Настойка политик на Windows Server 2003

[Maikll]

Тип события: Уведомление

Источник события: Setup

Категория события: Отсутствует

Код события: 60052

Дата: 28.02.2008

Время: 12:53:10

Пользователь: Н/Д

Компьютер: DINARA1

Описание:

Обновление до Windows сборки 2600 от Windows сборки 0 выполнено успешно.

вот здесь

перед этим видим

Тип события: Уведомление

Источник события: EventLog

Категория события: Отсутствует

Код события: 6009

Дата: 28.02.2008

Время: 12:36:14

Пользователь: Н/Д

Компьютер: DINARA1

Описание:

Microsoft ® Windows 2000 ® 5.01. 2600 Service Pack 2 Multiprocessor Free.

Заметил, но 605SH1D4 - без проблем, а DB - давно токого компа нет.

тем не менее на сервере ошибки

Тип события: Ошибка

Источник события: NETLOGON

Категория события: Отсутствует

Код события: 5805

Дата: 29.01.2009

Время: 7:23:32

Пользователь: Н/Д

Компьютер: KAZ-DC-01

Описание:

Не удалось выполнить проверку подлинности для сеанса компьютера DB. Произошла следующая ошибка:

Отказано в доступе.

Данные:

0000: 22 00 00 c0 "..À

нужно чистить АД, там скорее всего остались записи о нем. Со вторым компом пока непонятно, хотя я бы посоветовал вывести его из домена а затем обратно запустить. Обычно помогает.

Попробуй временно отключить антивирь на уровне службы или запускать его позже шедулером. Если шанс, что это он мешает.

[Ejik]

Попробуй временно отключить антивирь на уровне службы или запускать его позже шедулером. Если шанс, что это он мешает.

Не помогло.

[Maikll]

Ejik: Пока могу только посоветовать дождаться очередного сбоя и сверить sid.

Скинь для сверки результирующие политики с одной из машин, которая в старом подразделении и не имеет проблем и с этой, что в тестовый ou только что завел.

[Ejik]

Maikll: Решил проблему путем удаления старого прпофайла и завел новый, на двух машинах так сделал, пока все ок. мне кажется что именно с профилем пользователей были проблемы.

[Ejik]

Опять пропали права на профиль пользователя. Что за хрень творится????

Сид не меняется.

Сейчас зделаю экспор политик и скину.

[Maikll]

Ejik: сделай наверно экспорт а не рапорт, мне так удобнее смотреть будет.

Вижу в ou test заданы разрешения на файловую систему... первой строчкой идет %SystemDrive% (BUILTIN\Users - Read and Execute )....не здесь ли собака порылась ;)

[Ejik]

Хорошо, я то же про это подумал, но опять же почему только у некоторых компов такие проблемы.

[Ejik]

И как тогда сделать что бы юзеры не за соряли корень системного диска?

[Maikll]

И как тогда сделать что бы юзеры не за соряли корень системного диска?

Обычные юзвери и так не имеют прав на запись в корень С, дополнительно ничего не надо.

Хорошо, я то же про это подумал, но опять же почему только у некоторых компов такие проблемы.

Все-таки попробуй отключить/удалить этот пункт и снова поставить разрешения на профиль - будешь точно знать, в этом проблема или нет.

[Ejik]

Все-таки попробуй отключить/удалить этот пункт и снова поставить разрешения на профиль - будешь точно знать, в этом проблема или нет.

Удалил, раз пять обновлял и перегружал комп, вроде права не теряет пока :blush2: , посмотрим.

[Maikll]

Удалил, раз пять обновлял и перегружал комп, вроде права не теряет пока smile.gif , посмотрим.

Отписаться о результате не забудь ;)

[Ejik]

Maikll: спасибо за помощь, действительно после того как убрал запрет на системный диск глюки с правами прекратились. Только опять же не понятно почему такие глюки были не на всех машинах. :g:

[Maikll]

Ejik:

Оффтоп

Честно говоря, не знаю. Никогда специально не пытался провернуть такой фокус с правами :g: Назови это инстинктом самосохранения windows.

В принципе ты можешь подправить тот пункт, указав, чтобы он не распространялся на подпапки, если так уж надо оградить корень диска.

[Ejik]

В принципе ты можешь подправить тот пункт, указав, чтобы он не распространялся на подпапки, если так уж надо оградить корень диска.

