на клиенте на применяются ГП

[Ejik]

Добрый день.

В сети есть комп на котором не применяются политики и в эвентах есть такие ошибки:

Тип события:	ОшибкаИсточник события:	UserenvКатегория события:	ОтсутствуетКод события:	1096Дата:		16.04.2010Время:		10:05:22Пользователь:		NT AUTHORITY\SYSTEMКомпьютер:	WXP-601-1490Описание:Не удалось получить доступ в реестре к файлу политики, C:\Documents and Settings\All Users\tempntuser.pol. (Отказано в доступе. ).

и

Тип события:	ОшибкаИсточник события:	UserenvКатегория события:	ОтсутствуетКод события:	1020Дата:		16.04.2010Время:		10:05:22Пользователь:		NT AUTHORITY\SYSTEMКомпьютер:	WXP-601-1490Описание:Не удалось создать в реестре раздел Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers. (Отказано в доступе. ).

Тип события:	ОшибкаИсточник события:	UserenvКатегория события:	ОтсутствуетКод события:	1096Дата:		16.04.2010Время:		10:05:22Пользователь:		NT AUTHORITY\SYSTEMКомпьютер:	WXP-601-1490Описание:Не удалось получить доступ в реестре к файлу политики, \\npfcapital.kz\sysvol\npfcapital.kz\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\Machine\registry.pol. (Отказано в доступе. ).

Теперь вопросы

1. C:\Documents and Settings\All Users\tempntuser.pol - этот файл должен лежать на локальной машине?

2. Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers - для етой ветки полные прова должны быть только у учетки система?

3. \\npfcapital.kz\sysvol\npfcapital.kz\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\Machine\registry.pol - разрешения на этот файл у группы прошедшие проверку на "чтение и выполнение" и "чтение". почему он не может получить доступ к этому файлу?

Изменено 16 апреля, 2010 пользователем Ejik

[Ejik]

Ну вот Maikll'a нет и форум умер

Кто знает когда он вернется?

Если кто сталкивался с такой ситуацией: Нужно на ветку HKLM\Software\Policies\Microsoft\Windows\Safer дать полные права для учетки system и чтобы юзеры не могли менять права на эту ветку.

Я сделал через ГП Конфигурация компьютера\Конфигурация windows\Параметры безопасности\Реестр и на требуемую витку выставляю нужные права.

При применении ГП на машине под управлением Windows 7 все работает корректна, т.е юзер не может ни просмотреть, ни редактировать эту ветку, а с Windows XP эта не работает, хотя политика применяется.

В чем проблема?

Изменено 20 апреля, 2010 пользователем Ejik

[Maikll]

Ejik: уже вернулся.

По вопросу, не отрабатывает политика только на одной машине или на всех с ХР? gpresult что показывает?

Если кто сталкивался с такой ситуацией: Нужно на ветку HKLM\Software\Policies\Microsoft\Windows\Safer дать полные права для учетки system и чтобы юзеры не могли менять права на эту ветку.

Это сильно вряд ли. Может, я что-то и упускаю из виду, но local system имеет доступ ко всем разделам реестра автоматом, зачем дополнительные разрешения? Задачи из разряда вычерпывания моря ситечком... У вас что, пользователи локальные админы, раз спокойно меняют в hklm пермишены?

Кроме того, для раздачи прав гораздо более подходит утилита SubInAcl

» Нажмите, чтобы показать/скрыть оффтоп «

C:\>subinacl /?

SubInAcl version 5.2.3790.1180

USAGE

-----

Usage :

SubInAcl [/option...] /object_type object_name [[/action[=parameter]...]

/options :

/outputlog=FileName /errorlog=FileName

/noverbose /verbose (default)

/notestmode (default) /testmode

/alternatesamserver=SamServer /offlinesam=FileName

/stringreplaceonoutput=string1=string2

/expandenvironmentsymbols (default) /noexpandenvironmentsymbols

/statistic (default) /nostatistic

/dumpcachedsids=FileName /separator=character

/applyonly=[dacl,sacl,owner,group]

/nocrossreparsepoint (default) /crossreparsepoint

/object_type :

/service /keyreg /subkeyreg

/file /subdirectories[=directoriesonly|filesonly]

/clustershare /kernelobject /metabase

/printer /onlyfile /process

/share /samobject

/action :

/display[=dacl|sacl|owner|primarygroup|sdsize|sddl] (default)

/setowner=owner

/replace=[DomainName\]OldAccount=[DomainName\]New_Account

/accountmigration=[DomainName\]OldAccount=[DomainName\]New_Account

/changedomain=OldDomainName=NewDomainName[=MappingFile[=Both]]

/migratetodomain=SourceDomain=DestDomain=[MappingFile[=Both]]

/findsid=[DomainName\]Account[=stop|continue]

/suppresssid=[DomainName\]Account

/confirm

/ifchangecontinue

/cleandeletedsidsfrom=DomainName[=dacl|sacl|owner|primarygroup|all]

/testmode

/accesscheck=[DomainName\]Username

/setprimarygroup=[DomainName\]Group

/grant=[DomainName\]Username[=Access]

/deny=[DomainName\]Username[=Access]

/sgrant=[DomainName\]Username[=Access]

/sdeny=[DomainName\]Username[=Access]

/sallowdeny==[DomainName\]Username[=Access]

/revoke=[DomainName\]Username

/perm

/audit

/compactsecuritydescriptor

/pathexclude=pattern

/objectexclude=pattern

/sddl=sddl_string

/objectcopysecurity=object_path

/pathcopysecurity=path_container

Usage : SubInAcl [/option...] /playfile file_name

Usage : SubInAcl /help [keyword]

SubInAcl /help /full

keyword can be :

features usage syntax sids view_mode test_mode object_type

domain_migration server_migration substitution_features editing_features

- or -

any [/option] [/action] [/object_type]

Вопрос из первого поста похоже из той же оперы.

