[HLT]

gpupdate /force

[Dirk Diggler]

HLT, это вряд ли. То, что падает из домена, показывается оснасткой RSOP, а у автора не она на скриншоте. Так что имхо проблема в другом. А почему он изменить не может - вот это вопрос.

[exo]

HLT, блин... что-то не понимаю.
Значит есть Локальные политики и Доменные Политики (про Политики ДК понятно).
Могу ли я повлиять доменными политиками на локальные ? Или нужно обойти каждый комп, что бы настроить локальные политики безопасности?
Dirk Diggler, смотрите, если я на голом домене зашёл в локалдьные политики, то эта политика с синим значком, а тут типа два сервера. Почему такой значёк, откуда он?
Это скрин не с ДК, а с сервера.

Вобще странно. Значит на Виртулке у меня есть ДК и Рабочая станция.
Через Доменные политьики безопасности разрешил вход локально Администраторам и user1.
Сделал gpupdate /force - и пытаюсь зайти на рабочюю станцию пользователем user2 - и вошёл

[wertyg]

exo, так просто к сведенью политики применяются в следующем порядке L.S.D.OU или
L - локальные политики
S - политики сайта
D - политики всего домена
OU - политики организационной еденицы. если ОУ несколько то в иерархическом парядке.

групповые политики применяються при запуске ПК при входе пользователя в систему. по-умолчанию обнавляються каждые 90мин с 30мин разбросом, для того что все машины в домене через 90мин не ламонулись и не затопили запросами ДС.) это для рядовых ПК. для ДС политики обнавляются каждые 5мин. всё это конечно можно изменить через групповые политики.

[exo]

wertyg, это всё понятно. вопрос в другом, почему меня на картинке локальной политики, политика имеет значёк "серверов", и я не могу изменить там ничего?
Или мне нужно для этого зайти не доменным пользователем, а локальным?
Вопрос ещё: LSDOU - если локальная политика запрещает RUN, а политика OU его разрешает, то будет RUN или нет?

[wertyg]

ах да забыл сказать что политики перезаписываются. т.е.
сначала применяеться локальнаяПолитика. потом её замещает политикаСайта, потом политикаДомена, потом политики организационных едениц в иерархическом порядке. т.е. если у вас ОУ вложены один в одни тогда последняя применившаяся политика будет от самого ближайшего ОУ к обьекту политики. если политика "не Определена" это значит что действительным будет последнее определие или значение по-умолчанию.

Цитата exo:

если локальная политика запрещает RUN, а политика OU его разрешает, то будет »

... то RUN будет разрешён.

Цитата exo:

вопрос в другом, почему меня на картинке локальной политики, политика имеет значёк "серверов", и я не могу изменить там ничего? »

потому что у контроллера домена нет локальной политики! у него есть политикаБезопасностиДомена и политикаБезопасностиКонтроллераДомена. всё зависит от того что ты хочеш изменить.

а вообще что ты схватился за обходПерекрёстнойПроверки? нах она тебе?

[exo]

Цитата wertyg:

потому что у контроллера домена нет локальной политики! »

это скрин не с контроллера домена. а с рядового сервера приложений.

Цитата wertyg:

а вообще что ты схватился за обходПерекрёстнойПроверки? нах она тебе? »

это я к примеру.

[HLT]

Цитата exo:

политика имеет значёк "серверов", »

- значит она назначена "сверху"
Каким именно ГПО назначен каждый параметр - можно увидеть в RSOP

Цитата Dirk Diggler:

почему он изменить не может - вот это вопрос. »

вопрос не в том, что "не может", а в том что меняет - но не меняется.

Цитата exo:

Зашёл в доменную политику - действительно есть. Изменил. Выполнил GPUPDATE. Но в локальной политики параметры так и не поменялись. »

Поэтому надо

Цитата HLT:

gpupdate /force »

на клиентской машине и не мучать мозг

[exo]

Цитата HLT:

на клиентской машине »

дык если клиентских больше 100 - только ждать 90 минут ?