[xoxmodav]

rivera

2. По сравнению со стандартными средствами - несомненно удобней.

Цитата:

она же в основном для просмотра и формирования отчетов о состоянии групповой политики

Нет, в ней очень удобно создавать, управлять, смотреть и делать многое другое с объектами групповых политик.

[Indy]

Возникло пару проблем, самостоятельно решить не получается
Есть домен на Вынь2003, контроллер, соответственно, на нем же. Все юзеры (120 штук) разбиты на 13 групп (отделы в конторе).
1. Можно ли доступ к сетевым папкам ограничивать по группам (не прописывая каждому юзверю по отдельности)?
2. Можно ли установить срок жизни сетевого пароля определенным сроком? Пробовал через политики безопасности, но ничего не вышло

[xoxmodav]

1. Конечно можно, группы именно для этого и предназначены.

Пример:
Создай несколько групп (желательно доменных локальных) с названиями типа:
- DL Бухгалтера - Full
- DL Бухгалтера - Read & Write
- DL Бухгалтера - Read
После чего раскидай пользователей-бухгалтеров по этим группам - каждого в свою группу (в зависимости от служебных обязанностей). После чего на сетевой ресурс дай полный доступ группе "Все" или "Прошедшие проверку", а в настройках безопасности прерви наследование и назначь вышеперечисленные группы и задай им соответстующие права. Вуаля - пользователи, не входящие в эти три группы попасть на сетевой ресурс не смогут.

2. Здесь не то, что ты ищешь: "Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Политики учетных записей\Политика Kerberos"?

[Indy]

2xoxmodav
Сенкс, завтра попробую по первому вопросу
а по второму - сам разобрался, фишка была в том, что настройки пользователя приоритетней настроек kerberos. То есть у пользователя стояла галочка на "Срок действия пароля неограничен" и "Запретить смену пароля пользователем". В Керберос я поставил срок жизни пароля на 30 дней и это заработало только тогда, когда я убрал вышеперечисленные разрешения у пользователей

[rivera]

не ребят у меня не получается:

1. в AD я создал контейнер "admins" туда переместил 2 пользователей:
administrator - встроенная учетка
adm - созданная учетка (член групп: domain admins, administrators)

через групповую политику привязал к данному контейнеру особенную политику, которая ничем не ущемлена.

захожу на раб.станцию, проверяю настройки политики безопасности(запрещал сменить прокси сервер в Internet Explorer) - работает: нельзя сменить прокси сервер в IE

захожу на раб.станцию админом домена (и встроенной тоже пробовал) - все равно запрещено менять прокси сервер в IE!

куда копать дальше?

добавлено:решение
т.к. для контейнера "admins" соответсвующая настройка стояла на "не определено" - принялась политика для всех. надо было поставить "разрешить"

еще пара вопросов:

2. контейнер "Users" по умолчанию вбириает в себя всех пользователей и групп домена, так? если я создам контейнер "groups" и перенесу туда все (или частично) группы созданные в домене, то перенесенные группы все равно останутся группами домена? например группа "IT" домена "DOMAIN" все равно будет domain\it независимо от того, в каком контейнере она находится?? (интуитивно я догадываюсь, что "да", но всеже хотелось бы узнать однозначный ответ)
добавлено:решение
Учтите, что контейнер Users не является OU. Если вы перенесете группы в отдельное OU, то они все равно останутся доменными группами.


3. обязательно ли участие всех до единого пользователей в группе "domain users"? (вообще, группа "domain users" она кого объединяет: все объекты которые имеют имя пользователя и пароль?)
добавлено:решение
Технически это членство не является необходимым, но удаление пользователей из нее требует тщательного планирования разрешений во всем домене и может привести к неприятностям в дальнейшем.

4. может ли быть группа в группе: группа "it" может входить в группу "domain admins"? интуитивно я догадываюсь, что "да", но всеже хотелось бы узнать однозначный ответ)
добавлено:решение
см. здесь

5. если группа "it" входит в состав группы "domain admins" (а группа "domain admins", если я не ошибаюсь, по умолчанию входит в группу "administrators"), то обязательно ли пользователю, который входит в группу "it", давать права "administrators" или "domain admins"? или он возмет эти права по наследству?
добавлено:решение
да, по наследству. см. здесь
ответы из форума Майкрософт

[rivera]

походу такой вопрос:
глобальная группа "domain admins" входит в administrators\bullitin локальную папку - это понятно (все админы домена)
глобальная группа "domain users" входит в users\bullitin локальную папку - это тоже понятно (все юзеры домена )
но, почему "domain computers" не входит в локальную папку computers\bullitin - ведь папка есть? (все компы домена)

[xoxmodav]

Что-то всё как-то туманно. Ты имеешь в виду, что глобальные группы "Администраторов домена" и "Пользователей домена" входят в локальные доменные "Администраторы" и "Пользователи"?

Если да, то где ты увидел локальную доменную группу "Компьютеры"?

[rivera]

xoxmodav
точно, такой группы нет.

ребят, у кого есть групповая политика по умолчанию, выложите здесь пож-ста. а то я понеопытности изменил ее, и теперь у меня ничего не получается. хочу попробовать все заново.

[monkkey]

Dcgpofix Restores the default Group Policy objects
На будущее (рекомендация МС и вообще) - редактируйте только СВОИ созданные объекты ГП и не трогайте дефолтные.

[rivera]

поправил.
ребят теперь у меня все отвалилось.
обо всем по порядку.

1.поставил с нуля win2003+AD

2.создал новую OU и добавил туда пользователя "test"


3. добавил пользователя тест в группу "doamin users"


4. создал (политика "user restrictions"), отредактировал и привязал политику к OU


по политики, пользователь не может менять адрес прокси сервера в IE.

5. добавляю машину в домен, захожу пользователем и вижу, что политика не применена.
результат команды gpresult: объект политики не найден
(в консоли GP: Link enabled, GPO status - enabled)

что я делаю не так?