Настойка политик на Windows Server 2003

[Ejik]

Maikll: еще вопрос, как сделать что бы локальные политики перекрывались груповыми полностью, т.е что бы локальные политики вобще не применялись.

[Maikll]

Доменные политики и так имеют более высокий приоритет чем локальные вследствие чего изменения, внесенные через домен не могут быть отменены локальными политиками.

Дополнительно ничего настраивать не нужно.

[Ejik]

Понятно, спасибо.

[Фдуч]

Немного уточню. Если в доменных политиках какой-то параметр не задействован, то вместо него применяется этот же параметр из локальной политики. Поэтому чтобы локальная политика полностью перекрывалась групповой нужно в групповой явным образом настраивать все параметры.

[Ejik]

Maikll: Добрый день, обнаружил такую штуку: при команде gpresult есть строка, где указан, откуда применена была политика, и там указан бывший DC (сейчас он как резервный). В принцепи ничего страшного, настройки политик такие же, как и на основном DC, но все же хотелось бы, что бы применялись политики с основного DC. Как заставить машины брать политики с основного DC?

[Maikll]

Ну, на всякий случай напомню что первичным dns-сервером на клиентах теперь должен выступать новый DC.

В самом факте, что клиенты берут политики и логинятся на запасном контроллере нет ничего тревожного. AD такое позволяет. глобальный каталог один и не зависит от числа серверов. Это может быть следствием того факта, что основной DC был в момент обращения занять обработкой других клиентов скажем и поэтому в целях балансировки нагрузки в дело вступил вторичный сервер. Хотя не мешает проверить, что все роли fsmo нормально передались на новый КД.

[Ejik]

При переноси все роли передал новому DC без проблем и сейчас все роли на новом DC. А вот про DNS, это хорошо, что Вы на помнили мне, давно хотел уточнить, в общем на основном ДС DNS работает и в евентах нет ошибок или предупреждений, а вот на резервном постоянно сыпяться предупреждения 4521, 3000, 9999.

Может это не по теме, но очень хочется разобраться.

[Maikll]

Для начала надо посмотреть что выдаст dcdiag /test:DNS на резервном КД, какие тесты не проходит.

Потом надо проверить корневые ссылки, все ли корректны и нет ли зоны "." (точка) В крайнем случае, если ничего не поможет, попробовать переустановить роль dns-сервера.

[Ejik]

C:\Documents and Settings\viktor>dcdiag /test:dns

Test not found. Please re-enter a valid test name.

:blush2:

[Ejik]

еще вот что, открыл остнастку AD Sites and Services\Site\Default-First-Site\NTDS Site Settings - открываю свойство и там в поле Server имя резервного ДК, мне кажется что здесь должно быть имя основного ДК, я прав?

[Maikll]

C:\Documents and Settings\viktor>dcdiag /test:dns

Test not found. Please re-enter a valid test name.

Возьми последнюю версию dcdiag из комплекта support tools 2003

еще вот что, открыл остнастку AD Sites and Services\Site\Default-First-Site\NTDS Site Settings - открываю свойство и там в поле Server имя резервного ДК, мне кажется что здесь должно быть имя основного ДК, я прав?

Нет, обращать внимание можно на AD Sites and Services\Site\Default-First-Site\Servers\(имя сервера)\NTDS Site Settings Если они указывают друг на друга то все в порядке.

[Ejik]

Для начала надо посмотреть что выдаст dcdiag /test:DNS на резервном КД, какие тесты не проходит.

Domain Controller Diagnosis

Performing initial setup:

Done gathering initial info.

Doing initial required tests

Testing server: Default-First-Site\KAZ-DC-01

Starting test: Connectivity

......................... KAZ-DC-01 passed test Connect

Doing primary tests

Testing server: Default-First-Site\KAZ-DC-01

DNS Tests are running and not hung. Please wait a few minutes...

Running partition tests on : Schema

Running partition tests on : Configuration

Running partition tests on : npfcapital

Running enterprise tests on : npfcapital.kz

Starting test: DNS

......................... npfcapital.kz passed test DNS

[Ejik]

Потом надо проверить корневые ссылки, все ли корректны и нет ли зоны "." (точка) В крайнем случае, если ничего не поможет, попробовать переустановить роль dns-сервера.

