:56:49:875 CUserProfile::CleanupUserProfile: Ref Count is not 0 USERENV(2dc.740) 07:57:36:156 GetGPOInfo: Local GPO's gpt.ini is not accessible, assuming default state. USERENV(2dc.5b0) 08:56:54:019 GetGPOInfo: Local GPO's gpt.ini is not accessible, assuming default state. USERENV(2dc.6bc) 08:56:54:097 PolicyChangedThread: UpdateUser failed with 6. USERENV(2dc.610) 09:44:36:753 GetGPOInfo: Local GPO's gpt.ini is not accessible, assuming default state. USERENV(2dc.5b4) 10:38:54:358 GetGPOInfo: Local GPO's gpt.ini is not accessible, assuming default state. USERENV(2dc.610) 11:14:37:486 GetGPOInfo: Local GPO's gpt.ini is not accessible, assuming default state. Понятно, что ничего непонятно. Во всем этом "логе" я так само даже упоминания на "0x80070002" не нашел... |
Вот сейчас, "мучаю(сь)" (с) одну(ой) из машин (XP SP3 pro)
- папка локальных ГП с содержимым в наличии (%SystemRoot%\system32\GroupPolicy\*). - файл-лог выполнения ГП в наличии и ведется (%SystemRoot%\Debug\UserMode\userenv.log), в нем из последнх записей вот это: часть лога применения ГП.
USERENV(290.294) 07:14:01:640 CUserProfile::CleanupUserProfile: Ref Count is not 0
USERENV(290.294) 07:14:01:640 CUserProfile::CleanupUserProfile: Ref Count is not 0 USERENV(290.294) 07:14:01:640 CUserProfile::CleanupUserProfile: Ref Count is not 0 USERENV(290.54c) 07:36:11:574 PolicyChangedThread: UpdateUser failed with 0. USERENV(290.294) 07:13:27:593 CUserProfile::CleanupUserProfile: Ref Count is not 0 USERENV(290.294) 07:13:27:593 CUserProfile::CleanupUserProfile: Ref Count is not 0 USERENV(290.294) 07:13:27:593 CUserProfile::CleanupUserProfile: Ref Count is not 0 USERENV(290.2a4) 07:24:49:461 PolicyChangedThread: UpdateUser failed with 0. Я лично ничего такого там не вижу, честно говоря, непонятна запись "PolicyChangedThread: UpdateUser failed with 0" - что она означает? Может, типа, что политики пользователя применены с итоговым флагом "0"? Ну так и ладно, политик "пользователя" как раз нету никаких, только "компьютера"... Далее, папочки применяемых политик с КД аккуратно ложатся по своему месту назначения: "%ALLUSERSPROFILE%\Application Data\Microsoft\Group Policy\History\{GUID}\*", все файлики внутри папочек в наличии и корректны, сверял с оригинальными, их там не так и много. Системный диск на проблемной машине, который с "%SystemRoot%"-а проверял на ошибки - нету. Права безопасности на доступ к папке "%ALLUSERSPROFILE%" на проблемной машине даны всем в полном объеме, хотя это тут никаким боком, это для того, чтобы пользователи могли по своему вкусу формировать наполнение общего раб.стола. В итоге всех моих "пертурбаций" при попытке обновления ГП в журнале приложений появляются вот такие Записи
Тип события: Предупреждение
Источник события: Group Policy Shortcuts Категория события: Диск Код события: 4098 Дата: 04.06.2020 Время: 13:12:10 Пользователь: NT AUTHORITY\SYSTEM Компьютер: COMP Описание: Элемент предпочтения компьютер "Doc (12345)" в объекте групповой политики "Политика для компьютеров пользователей {GUID}" не применен по причине ошибки с кодом "0x80070002 Не удается найти указанный файл." Эта ошибка была отключена. Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp". |
Включил детальное логирование, вот, по методе отседова
Понаблюдаем... |
Выполнил gpresult на проблемной машине:
результат
Программа формирования отчета групповой политики операционной системы
Microsoft (R) Windows (R) XP версии 2.0 (С) Корпорация Майкрософт, 1981-2001 Создано на 05.06.2020 в 10:51:23 RSOP-результаты для COMP-1\Admin на COMP-1 : Режим журналирования ---------------------------------------------------------------------- Тип ОС: Microsoft Windows XP Professional Конфигурация ОС: Рядовая рабочая станция Версия ОС: 5.1.2600 Имя домена: DOMAIN Тип домена: Windows 2000 Имя сайта: Default-First-Site-Name Перемещаемый профиль: Локальный профиль: C:\Documents and Settings\Admin Подключение по медленному каналу?: Нет Конфигурация компьютера ------------------------ CN=COMP-1,CN=Computers,DC=domain,DC=local Последнее применение групповой политики: 05.06.2020 at 9:44:33 Групповая политика была применена с: server.domain.local Порог медленной связи групповой политики: 500 kbps Примененные объекты групповой политики --------------------------------------- Default Domain Policy Политика для домена по умолчанию Политика для компьютеров пользователей Windows XP компьютеры Следующие политики GPO не были приняты, поскольку они отфильтрованы -------------------------------------------------------------------- Политика для тестов Фильтрация: Отказано (безопасность) Политика локальной группы Фильтрация: Не применяется (пусто) Компьютер является членом следующих групп безопасности: ------------------------------------------------------- Администраторы Все Пользователи СЕТЬ Прошедшие проверку COMP-1$ Windows XP Компьютеры домена Comps Конфигурация пользователя -------------------------- Последнее применение групповой политики: 15.02.2019 at 13:59:40 Групповая политика была применена с: Н/Д Порог медленной связи групповой политики: 500 kbps Примененные объекты групповой политики --------------------------------------- Н/Д Следующие политики GPO не были приняты, поскольку они отфильтрованы -------------------------------------------------------------------- Политика локальной группы Фильтрация: Не применяется (пусто) Пользователь является членом следующих групп безопасности: ---------------------------------------------------------- Отсутствует Все Администраторы Пользователи ИНТЕРАКТИВНЫЕ Прошедшие проверку ЛОКАЛЬНЫЕ Ошибок, проблем - никаких, даже упоминания. |
Время: 13:51. |
Время: 13:51.
© OSzone.net 2001-