Użytkownik "slev" <vels@poczta.onet.pl> napisał w wiadomości
news:f3suof$4bk$1@news.onet.pl...
> 1. Sorki, że może źle wyraziłem słowa, ale myk polega na tym, że obsługuję
> Active Directory tylko po angielsku i nie wiedziałem jak to mam ładnie
> napisać.
Spoko, nie ma problemu - odpowiadalem Skrzypkowi, nie tobie.
> 2. Przypisanie Group Policy do Containter nie jest wystarczające bo do
> tego dochodzi jeszcze, jakie do jakich Groups GPO ma zastosowanie.
> Podstawowa zasada jest dla Authenticated Users, ale można to różnież
> przypisać do poszczególnych grup i wtedy nawet jak obiekt znajduje się w
> Container to GP może nie mieć zastosowania.
To o czym mowisz, to tzw. Security Filtering (tj. mozliwosc sterowania czy
dana GPO
zostanie zaaplikowana w zaleznosci od przynaleznosci do grupy zabezpieczen).
Faktycznie,
domyslnie jest Authenticated Users czyli uazdy uwierzytelniony komputer i
użytkownik.
Cala teoria z aplikacja GPO w domenie jest stosunkowo prosta - polityke
mozesz przybic
(zalinkowac) do obiektu Site/Domeny/OU. Kolejnosc stosowania jest wlasnie
taka jak pisze,
najpierw GPO per Site, pozniej Domeny i w koncu OU. Jesli obiekt usera lub
komputera jest
w bardziej zagniezdzonym OU to domyslnie najpierw aplikowane sa polisy OU
nadrzednego,
pozniej podrzednego, pozniej jeszcze bardziej podrzednego itd.
W wypadku konfliktow (rozne wartosci tych samych ustawien), wygrywa GPO
ktore aplikuje
sie ostatnie (czyli jesli przybijesz dwie rozne polityki np. wygladu pulpitu
do Domeny i OU,
to zaaplikowana bedzie ta przybita do OU). Domyslnie wszystkie polityki sa
dziedziczone
w dol, tj. jesli ustawisz GPO dla domeny, to odziedzicza ja wszystkie
obiekty w kontenerach
podrzednych (mozesz na to wplywac poprzez ustawienie No override/Enforce
ktore wymusza
aplikacje polityk bez nadpisywania przez ew. GPO znajdujace sie blizej
obiektu i Block Inheritance
ktore blokuje dziedziczenie w dol. Enforce jest "wazniejsze").
(Celowo pomijam lokalny GPO ktory istnieje na kazdym komputerze, bo zakladam
ze nic lokalnie
nie zmieniales).
Jesli masz problem, sprobuj przeniesc obiekt komputera/usera do osobnego OU
i tam zalinkowac
polise - zobaczysz czy dziala czy nie. Popatrz w logi po stronie klienta,
uzyj RSoP (dobry opis:
http://support.microsoft.com/kb/323276) i wtedy powinienes miec cos jasniej.
Jakkolwiek podejrzewam
ze problemy nie sa spowodowane bledami w AD, to moze bedzie ci potrzeba tez
uzyc czegos
bardziej niskopoziomowego -
http://technet2.microsoft.com/WindowsServer/en/library/0907105e-7856-4c93-b97f-a9a306623af51033.mspx?mfr=true .
> Jeżeli jestem w błędzie to możesz opisać na czym błąd polega a nie
> komentarz w stylu "...co ma współnego przynależność do grup zabezpieczeń z
> aplikacjami GPO..." bo to nikomu problemu nie tłumaczy.
Jakbym wiedzial na czym polega blad, to bym sie reklamowal jak David Harklay
w TVN :-)
k
Received on Sun Jun 3 13:05:06 2007
To archiwum zostało wygenerowane przez hypermail 2.1.8 : Sun 03 Jun 2007 - 13:42:00 MET DST