А как проверить корневые ссылки ? :rolleyes:

[Maikll]

По вопросу чувствую, что тебе не приходилось добавлять их вручную (это весьма редкое дело) поэтому эту часть можешь пропустить, проверь только нет ли зоны "." т.е. не является ли этот сервер сам корневым. Можно визуально проверить, в настройках dns если нет возможности настроить пересылку то "точка" точно есть.

Если во время первичной настройки сервера DNS под управлением Windows Server 2003 не были найдены другие серверы DNS, он становится корневым (получает все права на разрешение имен). Такой сервер DNS не может перенаправлять неразрешенные запросы другому серверу или корневому серверу в Интернете. По этой причине на сервере DNS под управлением Windows Server 2003, который настроен в качестве корневого, возможность настройки сервера пересылки отключается автоматически.

Если в будущем сервер интегрируется в более крупную среду DNS (например, Интернет), необходимо удалить корневую зону прямого просмотра.

Для этого выполните следующие действия.

1. Чтобы открыть консоль управления DNS, нажмите кнопку Пуск, выберите пункт Программы, а затем — Администрирование и DNS.

2. На левой панели консоли разверните объект соответствующего сервера DNS.

3. Разверните элемент Зоны прямого просмотра.

4. Выделите зону «.» (точка) и нажмите клавишу DELETE.

5. Нажмите кнопку ОК, чтобы подтвердить удаление.

по тесту все в норме. :rolleyes:

Я бы посоветовал, буде такая возможность, понизить роль этого сервера до рядового, вывести его из домена, посмотреть в АД на предмет оставшихся ссылок на него, затем в обратном порядке поднять роли до второго КД.

[Ejik]

Maikll: Проверил. Зоны "." точно нет.

Попробую понизить его и вывести из домена.

Еще раз огромное спасибо.

[Ejik]

Добры день, Maikll сново вопрос, ни где не могу найти можно ли через ГП запретить доступ к файлам определенного расширения, например к *.mp3?

Изменено 20 августа, 2009 пользователем Ejik

[Maikll]

Запретить их скачивать или что?

[Ejik]

Запретить их скачивать или что?

нет, запускать.

[Aleksa106]

нет, запускать.

так вроде правила для пути никто не отменял...

*.mp3

[Maikll]

По-моему, правило пути не сработает, если перетащить музыкальный файл в окно проигрывателя. :D

Вообще это бесполезное занятие. Проще совсем удалять эти файлы, запуская периодически скрипт или батник. ИМХО. Подобные вопросы должны решаться административными методами а не техническими.

Изменено 20 августа, 2009 пользователем Maikll

[Ejik]

Aleksa106: для ислользования правила путей нужно явно провисать путь к файлу. Это не совсем удобно.

Не хотелось, но видимо придется писать скрипт.

Изменено 21 августа, 2009 пользователем Ejik

[Aleksa106]

Aleksa106: для ислользования правила путей нужно явно провисать путь к файлу. Это не совсем удобно.

Не хотелось, но видимо придется писать скрипт.

А если так:

http://www.softboard.ru/index.php?act=Atta...st&id=18793

только вместо lnk, поставить mp3...

второй вариант, попробовать в "Назначенные Типы Файлов" в "Политике Ограниченного использования программ" добавить mp3

[Ejik]

А если так:

http://www.softboard.ru/index.php?act=Atta...st&id=18793

только вместо lnk, поставить mp3...

второй вариант, попробовать в "Назначенные Типы Файлов" в "Политике Ограниченного использования программ" добавить mp3

Пробовал оба варианта, не помогло. Может, не применяется из-за того, что у меня права доменного админа, проверял на своей учетке. В остнаск mmc\результирующая политика все изменения применились. Но результат=0.

[Aleksa106]

Пробовал оба варианта, не помогло. Может, не применяется из-за того, что у меня права доменного админа, проверял на своей учетке. В остнаск mmc\результирующая политика все изменения применились. Но результат=0. :bye1:

Попробуйте на User-e... проверил, оба варианта работают... проверял на локальной машине, через локальные политики безопасности... в домене должно работать...