winnt: Re: Jak zmusić system by korzystał z zasad zapisanych w GroupPolicy

Autor: Tomasz Onyszko <T.Onyszko_nospam__at_w2k.pl>
Data: Tue 17 May 2005 - 11:38:22 MET DST
Message-ID: <d6ce2h$n4b$1@inews.gazeta.pl>
Content-Type: text/plain; charset=ISO-8859-2; format=flowed

jerzyk wrote:

hmm ... prawde mowiac troche to niejasno opisales ale ...

> Witam,
> Testowałem jak bedzie działała zasada odmów dostepu do dysków z okan mój
> komputer i teraz
> dwaj administartorzy którzy mieli zabroniony odczyt z GroupPolicy w
> czasie konfigurowania zasad grup maja pełen dostęp a ten na którym

co rozumiesz przez zabroniony odczyt z GroupPolicy - znaczy sie ze
ustawiles im Deny Read na obiekcie GPO - jezeli tak to nic dziwnego ze
GPO sie do nich nie aplikuje. A jezeli nie o to chodzi to mozesz napisac
troche jasniej.

Co do wynikowych GPO to zawsze przydatne zostaje przesledzenie gpresult
dla konkretnego usera i wtedy widac co i jak sie zaaplikowalo.

> testowałem ma ograniczony dostep do systemu.Co ciekawsze ma zabroniony
> odczyt z GroupPolicy a mimio to moge z wiersza polecen uruchomic
> gpedit.msc. Te same zasady ma nowo stworzony uzytkownik pomimo ze
Co to znaczy masz zabroniony odczyta z GroupPolicy ? Mozesz troche
jasniej - o ktora konkrtnie opcje ci chodzi. Gpedit.msc odpalony w
systemie podpina ci sie do Local security policy wiec nie wiem teraz
jakiego efektu sie spodzeiwales?

> ustawione ma odmów odczytu do GroupPolicy - czyli powinien miec pełny
> dostęp do systemu. Ale teraz jako nowy uzytkowanik ( administrator) -
> moge uruchomic gpedit.msc pomimo odmowy odczytu z GroupPolicy i zmienic
> zasady dla wszystkich userów oprócz tych dwóch adminów kyórzy mieli
> podczas testów zabroniony odczyt do GroupPolicy. Zauważyłem że po
> zmianie zasad grup i gpudpate (Wyszukuje najnowsze pliki w systemie)
> tworzone są pliki w C:\WINDOWS\system32\wbem\Repository\FS. Pytanie jak
> zmusić system by korzystał ponownie z zasad zapisanych w GroupPolicy dla
> wszystkich userów, olewał C:\WINDOWS\system32\wbem\Repository\FS i nowe
> zasady zapisywał w GroupPolicy bez wzgledu na admina który ustala zasady?

gpupdate nie wyszukuje nowych plikow w systemie a wymusza odswiezenie
zasad. mam tylko jedno pytanie - jakie GPO ty edytujesz - na poziomie
domeny czy na poziomie lokalnego systemu. I co chcesz na koncu uzyskac?

A co do wymuszenia odswiezenia wszytkich zasad to gpudpate /force -
taki przydatny czasami przelacznik.

-- 
Tomasz Onyszko [MVP]
T.Onyszko@w2k.pl
http://www.w2k.pl

Received on Tue May 17 11:40:18 2005

To archiwum zostało wygenerowane przez hypermail 2.1.8 : Tue 17 May 2005 - 11:42:05 MET DST