Это не обязательно раз у юзера и так нет прав на корень. (до этого я не знал и поэтому дополнительно создал ограничение. :g: )

[Maikll]

Это не обязательно раз у юзера и так нет прав на корень. (до этого я не знал и поэтому дополнительно создал ограничение. :g: )

Я должен наверное пояснить... нет прав на запись данных (т.к. пользователи домена по умолчанию попадают в локальную группу Пользователи и наследуют их разрешения, если иного не задано отдельно) но есть права на создание каталогов и дозапись, а вот в созданном каталоге юзер может делать что угодно т.к. там он Владелец.

Твоих требования я не знаю, поэтому решай сам, хватит этого или нет...

[Ejik]

Твоих требования я не знаю, поэтому решай сам, хватит этого или нет...

Пока пойдет, дальше посмотрим.

Maikll я еще хотел уточнить такой момент, нужно чтобы у юзеров настройки IE прописать через ГП. Настройки такие:

1. Прокси

2. Прописать домашнюю страницу

3. Адреса исключения для локальных страниц.

Я сделал так User Configuration/Windows Settings/Internet Explorer Maintenance/Connection/Proxy Settings и прописал адрес прокси и адреса исключения. Потом в URLs/Important URLs ставлю галочку на Customize Home Page URL и прописываю адрес дом. страници. На клиен. машинах ничего не применяется. Может, не то делаю?

[Maikll]

На первый взгляд все правильно. Сделай результирующую и проверь, применяются ли настройки.

[Ejik]

Сделал, там показано что применяется, но при открытии IE грузится страница по умолчанию, и в настройках ни чего из того что я прописывал нет.

[Maikll]

ДО этого в настройках был прописан какой-либо прокси?

[Ejik]

ДО этого в настройках был прописан какой-либо прокси?

Нет.

[Ejik]

Maikll: Доброе время суток, хотел уточнить. Есть группа DIT в нее входят все сотрудники департамента ИТ, хотел настроить политики так чтобы эта группа была админами на всех машинах кроме КД. Сделал так:

есть OU=NPFCAPITAL вней OU=Users и OU=Computers, в OU=NPFCAPITAL создаю новую политику Reg Group,

Конигурация компьютера\Конфиграция Windows\Параметры безопасности\Группы с ограниченным доступом, добавляю группу admin, в окошке Члены этой группы я добавляю группу DIT. Обновляю политики на локальной машине (gpupdate /force) и проверяю (gpresult) и здесь меня смущает одна строка Reg Group Фильтрация: не применяется (пусто), как заставить ее работать?

[Maikll]

Ejik: в таких случаях я обычно сперва смотрю результирующую через mmc и проверяю, есть ли изменения в политике, которые должны применяться. Кроме того, не забывай, что политика настраивается на уровне компьютера, а значит на уровне пользователя она и не должна применяться а из твоего поста не ясно, в каком разделе это сообщение.

[Ejik]

Maikll: Все, разобрался, в чем глюк. При создании политики Группы с ограниченным доступом, назначаются права исходи из имени группы т.е если группу назвать user, то все, кого добавить в эту группу будут иметь права юзера. Я назвал группу admin и с этим проблема, вот что нашел в winlogon.log

Настройка членства в группах...

Настройка admin.

Ошибка 1332: Именам пользователей не сопоставлены коды защиты данных.

Не обнаружено системное сопоставление для admin..

Теперь вопрос такой, я создаю группу место admin administrator-и в этом случае группа DIT наследует все права administrator - а это админ, который создается при установки Windows Server 2003, и имеет права админа домена, что мне не подходит. как создать группу с правами админа на раб.станциях?

Наверно не совсем понятно, ну проще не получилось. ;)

[Maikll]

Ejik: давай с начала. Для каждой созданной в политике группы можно определить два действия: жёстко задать список её членов и жёстко сделать её саму членом каких-либо групп.

Если нужно удалить из локальной группы всех, оставив там только определённые политикой группы, то создаём группу "Администраторы", в верхнем окошке в неё набиваем список нужных глобальных групп, у тебя это DIT. В оснастке появится группа "Администраторы" и во второй колонке - список входящих в неё групп, как ты уже понял, указываются именно названия существующих локальных групп.

Если нужно какую-то группу добавить в определённые группы, не трогая имеющихся там, тогда создаём группу "DIT" и в нижнем окошке набиваем локальные группы, в которые она должна входить.

Также возможны любые сочетания этих действий в зависимости от задачи.

[Ejik]

Maikll: :blushing: Теперь все понятно, спасибо!!!!