У меня нет ни одного из имеющихся в "зоопарке" серверов 2008, исполняющих роль DC, в основном все терминалы, поэтому все советы будут толкь она основе личного мнения, у меня нет достаточно опыта администрирования подобных смешанных доменов.

Могу только сказать точно, в домене 2003 файла tempntuser.pol на клиентах нет, во всяком случае ничего страшного не произойдет если его удалить или переименовать.

2. Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers - для етой ветки полные прова должны быть только у учетки система?

Смотрим в начало поста, local system имеет доступ ко всем веткам изначально.

разрешения на этот файл у группы прошедшие проверку на "чтение и выполнение" и "чтение". почему он не может получить доступ к этому файлу?

Подобная ошибка может быть характерна и для неправильно составленных правил для реестра. В любом случае надо начинать с их проверки.

p.s. Иногда бывает, что несмотря на то, что все вроде правильно, у клиента продолжается чертовщина с применением политик. Помогает банальный вывод из домена и повторный ввод.

[Ejik]

Ejik: уже вернулся.

Отлично, а то прям тишина на форуме :)

По вопросу, не отрабатывает политика только на одной машине или на всех с ХР? gpresult что показывает?

Это происходит на одной машине и мне кажется что это происходит из-за прав на ветку HKLM\Software\Policies\Microsoft\Windows\Safer, пользователь оставил все права только для своей учетной записи.

Задачи из разряда вычерпывания моря ситечком... У вас что, пользователи локальные админы, раз спокойно меняют в hklm пермишены?

Нет, обычные юзеры, но сам проверял на виртуальной машине что у юзера есть права на изменение прав для этой ветки, по этому я решил через ГП оставить права только для system.

[Maikll]

Так, ситуация проясняется.

Сдается мне, пользователь попусту назначил себя владельцем это ветки, поэтому изменения и не вносятся.

Предлагаю проверить это вручную через regedit, задать себя (вернее Администраторов домена) владельцем этой ветки и поставить галочку в свойствах - разрешить наследование. После этого политика должна отрабатывать.

Только один момент. Сразу не сообразил, этот раздел же из политики ограниченного использования программ? Тогда логично, пользователям нужен доступ к ней, как минимум на чтение, а скорее всего и на изменение.

upd.

Проверил разрешения для этой ветки у себя.

Пользователи: запрос значения, перечисление, уведомление, чтение т.е. просто "Чтение". Кстати, я не увидел возможности обычному пользователю сменить их самостоятельно.

[Ejik]

Сразу не сообразил, этот раздел же из политики ограниченного использования программ?

Точно.

Тогда логично, пользователям нужен доступ к ней, как минимум на чтение, а скорее всего и на изменение.

если на изменение дать доступ они же смогут и поменять пермишены, а мне этого не нужно, может хватит прав для чтения?

Не совсем логично получается, они же таким оброзом могут огородится от этих политик?

[Maikll]

может хватит прав для чтения?

Должно хватить.

[Ejik]

Ну теперь вернулись к началу, я во втором посте писал что при назначении прав на эту ветку через ГП на ХР не работает, а на семерке все отлично.

С чем это связано?

[Maikll]

Гм... я вроде написал чуть выше. Пользователь удалил всех кроме себя из разрешений. Политики из конфигурации компьютера отрабатывают от имени system. Как она может применяться?

[Ejik]

Мы видимо не поняли друг друга, я тестирую на виртуальной машине, их у меня 2 (win7 и winXP) чистые машины, ни каких доп. настроек нет (в том числе и разрешения на реестр). Обе машины в одной OU, пользователь один с правами обычного юзера.

После применения ГП, на win7 юзер не может изменить в ветке HKLM\Software\Policies\Microsoft\Windows\Safer ничего, а на winXP у пользователя есть возможность вносить изменения в эту ветку.

[Maikll]

Да, похоже действительно не поняли :)

Увы, так, с ходу ничего посоветовать в этом случае не могу. Попробую вечером смоделировать это у себя на виртуалке, отпишусь.

[Maikll]

Вот первые результаты:

1. Создал тестовый контроллер домена, ввел машинку с ХР в него, создано тестовое подразделение и в нем пользователь и компьютер. К этому подразделению привязан объект ГП.

- На клиенте ГП не применяется.

2. Включено принудительное синхронное применение политики.

- На клиенте ГП не применяется.

3. ГП привязано на уровне самого домена, создана группа безопасности, туда переведен тестовый компьютер, в настройках ГП указан соответствующий фильтр безопасности.

- На клиенте ГП применяется.

Почему-то политика отрабатывает только в последнем случае, хотя по логике это одно и то же. Причину пока не знаю, как я уже сказал - на 2008 сервере я пока КД не создавал в реальных условиях.

Ejik: как настроена привязка политик у тебя?

[Ejik]

Ejik: как настроена привязка политик у тебя?

У меня настроено так же как у Вас описано в 1 случае. Попробую третий способ.

[Ejik]

Теперь нужно эту политику применить на весь домен, и что придется все машины добавлять в группу безопасности?

Завтра буду проверять.

[Maikll]

Т.е. я так понял все заработало как надо?

и что придется все машины добавлять в группу безопасности?

Да, а что в этом такого?

[Ejik]

Т.е. я так понял все заработало как надо?

Да.

Да, а что в этом такого?

В принципе ни чего, просто я особа с группами безопасности не играл.

Изменено 23 апреля, 2010 пользователем Ejik