Maikll Опубликовано 11 сентября, 2008 Жалоба Поделиться Опубликовано 11 сентября, 2008 (изменено) Оффтоп ...сейчас сюда зайдет кто-нибудь из Модераторов и сделает тебе замечание за обсуждение нелицензионного ПО. Будь аккуратне. Сделал вывод - глюк системы. Может такое быть? Нет. Однозначно. Ох, поехали... Снова делаем экспорт политики - высылаем мне. Далее, в этой теме подробно расписываем что делалось, что не работает и что должно получится (какие программы должны запускаться, какие нет и прочее) Я посмотрю политики и в случае необходимоти внесу в них изменения, затем перешлю обратно и дам инструкцию как их импортировать. Раз не получается своими силами, придется делать так. Хотя право слово, мне непонятно в чем там можно заблудится... На клиентском компьютере, на котором проверяются политики с помощью оснастки "Результирующая политика" необходимо убедится, что политика, содержащая эти ограничения - единственная, применяемая к компьютеру (исключение - дефолтная политика домена) Изменено 11 сентября, 2008 пользователем Maikll Ссылка на комментарий Поделиться на другие сайты Поделиться
Loader Опубликовано 14 сентября, 2008 Жалоба Поделиться Опубликовано 14 сентября, 2008 (изменено) ! Предупреждение:Ejik: Обсуждение нелицензионного ПО запрещено. Изменено 14 сентября, 2008 пользователем Loader Ссылка на комментарий Поделиться на другие сайты Поделиться
Ejik Опубликовано 28 октября, 2008 Автор Жалоба Поделиться Опубликовано 28 октября, 2008 Maikll-огромное спасибо за помощь, вроде все заработало. Но возник еще вопрос. Можно ли открыть доступ через ГП всем юзерам к папке распаложеной на диске d локальных компов??? Ссылка на комментарий Поделиться на другие сайты Поделиться
Maikll Опубликовано 28 октября, 2008 Жалоба Поделиться Опубликовано 28 октября, 2008 Ejik: что подразумевается под общим доступом? создавать новые сетевые папки и давать на них разрешения средствами ГП? или что-то еще? В общем, подробности нужны... З.Ы, принципиально не вижу ничего невозможного. Ссылка на комментарий Поделиться на другие сайты Поделиться
Ejik Опубликовано 3 ноября, 2008 Автор Жалоба Поделиться Опубликовано 3 ноября, 2008 Ejik: что подразумевается под общим доступом? создавать новые сетевые папки и давать на них разрешения средствами ГП? или что-то еще? В общем, подробности нужны... З.Ы, принципиально не вижу ничего невозможного. Это понятно, что нет ничего не возможного. Просто не т опыта работы с AD и групповыми политиками. В общем ситуация следующая: каждый юзер на своей машине админ, хотелось бы всех сделать обычными пользователя, но при понижении статуса до пользователя возникают проблемы при работе с модулем (написанным сторонней компанией), формируется ini файл, который записывается (где-то) на диска С, еще имеется папка на диске D\oracle\network\admin\ - где лежит файл tnsnames.ora, к которому обычный пользователь не имеет доступ. Вот, коротко то, что нужно сделать: дать пользователю доступ к определенным папкам. Ссылка на комментарий Поделиться на другие сайты Поделиться
Maikll Опубликовано 4 ноября, 2008 Жалоба Поделиться Опубликовано 4 ноября, 2008 (изменено) Ejik: формируется ini файл, который записывается (где-то) на диска С сперва вычисляем, что и куда. Поможет в этом утилита filemon С ее помощью можно найти все файлы, необходимые для работы программы. еще имеется папка на диске D\oracle\network\admin\ - где лежит файл tnsnames.ora, к которому обычный пользователь не имеет доступ. Оффтоп хм...