Совет по GPO
 

Привет всем. в начале месяца проектировал сеть, вроде все в порядке(AD+DNS+terminal). а потом заказчик требует, чтоб OU reklama (т.е. пользователи рекламного отдела) смогли на своих компах установить и удалить всякие программы (какие - не важно это, надо полный доступ), но при этом не дать им администраторский доступ.
как это можно делать через GPO ?

- сервер: wind 2003 standard
- клиенты: wind XP pro

Никак.

в ХР можно же группу юзеров создать и указать какие дела им можно делать...типа оптный пользователь и т.д находится в панели управления-> администрироание...

А ничего,что Power Users являются по своей сути Администраторами ,так что с таким же эффектом можно включить в группу администраторы.

ну нет.. тогда есть вот такая тема :
http://support.microsoft.com/default.aspx?scid=KB;EN-US;Q320065

а если на самом деле сделать так:
это мне не поможет?

И что ? Данная политика ограничит лишь членов определенной группы,но возможность добавить у меня все равно будет,но после последующего применения останутся только добавленные члены группы .

SpangeBoB

ммммм.. хреново.
и что теперь посоветуйте ? не ужели никак не варант ?

например разрешить радактирование рееста..
или на самом деле создать группу "администраторы" и туда добавить группу OU reklama ?
они на своем компе админы, но в домене - обычные пользователи. ! вроде все по честному.

А что тут сделаешь,добавить их в локальную группу администраторов на компьютере.Пусть будут админами только на локальных машинах.

Легче объяснить ,что безопасность данной сети падает до 0.

SpangeBoB

а это каким образом легче делать?
так нормально ?

по поводу безопасности - я им сказал. ответ был такой:
да нам плевать на безопасность, надо чтоб люди работали !

Тогда с помощью политики которая выше ,добавить группу которая будет входить в локальные администраторы или в Power Users.

так, так.. вот как то непонятки возникли, может кто то подскажет:
до пункта 7 все получается, а вот в 8_м пункте надо учетные записи рабочих станци добавить или созданную мною в AD группу Администраторы, куда уже добавлены учетки пользователей?
и вот здесь тоже не понял:

1)GP должна назначаться OU содержащая аккаунты компьютеров.
2)Computer Configuration|Windows Settings|Security Settings|Restricted Groups
3)Добавляем группу Power Users или BUILTIN\Administrators и сделать членами группу пользователей в которую входят Учетные записи,кому надо дать права админа.

http://img9.imageshack.us/img9/8305/...1382950162.jpg

Где TEST_User группа которая получит права локального админа.

нихрена не получается !

имеется OU reklama
(цель - предосатвить OU reklama - возможность локальные администратрские права, а именно - чтоб смогли уставонить и удалить программы)
1. я этот OU добавляю в греуппу Administrators (Administrators have complete and unrestricted access to the computer/domain) - я не понял, это тот группа ?!
2. потом создаю в Computer Configuration|Windows Settings|Security Settings|Restricted Groups ГПО и туда добавляю группы Administrators (Groups or Built-in security principals)
3. когда открывается эта окна, который выпожил SpangeBoB, я туда для эксперимента пытаюсь добавить группу или пользователя отдельно, но выдает ошибку:
http://i009.radikal.ru/0904/e6/a01bf736fd72.jpg
я нажимаю close, и и потом ОК, и он все равно добавляется вроде.
4. закрываю все, потом cmd и пишу: gpupdate /force
все происходит нормально. для верности перезагружаю клиента даже. но после перезагрузки никакого результата. :( опять не возможно ничего делать, т.е. установить софт.

в чем этот раз проблема ? где не парвильно делаю?

P.S. именно этот эксперимент провел на W2k8 standard , а как клиент - vista ultimate

1)OU нельзя добавить в группу,я даже не представляю откуда пришла мысль то в голову.

2)Там же написано ДОМЕН НЕ ДОСТУПЕН.

Как домен починится читать пока не просветлеет http://technet.microsoft.com/ru-ru/library/cc163123.aspx#EDAA

1. ну я имел ввиду всех пользователей, которые вхудят в этот OU !

2. как не доступен, если все нормально работает ? почему именно это не доступен ? вам не кажется, что с доменом все в порядке, просто что то не то делаю просто ?

1)В OU какие учетные записи находятся?

2)Судя по скриншоту с ним явно что-то не так.

SpangeBoB
1. в OU находятся те уч.записи пользователей, которые должны иметь "админские" права на локальных машинах.
(кстати, пробовал удалить из осностки ГРУППЫ этих пользователей группу Администраторы - тоже никакого толку)
2. ну может быть что то не то..
но на оригинальном сервере все проходить БЕЗ ошибок ! но все таки у пользователей нет прав.

