|
Компьютерный форум OSzone.net » Серверные продукты Microsoft » Microsoft Windows NT/2000/2003 » Не все групповые политики применяются на windows server 2003 |
|
Не все групповые политики применяются на windows server 2003
|
Пользователь Сообщения: 52 |
Профиль | Отправить PM | Цитировать
Добрый день!
Имеется windows server 2003 R2 SP2 поднятые роли на сервере: - active directory - dns сервер (Устанавливал одновременно с помощью мастера установки) ОС пользователя добавленного в Acrive directory windows XP завел пользователя в active directory добавил компьютер в домен. в сети отражаются оба и сервер и компьютер. но никак не получается дать права пользователю на изменение параметров локальной сети, а именно изменение ip адреса и компонентов сети, что только не пробовал. интересно то что разрешить переименовывать/отключать/включать подключение по локальной сети можно а настроить его не получается пользователем. прилепил скрины если кто знает подксажите как дать права на изменению настроек сети пользователю через групповые политики? файлы : 1 - скрин где видно подразделение (OU) adm и свойства пользователя adm - принадлежность к группам 2 - скрин где видно принадлежность компьютера w03 добавленного в домен к группам 3 - скрин где видно групповые политики настройки сети то есть какие необходимо включить а какие отключить чтобы дать права на изменение настроек сети? в windows server 2008 standart групповые политики применял и возможность изменения настроек сети была, а вот в 2003 сервере ну никак не могу получить результат, как только не пробовал включать отключать пункты в этом разделе. лог выполнения команды ipconfig/all на сервере: Настройка протокола IP для Windows Имя компьютера . . . . . . . . . : dc2003 Основной DNS-суффикс . . . . . . : trest21.com Тип узла. . . . . . . . . . . . . : неизвестный IP-маршрутизация включена . . . . : нет WINS-прокси включен . . . . . . . : нет Порядок просмотра суффиксов DNS . : trest21.com Подключение по локальной сети - Ethernet адаптер: DNS-суффикс этого подключения . . : Описание . . . . . . . . . . . . : Intel(R) PRO/1000 MT Network Connection Физический адрес. . . . . . . . . : 00-04-23-CA-65-A4 DHCP включен. . . . . . . . . . . : нет IP-адрес . . . . . . . . . . . . : 192.168.0.1 Маска подсети . . . . . . . . . . : 255.255.255.0 Основной шлюз . . . . . . . . . . : DNS-серверы . . . . . . . . . . . : 127.0.0.1 Подключение по локальной сети 2 - Ethernet адаптер: DNS-суффикс этого подключения . . : Описание . . . . . . . . . . . . : Marvell Yukon 88E8050 PCI-E ASF Gigabit Ethernet Controller Физический адрес. . . . . . . . . : 00-04-23-CA-65-A5 DHCP включен. . . . . . . . . . . : да Автонастройка включена . . . . . : да IP-адрес автонастройки. . . . . . : 169.254.135.169 Маска подсети . . . . . . . . . . : 255.255.0.0 Основной шлюз . . . . . . . . . . : DNS-серверы . . . . . . . . . . . : 127.0.0.1 |
|
Отправлено: 11:01, 04-10-2013 |
Ветеран Сообщения: 1496
|
Профиль | Отправить PM | Цитировать Добавляя пользователя в администраторы контроллера домена (1), вы порождаете 100% риск потери контроллера и вирусного поражения из-за неквалифицированных действий пользователя.
Добавляя компьютер в администраторы контроллера домена (2), вы порождаете риски поражения контроллера, но уже от лица операционной системы этого компьютера. (вообще никогда не понимал, зачем такое делают). Третий экран вообще ничего не решает, там ничего не настроено. В любом случае, настройки "менять параметры сети" там нет. Таковой настройкой является добавление учётной записи требуемого пользователя в локальную группу Network Confguration Operators на той машине, где это требуется. Но не на контроллере по-любому. Но вообще политики не должны нормально работать на рабочих станциях, так как на контроллере два сетевых интерфейса с IP-адресами, принадлежащими разным сегментам. Думаю, когда клиенты из одного сегмента будут обращаться к IP-адресу контроллера другого сегмента, будет отказ работы политик. |
------- Отправлено: 16:34, 04-10-2013 | #2 |
Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети. Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля. |
Ветеран Сообщения: 4677
|
Профиль | Отправить PM | Цитировать Цитата WindowsNT:
- как они (клиенты) смогут это делать? - как-же тогда работает структура AD-Site с несколькоми Subnets? |
|
------- Отправлено: 21:31, 04-10-2013 | #3 |
Пользователь Сообщения: 52
|
Профиль | Отправить PM | Цитировать Цитата WindowsNT:
Цитата WindowsNT:
Цитата WindowsNT:
Хотя замечу в windows server 2008 stabdart мне удалось дать права на изменение настройки сети в частности изменение ip адреса путем добавления в группу "Операторы настройки сети" и включение и отключение политик из этой ветки указанной на скриншоте! после чего пришлось переустановить на windows server 2003 по другим причинам. |
|||
Отправлено: 10:25, 07-10-2013 | #4 |
Ветеран Сообщения: 1496
|
Профиль | Отправить PM | Цитировать В структуре АД с несколькими сегментами между подсетями обычно есть маршрутизация. В данном же случае контроллер просто зарегистрирован в DNS с двумя IP-адресами, а по какому из них клиенты попытаются связаться с контроллером? Скорее всего, через round robin (то есть, каждый адрес будет выдаваться клиентам по очереди). Как итог, в половине случаев политики работать не будут.
