[wertyg]

__sa__nya, помоему мы уже обсуждали политики и ты участвовал в обсуждении. непомню просто в какой теме.

политики применяются в порядке L,S,D,OU т.е. сначала локальная(1), потом политика сайта(если таковая есть), потом политики домена(3), потом политики безопасности Организационной еденицы(OU). также обрати внимание что для одного обьекта в АД можно создать несколько политик, они все появляються в списке на вкладке груповая политика в свойствах обьекта. на этой вкладке также имеються кнопки "вверх" и "вниз" и поверь они там неспроста. если политик несколько то применятся они будут именно в том порядке в каком расположены на этой вкладке. порядок меняется передвижением политик вышеуказанными кнопками.

теперь расмотрим разницу между "политика безопасности домена" и "политика безопасности контроллера домена". их должно быть две т.к. первая распространяется на все станции и сервера кроме ДС. вторая только на сервера являющиеся ДС. согласись политика ДС должна отличаться от доменной большей строгостью. например к ДС нельзя подлючиться через службу удалённого доступа обычному пользователю, в то время как доменная политика разрешает удалённые подключения. и это правильно т.к. обычным пользователям на ДС делать нечего. я понимаю что это не всегда так но так быть должно. также ДС обмениваясь между собой информацией должны её шифровать и\или подписывать, в то время как обычным станциям это некчему(я про обмен между собой).

5,6 и 3,4 это одно и тоже! просто забираешся ты в них через разные места.

ответы
1 - для ДС последней применится политика ОУ(АД-пользователи и компьютеры - твой домен - Domain Contrallers)
2 - для членов домена таже ситуёвина. предпоследней примениться политика безопасности домена, последней политика ОУ в котором они будут находиться, если ОУ нет применение политик закончится.
3 - по поводу этого вопроса, я думаю выше всё изложено.

з.ы. так на всякий случай !крайне не рекомендуется редактирование политик по-умолчанию! если тебе нужно что то переопределить и\или добавить создавай новые политики и только так. это поможет в дальнейшем избежать неприятных ситуаций.)

[__sa__nya]

Цитата wertyg:

помоему мы уже обсуждали политики и ты участвовал в обсуждении. »

- не участвовал.

Цитата wertyg:

политики применяются в порядке L,S,D,OU т.е. сначала локальная »

т.е. если в политике безопасности домена\локальных политиках будет сказано "запретить пользователям установку дров принтера - "включен" ", в АД будет ОП, в котором будут находиться comp1, comp2, в политике этого ОП будет "запретить пользователям установку дров принтера - "отключен" - то на всех машинах в домене, дрова на принтера пользователям будет ставить нельзя, а пользователям на comp1, comp2 - можно? Я правильно понимаю смысл?

[wertyg]

а тут можно было понять как-то иначе?

ага, дополнение.)
параметры в политиках имеют некоторые фиксированные значения типа "включить","отключить","не определено". надеюсь понятно что при наложении политик изменения начальных значений происходит в любом случае кроме "не определено". параметр с таким значением игнорируется. и значение параметра не меняется. т.е. если в доменной политике указанно "запретить пользователям установку дров принтера = отключён" а в политике ОУ тот же параметр "не определено" то результирующим будет "отключён"!

з.ы. в консоле ММС есть оснастка "результирующая политика" с помощью которой можно просматривать действующие значения политик на любой станции.

[Burbulator2]

Не понимаю, почему не работают следующие настройки. Делаю так:
- для компов домена хочу иметь учетную админскую запись Localadmin. Под этим именем заходить на локальные компы, если нужен админский доступ. Для этого открываю Политика безопасности домена, далее Параметры безопасности - Локальные политики - Параметры безопасности. Далее Учетные записи: Переименование учетной записи Администратора ставлю Localadmin. Ставил включено на Учетные записи: состояние учетной записи "администратор".
-для контроллера домена делал тоже самое в Политика безопасности контроллера домена , только в Учетные записи: Переименование учетной записи Администратора указал Domenadmin. Под этим логином я должен заходить на контроллер домена и никуда более.
Как я понимаю, должно быть так: при вводе логина Localadmin на компе домена, я попадаю на него с админскими правами. При вводе Localadmin на контроллере домена вход не должен быть осуществлен. А при вводе на контроллере домена Domenadmin я вхожу на контроллер как администратор.
Но вот это не получается. При вводе на контроллере домена Domenadmin пишет, что логин\пароль не тот. А вот когда я ввожу на контроллере домена Localadmin, то попадаю на контроллер.
Не могу понять, почему не работает так, как я думаю. Или же есть какие то подводные камни, растолкуйте.

[monkkey]

Цитата wertyg:

первая распространяется на все станции и сервера кроме ДС. »

Немного неправильно. Например, политика паролей определяется Default Domain Policy. Применение политик Вы можете увидеть с помощью консоли GPMC
(Не посмотрел на время поста))))

[wertyg]

monkkey, нет правильно! .) это только политика пароля задаётся в одном месте и для всех. политика поролей это не "например" это исключение. более таких примеров нет. ну или, конечно же, я незнаю.)

Burbulator2, monkkey, правильно сказал

Цитата monkkey:

Применение политик Вы можете увидеть с помощью консоли GPMC »

или из командной строки gpresult так по-моему называеться командочка. там будет указано какие политики на КД применились. вот от этого и надо отталкиваться при поиске проблемы. по-моему сделано все правильно но чудес не бывает. проконтролируйте чтоб КД у вас находились в спец.ОУ "контроллеры домана".

[Burbulator2]

Цитата wertyg:

чудес не бывает »

Согласен

Цитата wertyg:

проконтролируйте чтоб КД у вас находились в спец.ОУ "контроллеры домана". »

Находится

Цитата wertyg:

консоли GPMC »

Использую, показывает, что на КД действует политика Default Domain Controllers Policy и в ней прописан логин администратора Domenadmin. Но все равно на КД приходится заходить под логином Localadmin. Видать, еще где то надо гайки подкрутить.
Да, пока КД у меня на виртуалке. Но это же не должно влиять на работу КД, ведь VmWare все что надо, эмулирует.

[Burbulator2]

Все, нашел решение. Оно тут. Получается, что GPO для контроллера домена в части этих политик берет настройки из GPO, привязанного к корню домена.