клиент оракла, если не ошибаюсь? а разве нельзя положить этот файл на расшаренную папку, чтобы все пользователи обращались к нему? это было бы логичнее, впрочем, не в этом дело. Если на каждом компьютере этот путь одинаков, то понадобится составить скрипт для изменения прав. В windows есть командная утилита cacls для этого, но ее возможности нам не совсем подойдут. У M$ есть более продвинутый аналог xcacls.vbs но я предпочитаю пользоваться консольной утилитой от них же - Subinacl. Качаем subinacl отсюда, распаковываем и кладем сам exe-шник туда, где он будет доступен на чтение все пользователям домена, подойдет доменная шара NETLOGON. Синтаксис subinacl подробно расписан в прилагаемом файле subinacl.htm, поэтому я на нем останавливаться не буду. Вкратце есть два пути: раздавать права для групп или для конкретных пользователей, для групп конечно же предпочтительнее а поскольку имена групп у нас русские (пользователи домена, администраторы и т.п.) будем вместо них указывать идентификаторы безопасности, SID-ы. Это более элегантно с точки зрения администрирования, да и киррилица не всегда правильно распознается в сриптах. Список сидов можно посмотреть тут. Команда в этом случае будет выглядеть так \\server\NETLOGON\subinacl.exe /subdirectories D:\oracle\network\admin\ /grant=S-1-5-32-545=f - т.е. даем полный доступ на папку D:\oracle\network\admin\ и на все файлы в ней для группы локальных пользователей. Т.к. пользователи домена автоматически попадают в группу пользователей копьютера, разрешения распространятся и на них, хотя можно и задать группу именно пользователей домена \\server\NETLOGON\subinacl.exe /subdirectories D:\oracle\network\admin\ /grant=S-1-5-домен-513=f подставляем только название своего домена и вместо \\server будет имя вашего контроллера домена. Аналогичная команда делается и для неизвестного пока инишника, вы можете дать права на папку где он находится или на него конкретно, для этого есть параметр /file Теперь сохраняем эти команды в файл cmd и идем в групповую политику (кстати на время рекомендую создать отдельную политику для применения скрипта, тем более что он насовсем и не нужен) Конфигурация пользователя - конфигурация windows - сценарии - сход в систему -добавить - указываем получившийся файл. Теперь останется только применить эту политику к нужным пользователям, после чего ее можно отключить или удалить. Изменено 4 ноября, 2008 пользователем Maikll Ссылка на комментарий Поделиться на другие сайты Поделиться
Ejik Опубликовано 5 ноября, 2008 Автор Жалоба Поделиться Опубликовано 5 ноября, 2008 Maikll: еще раз большое спасибо за помощь, попробую поэкспериментировать. Ссылка на комментарий Поделиться на другие сайты Поделиться
Emax Опубликовано 6 ноября, 2008 Жалоба Поделиться Опубликовано 6 ноября, 2008 Привет! Такой вопрос: у меня юзеры на локальных станциях могут менять настройки TCP/IP. Мне нужно енто запретить. Что имеем: 1. домен 2. создал подразделение 3. создал груп политику для этого подразделения с запретом изменения настроек подключений 4. перенес в это подразделение пользователя 5. перезалогинился пользователем на локальном компе Итог: эффект НОЛЬ. Что я не так сделал? Подскажите. Ссылка на комментарий Поделиться на другие сайты Поделиться
Maikll Опубликовано 6 ноября, 2008 Жалоба Поделиться Опубликовано 6 ноября, 2008 Emax: а подробнее можно, что конкретно запретили? В стандартных политиках если я правильно помню такого пункта нет. Такой вопрос: у меня юзеры на локальных станциях могут менять настройки TCP/IP. Мне нужно енто запретить. Самый простой способ - не давать им прав локальных администраторов, что них по всей видимости сейчас есть. А адреса через DHCP раздавать. В этом случае порядок такой: лишаем пользователей прав, поднимаем dhcp, на компах удаленно выполняем последовательно команды @netsh interface ip set address name="My_LAN" dhcp @netsh interface ip set dns name="My_LAN" source=dhcp где My_LAN - имя локального соединения, которое хотим переключить. Ссылка на комментарий Поделиться на другие сайты Поделиться
Loader Опубликовано 6 ноября, 2008 Жалоба Поделиться Опубликовано 6 ноября, 2008 Если не ошибаюсь лишения прав локального администратора достаточно. Заходишь под доменным администратором на каждую машину и переводишь пользователя в нужную тебе группу на каждой машине. Ссылка на комментарий Поделиться на другие сайты Поделиться