Умение читать - первое умение администратора. Вы добавляете пользователя в группу на КОНТРОЛЛЕРЕ; то есть, он повышенные привилегии получает, но на контроллере и только на нём. А вам где надо было? Да, и "желаемого результата не получил" ни капли не говорит ни о чём. Что конкретно, где, когда и куда было добавлено; как проверено? Поищу эту информацию у Нострадамуса.. |
|
------- Отправлено: 16:13, 07-10-2013 | #5 |
Ветеран Сообщения: 4677
|
Профиль | Отправить PM | Цитировать Цитата WindowsNT:
правда в Windows DNS он тоже работает оригинально =( |
|
------- Отправлено: 21:05, 07-10-2013 | #6 |
Ветеран Сообщения: 1496
|
Профиль | Отправить PM | Цитировать Я знаю, что включён. Но попробуйте вручную выполнить несколько раз nslookup, будут чудеса.
Забыл уже материал учебника, но склонен считать, что netmask ordering нормально себя покажет только при обозначении сайтов в AD Sites and Services. В реальной среде оно у меня не работает, пока ещё не вникал подробно, почему. И вот аналогия: связавшись с SCCM, вообще открыл для себя, что SCCM supenetting не поддерживает, каждый-каждый сегмент в нём обязательно следует прописывать отдельно. То есть, во всём есть свои проблемы и нюансы, и местами их объём зашкаливает. |
------- Отправлено: 22:09, 07-10-2013 | #7 |
Ветеран Сообщения: 4677
|
Профиль | Отправить PM | Цитировать Цитата WindowsNT:
но проверять влом. по-сути вы правы. |
|
------- Отправлено: 22:11, 07-10-2013 | #8 |
Пользователь Сообщения: 52
|
Профиль | Отправить PM | Цитировать Цитата WindowsNT:
Подключение по локальной сети - Ethernet адаптер: IP-адрес . . . . . . . . . . . . : 192.168.0.3 Маска подсети . . . . . . . . . . : 255.255.255.0 DNS серверы . . . . . . . . . . . : 192.168.0.1 значит компьютер добавленный в домен получает политики от сервера с помощью dns сервера от 1 сетевого интерфейса. Цитата WindowsNT:
на windows server 2008 standart, получалось же, также добавлял пользователя домена в группу "Операторы настройки сети" и именно на контроллере! и пользователь садился за любой компьютер добавленный в домен логинился своей учетной записью и менял настройки ip адреса. Цитата WindowsNT:
-проверка осуществлялась путем включения/отключения политик в той ветке на скриншоте -команда gpupdate или pgupdate/force на компьютере добавленный в домен - и перезагрузкой тоже пользовался как метод обновления применения политик Цитата WindowsNT: Цитата WindowsNT:
прикладываю скриншот компьютера добавленного в домен и залогинившегося с учетную записью пользователь adm: 1- учетная запись adm добавленная в домен не отображается в пользователях и группах компьютера добавленного в домен (отображаются только локальный админ , учетка с именем "1" и гость и тд) 2- ip адрес выставлен в ручную 3- сеть доступна 4-картинка присвоена через групповые политики говорит о том что политики применяются! 5-нет прав на изменение свойств ip адреса вопрос остается открыт как дать права этому горепользователю на изменение свойств ip адреса? |
||||
Последний раз редактировалось sagepro, 15-10-2014 в 21:14. Отправлено: 09:39, 08-10-2013 | #9 |
Участник сейчас на форуме | Участник вне форума | Автор темы | Сообщение прикреплено |
| |||||
Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
не применяются групповые политики на клиентские машины! | Skywriter | Microsoft Windows NT/2000/2003 | 8 | 12-02-2013 01:54 | |
2008 R2 - [решено] Не применяются групповые политики на клиентских компьютерах | Conroe775 | Windows Server 2008/2008 R2 | 4 | 06-08-2012 21:44 | |
Не применяются нормально групповые политики на Win7 | DemoN911 | Microsoft Windows NT/2000/2003 | 4 | 16-12-2010 14:34 | |
Не применяются групповые политики на динамическом IP | Безумец | Microsoft Windows NT/2000/2003 | 12 | 13-02-2009 13:29 | |
Службы - Не применяются групповые политики на конечных станциях | Joker Alvares | Microsoft Windows NT/2000/2003 | 4 | 30-11-2007 11:35 |
|