Не применяются групповые политики
 

Доброго дня!

Данную тему я уже поднимал, но так ответа и не получил поэтому начну с начала с более детальными пояснениями.

В AD на контроллере домена создал групповую политику на подразделение, в которой включил параметр "конф. пользователя/админ. шаблоны/комп. win./IE/панель упра-я/страница безопасности/список назначения зоны безопасности для web узлов", и прописал там:

*.domen.net - 1
file://192.168.*.* - 1

зашел пользователем(создал там нового) из этого подразделения, сделал gpupdate /force, посмотрел в журнале событий, раздел приложения, там написано что все ок(политика безопасности успешно применена).
смотрю gpresult под этим же пользователем, он мне показывает что эта политика на нем приминилась. Так, дополнительно смотрю RSoP на этот комп и для этого пользователя, показывает все как и должно быть!

Захожу в настройки IE там вообще все заблокироано в списках узлов ничего нет(явно не то что я хотел). Захожу в реестр HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings там тоже все в девственном виде.
Пробовал на 2-х терминальных серверах, картина одинаковая.
Причем делал туже гр. политику для "конфигурации компьютера" в настройках подразделения с терминальными серверами, та же бодяга...

Подскажите пожалуйста что такое может быть, я что то не так делаю?
Уже и не знаю что думать, вроде все как в книжках написано делал....))

Заданные в политике узлы там не отображаются (by design).

Тут вы тоже ничего не увидите, потому что политики в разделе
HKCU\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings

Однако написано что должно отображать параметры из User Configuration

если тут не будет откуда же будут браться настройки для зон??? (несчитая HKLM)

Политики как я понимаю, на практике, всего лишь изменяют реестр пользователя (машины) соответствующим образом при их применению к объекту.

Ну и соответственно все что я настроил не работает, имею ввиду что доступ к узлам интрасети так и отсутствует.

Вы хотите сказать, что в разделе
HKCU\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings
пусто?

Возможно еще, что где то назначена еще одна политика, которая перекрывает параметры заданной политики для группы. Они применятся то обе, но главенствующая перекроет значения.

Нет, посмотрел сегодня, на самом деле не пусто и указан домен и диапазон адресов которые я задавал в политике, ну хоть какая то ясность...
Только зараза че то так и не применяется, т.е. я так и не могу запустить файл с шары в разрешенном диапозоне адресов, пишет
"Отказано в доступе к указанному устройству, пути или файлу", хотя есть полный доступ к этой шаре и лежит она в диапозоне адресов интрасети, я так думаю что все же это настройки безопасности не дают произвести запуск исполняемого файла по сети...или есть где то еще что может помешать??

P/S Че то не правду местами в книжках пишут....вот и верь после этого

Seven,
Почитайте http://www.google.ru/#hl=ru&source=h...15b221a2e9a34f
А также http://forum.oszone.net/thread-104119-2.html

Seven, еще уточните: когда заходите проводником в любую шару на ваших 192.168.*.*, в строке состояния (в правом нижнем углу проводника) зона какая?

Хмм, мда, стоит "Местная интрасеть", не заметил... а что тогда может мне не давать запускать файлы с шары?

Seven, разрешения NTFS, например.

Только один файл или все? Каким образом вы его запускаете?

все исполняемые файлы на всех шарах в сети, к остальным доступ есть на чтение и запись, в самой шаре уже дал полный доступ группе ВСЕ, что еще может мешать...

че то после того как перезашел пользователем, захожу на \\192.168.1.253\Consultant и смотрю что пишет зона "Интернет", енто почему так стало...
Может я как то не правильно прописываю?

Перезайдите еще раз.

уже жестко прописал
\\192.168.1.253\Consultant - 1

Один хрен как "Интернет" воспринимает хотя в реестре в политиках запись появляется, но поучается что не срабатывает, это почему так??

Перезаход не помогает, создал новогопользователя, первый раз зашел все норм, политики применились, вышел и зашел снова опять та же история, в реестре в политиках есть, а зона интернет стоит...

Изменяю политику уже по разному, потом под пользователем делаю gpupdate /force, смотрю в реестре в политиках поменялось, а результата ноль.

Seven, да, странный глюк.
Вообще, в статье KB303650 есть замечание:

monkkey предложил вам ссылку в 7-м посту.

Также можете почитать:
[решено] Как отключить "Предупреждение системы безопасности" при открытии файла?

Выставил "Включить автоматическое определение интрасети" в отключено и стало все норм, потом вернул в состояние "Не задана" и тоже вроде как нормально работает. Посмтрим не пройдет ли это с течением времени.

Короче походу собака была зарыта в галочке "Кофигурация усиленной безопасности Internet Eplorer"(на пользователях) в установке/удаление програмамм-> Компоненты Windows, из-за нее не работали групповые политики безопастности IE!
Убираешь её и все ОК, а иначе все узла определяются как в зоне "Интернет"

Причем это упоминается вскользь в KB303650, мда....
Честно говоря иногда такое чувство что у ребят из M$ руки не из того места растут, какого ... один параметр перекрывает другой и нигде об этом не узнаешь....столько лет уже они с этой безопасностью мучаются и все только усложняется.

В этом плане *nix'ы гораздо проще и понятнее.