Emax Опубликовано 7 ноября, 2008 Жалоба Поделиться Опубликовано 7 ноября, 2008 (изменено) Maikll: Loader: Подскажите поподробней, пожалуйста, как лишить прав локального администратора? Когда я захожу на локальную машину админом домена, в списке пользователей вижу только локальных юзеров и самого себя, т.е. админа домена. А DHCP не могу использовать в сети, есть привязки к IP-икам. А политику вот какую я сделал: в прикрепленном файле. Изменено 7 ноября, 2008 пользователем Emax Ссылка на комментарий Поделиться на другие сайты Поделиться
Ejik Опубликовано 7 ноября, 2008 Автор Жалоба Поделиться Опубликовано 7 ноября, 2008 Emax: Я сделал так: открыл ГП определенной OU (если нужно сделать для всего домена, то открываете ГП домена) идем в Computer Configuration\Windows Settings\Security Settings\Restricted Groups и здесь добовляете пользователя или группу, которая будет являтся локальным адинам на всех компах входящих в эту OU (или всего домена). Тем самым все остальные юзеры будут обычными пользователями. Ссылка на комментарий Поделиться на другие сайты Поделиться
Ejik Опубликовано 7 ноября, 2008 Автор Жалоба Поделиться Опубликовано 7 ноября, 2008 Maikll: хотел еще уточнит, по поводу доступа к определенным папкам. С написанием скриптов как-то не справился (нужно будет искать в инете мануал на эту тему). Но вышел из этого положения так: открыл ГП Computer Configuration\Windows Settings\Security Settings\File System и добавил такую запись D:\oracle\ora92\networck\admin\tnsnames.ora и дал права к этому файлу только на чтения. Хотел узнать насколько правильный такой подход? Ссылка на комментарий Поделиться на другие сайты Поделиться
Maikll Опубликовано 7 ноября, 2008 Жалоба Поделиться Опубликовано 7 ноября, 2008 Ejik: Нужно пробовать, вообще-то в эта политика оперерирует обычно правами доступа к сетевым ресурсам, это более универсально, как поведет себя она при такой задаче скачать затрудняюсь. Впрочем, если на всех компьютерах путь D:\oracle\ora92\networck\admin\tnsnames.ora одинаков, может и сработать. хотел еще уточнит, по поводу доступа к определенным папкам. С написанием скриптов как-то не справился (нужно будет искать в инете мануал на эту тему). зачем в интенете? мануал к subinacl есть в ее составе а больше там ничего не надо, всего-то будет 2 команды. Обычный батник. Emax: А DHCP не могу использовать в сети, есть привязки к IP-икам. как раз в этом случае DHCP и наиболее удобен, там есть резервирование IP по mac-адресам. по политикам: скрин сильно не поможет, надо делать экспорт полититки для анализа. Как это сделать я уже писал в этой теме, почитай начиная с первой страницы. по скрину пока вижу только, что наряду с запрещающими параметрами ставятся и разрещающие. кроме того, надо проверить с помощью оснастки Результирующая политика, на перекрывается ли эта группа более высокими политиками домена. Ссылка на комментарий Поделиться на другие сайты Поделиться
Emax Опубликовано 7 ноября, 2008 Жалоба Поделиться Опубликовано 7 ноября, 2008 Ejik: Emax: Я сделал так: открыл ГП определенной OU (если нужно сделать для всего домена, то открываете ГП домена) идем в Computer Configuration\Windows Settings\Security Settings\Restricted Groups и здесь добовляете пользователя или группу, которая будет являтся локальным адинам на всех компах входящих в эту OU (или всего домена). Тем самым все остальные юзеры будут обычными пользователями. Это я так понял "Группы с ограниченным доступом"? Ссылка на комментарий Поделиться на другие сайты Поделиться
Ejik Опубликовано 7 ноября, 2008 Автор Жалоба Поделиться Опубликовано 7 ноября, 2008 Ejik: Это я так понял "Группы с ограниченным доступом"? Именно. Ссылка на комментарий Поделиться на другие сайты Поделиться