Вы не понимаете что Групповая Политика для Компьютеров применяется только к компьютерам ,а не к учетным записям пользователя.В OU должны находится COMPUTER ACCOUNTS ,а не USER ACCOUNTS.

Во общем читать еще раз http://technet.microsoft.com/ru-ru/library/cc163123.aspx#EDAA

SpangeBoB

блин :(( именно. вы как всегда - правы.
спасибо большое. решилась проблема.
------

теперь остались несколько вопросов почти по теме:
1. GP всегда принимается именно на comp account ? или именно из за ветви:
принимается на компьютеры ?
2. в GP edit_е w2k8 видел такая галочка, как forced. когда его надо ставить и вообше надо ли ставить ?
3. вот когда все компы уже принимали политику - можно удалить эта политика ? (если нет, то что будет после удаления)
4. все таки не понял, почему надо создать GP и именно в ветве Restricted Groups, если можно просто пользователям добавить группу Администраторы и все ? (хотя я так делал, но не получил никакого результата)

1)Групповые политики могут применятся как к объектам компьютеров,так и к объектам пользователей.
Computer Configuration - применяются к компьютерам
User Configuration - к пользователям

2)http://technet.microsoft.com/en-us/library/cc784374.aspx
3)То после 90 минут (по умолчанию),компьютер обновит политику и объекты удалятся.
4)Можно и так сделать,только через GP не надо подключаться к компьютерам и делать одно типные движения,добавления пользователей,да еще и знать каких на какую машину добавлять.

так, давайте отфильтруем:
1. здесь все понятно.
2. здесь не совсем понял.. на русском или на 2_х словах можно?
3. получается через 90 минут сам по себе удаляется GP ? :) или через 90 минут после ручного удаления все компы, на которых распределился GP - сбрасываются? то есть если сделал кривой GP и распространял - могу удалить просто GP и через 90 минут все станет на свои места? )))) как то наивно ....
4. а если можно так делать, потему пришлось через GP и столько лишних телодижений ? может Restricted Groups дает/отменяет какие то "невидимые силы" ? :)

2)Как наследование при NTFS,явно назначенные права превалируют над наследованными.
3)Через 90 минут они обновляются и если есть изменения применяются.Так после ручного удаления,обновления произойдет через 90 минут и восстановятся оригинальные значения.Для вас наивно,для МС нет.
4)Назначить надо 1 раз,а не 20 (если 20 компьютеров).

P.S когда к сертификации по 70-290 ,удосужились хотя бы введения по GP прочитать.

SpangeBoB

2. все так не понял.. forced - это получается наследовать ? а от кого и к чему?
я создаю простую политику, чтоб менять абой рабочего стола клиентов. мне в каком случае надо ставить галочку Forsed ?
3. так получается, что "моя формула" правильно ?

P.S. :) опять сертификаты !?
значит скажу такое, что в 70-290 НЕТ никакого слово про GPO. Есть чуть-чуть в 70-291. и тот - как установить MSI пакет или как запретить пользователю открыть панель управление. и то очень поверхностно. GPO конкретно расматирвается помоему в инженерских курсах (MCSE).

Наследование от родителя к дочернему объекту..Допустим есть OU Test ей явно запретить пользователям менять картинку рабочего стола.В OU Test есть еще одна OU Test2 в которой разрешено пользователям менять картинку рабочего стола.В итоге получаем конфликт и по умолчанию политика на OU Test2 имеет приоритет над политикой OU Test и пользователи могут менять картинку рабочего стола.Но использую Enforced(Принудительно) уже приоритет имеет политика OU Test и у OU Test2 запрещено менять картинку рабочего стола.

И вот я открываю сайт МС захожу в раздел Exam-70-290 и наблюдаю:
Module 8: Implementing Group Policy
Module 9: Managing the User Environment by Using Group Policy

все понятно. остался только про удаления GPO :)

насчет 70-290 я вот открываю книгу, официальную от МС, чем подготовился:
там нет ничего подобного.
голова 8: Принтеры
голова 9: Обслуживание операционной системы

И вот я открываю синюю книжку от МС и вижу:

А что про удаление,сами же дали ответ:

если сделал кривой GP и распространял - могу удалить просто GP и через 90 минут(по умолчанию) все станет на свои места

тут много чего не совпадает с реальностью. даже то, что в книге написано.
на сайте другое написано, в книге другое, а сдаешь вообше другое. все всязано, но ничего эталонного нету.
у меня чистого практики не было администриеования АД от 12- до 18 месяцев. у нас есть админы, которые с 2000 года работают и имею дело с контроллером доменом, но щас мне звонят и просят помогать. (напомню, что я первый раз компютер видел 2002 году, а трогал - в начале 2003 года.) так что срок 12-18 месяцев - еще ничего не значит.

А насчет GPO - вы прям меня радовали. всегда испугался принимать серьезные политики на больших организациях )))