Emax Опубликовано 7 ноября, 2008 Жалоба Поделиться Опубликовано 7 ноября, 2008 Вот еще что заметил в ходе поиска решения данной проблемы: при входе на одном из компов этим же юзером, все нормально - нет доступа к изменению настроек сетевых подключений, а вот на одном компе при входе этим пользователем - у него полный доступ. Как такое возможно? Ведь в домене этот юзер имеет права пользователя, как он может получить права админа на одном локальном компе, и не получать их (права админа) на другом? Ссылка на комментарий Поделиться на другие сайты Поделиться
Ejik Опубликовано 7 ноября, 2008 Автор Жалоба Поделиться Опубликовано 7 ноября, 2008 Ejik: Нужно пробовать, вообще-то в эта политика оперерирует обычно правами доступа к сетевым ресурсам, это более универсально, как поведет себя она при такой задаче скачать затрудняюсь. Впрочем, если на всех компьютерах путь D:\oracle\ora92\networck\admin\tnsnames.ora одинаков, может и сработать. Путь на всех компах одиноковый. Пока проверил только на одном компе, работает исправно. :nerd: Вот еще что заметил в ходе поиска решения данной проблемы: при входе на одном из компов этим же юзером, все нормально - нет доступа к изменению настроек сетевых подключений, а вот на одном компе при входе этим пользователем - у него полный доступ. Как такое возможно? Ведь в домене этот юзер имеет права пользователя, как он может получить права админа на одном локальном компе, и не получать их (права админа) на другом? Если вы настроили политику так как я писал, то это и понятно, эта политка применяестся на компьютеры а не на пользователя. Ссылка на комментарий Поделиться на другие сайты Поделиться
Emax Опубликовано 7 ноября, 2008 Жалоба Поделиться Опубликовано 7 ноября, 2008 (изменено) Ejik: я сделал вот что: 1. в Default Domain Policy - Конфигурация компьютера - конфигурация Windows - Параметры безопасности- Restricted groups добавил группу "Администраторы домена" Изменено 7 ноября, 2008 пользователем Emax Ссылка на комментарий Поделиться на другие сайты Поделиться
Ejik Опубликовано 7 ноября, 2008 Автор Жалоба Поделиться Опубликовано 7 ноября, 2008 Emax: И..... Вы эту политику применили на отдельную группу? Проблемный комп входит в эту группу? Ссылка на комментарий Поделиться на другие сайты Поделиться
Ejik Опубликовано 7 ноября, 2008 Автор Жалоба Поделиться Опубликовано 7 ноября, 2008 Emax: обновите политику или перегрузите машину. Ссылка на комментарий Поделиться на другие сайты Поделиться
Loader Опубликовано 7 ноября, 2008 Жалоба Поделиться Опубликовано 7 ноября, 2008 Maikll: Loader: Подскажите поподробней, пожалуйста, как лишить прав локального администратора? Когда я захожу на локальную машину админом домена, в списке пользователей вижу только локальных юзеров и самого себя, т.е. админа домена. А DHCP не могу использовать в сети, есть привязки к IP-икам. А политику вот какую я сделал: в прикрепленном файле. Все правильно. Открываешь локальных юзеров и удаляешь их из администраторов данного компа. Оставляешь только пользователями Ссылка на комментарий Поделиться на другие сайты Поделиться
Ejik Опубликовано 7 ноября, 2008 Автор Жалоба Поделиться Опубликовано 7 ноября, 2008 Maikll: еще вопросик, я недавно поставил WSUS, теперь все машины обновляются с него. Но мне не нравиться, что при обновлении юзер должен нажимать иконку и запускать обновления в ручную. В ГП я пытался настроить, чтобы обновления устанавливались автоматически. Но видимо что-то не правильно настраиваю. Не подскажите где и что нужно подкрутить? Ссылка на комментарий Поделиться на другие сайты Поделиться
Maikll Опубликовано 7 ноября, 2008 Жалоба Поделиться Опубликовано 7 ноября, 2008 Ejik: Насколько я знаю WSUS, при его установке в политики добавляется дополнительный шаблон wuau.adm, где и перечислены все возможные настройки, в часности есть возможность выбрать (Auto download and schedule the install) - установку по расписанию в автоматическом режиме. Ссылка на комментарий Поделиться на другие сайты Поделиться
Ejik Опубликовано 9 ноября, 2008 Автор Жалоба Поделиться Опубликовано 9 ноября, 2008 Maikll: точно, я не тот режим выбрал :) Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения