MitsakosGR Δημοσ. 30 Ιανουαρίου 2012 Δημοσ. 30 Ιανουαρίου 2012 Καλησπέρα σε όλους, έχω ένα Windows Server 2008 R2 με ActiveDomain εγκατεστημένο και προσπαθώ να φτιάξω τα δικαιώματα των χρηστών. Έχω φτιάξει τα Group Policy Objects και τα έχω κάνει link στα OU που με ενδιαφέρουν, αλλά το πρόβλημα είναι ότι όλα τα GPO εφαρμόζονται μόνο σε όσους είναι στην ομάδα domain\Administrators. Όλοι οι άλλοι χρήστες δεν παίρνουν κανένα από τα δικαιώματα... Πώς γίνεται το βάλω να παίρνουν δικαιώματα από τα GPO στα οποία είναι συνδεδεμένοι χωρίς να τους κάνω admin;;;
Bspus Δημοσ. 30 Ιανουαρίου 2012 Δημοσ. 30 Ιανουαρίου 2012 Η εφαρμογη των GPO δεν γινεται με βαση τα security groups (η ατυχης ονομασια οδηγει συχνα σε παρανοηση), αλλα με βαση τα OUs Αν φτιαξεις ενα χρηστη (οχι απαραιτητα admin) και τον βαλεις σε ενα OU και πανω σε αυτο το OU κανεις link ενα GPO θα πρεπει να εφαρμοστει πανω του. Αν δεν συμβαινει ετσι κατι παει στραβα. Δωσε ενα πραδειγμα του τι πας να κανεις μεσα σε αυτο το GPO και δεν πετυχαινει
MitsakosGR Δημοσ. 30 Ιανουαρίου 2012 Μέλος Δημοσ. 30 Ιανουαρίου 2012 Το κάνω link στο OU, απλά στο Security Filtering βάζω μόνο τα group που με ενδιαφέρουν. Απλά μου κάνει πολύ εντύπωση γιατί μέσα στο ίδιο OU ο ένας χρήστης είναι Administrator και το GPO εφαρμόζεται ενώ στους υπόλοιπους όχι. Δοκίμασα έναν από τους υπόλοιπους χρήστες να τους βάλω στο Domain Admin group και αμέσως τα GPO εφαρμόστηκαν κανονικά. Στην ουσία κάτι έχουν όσοι είναι Domain Admins που δεν το έχουν οι υπόλοιποι χρήστες και για αυτό εφαρμόζεται, αλλά δεν μπορώ να καταλάβω τι είναι... Κάθε βοήθεια, πείραμα ή οτιδήποτε είναι ευπρόσδεκτο καθώς το σύστημα είναι εντελώς δοκιμαστικό...
Επισκέπτης Δημοσ. 31 Ιανουαρίου 2012 Δημοσ. 31 Ιανουαρίου 2012 Γιατί οι Admins στην πίσω πλευρά έχουν read και Apply right. Προφανώς κάτι δεν κάνεις σωστά. Φτιάχνεις ένα Group και μέσα σε αυτό βάζεις τους Users του OU που θέλεις να έχουν apply. Το σημαντικό είναι οι Users να είναι όντως μέσα στο OU και να τρέχεις όντως Settings που αφορούν Users. Δοκίμασε κάτι. Βάλε το GPO στο Domain όχι στο OU να δούμε αν παίζει.
MitsakosGR Δημοσ. 31 Ιανουαρίου 2012 Μέλος Δημοσ. 31 Ιανουαρίου 2012 Δοκίμασε κάτι. Βάλε το GPO στο Domain όχι στο OU να δούμε αν παίζει. Έβαλα πάλι το Default Domain Policy στο domain αλλά εφαρμόζεται μόνο στους Admins. Δοκίμασα να τρέξω το gpresult αλλά μου βγάζει μήνυμα "INFO: The policy object does not exist" ενώ το RSOP βγάζει RSoP data is invalid. Likely causes are, data iscorrupt, data has been deleted or data has never been created. Details: Invalid namespace Όταν είχα εγκαταστήσει τον server είμαι σχεδόν σίγουρος ότι όλα αυτά δούλευαν γιατί είχα βγάλει από το default policy το password complexity και είχε περάσει σε όλους τους υπολογιστές.
Επισκέπτης Δημοσ. 31 Ιανουαρίου 2012 Δημοσ. 31 Ιανουαρίου 2012 Νομίζω πως κάπου εδώ τα έκανες ..... σαλάτα. Βάλε πάλι το Default Domain Policy με security filtering σε Authenticated users. Ελπίζω να μην άλλαξες κάτι στο Delegation ή στο Security tab. Και φτιάξε ένα νέο με ότι security filtering θέλεις πάνω στο Domain όχι στο OU.
MitsakosGR Δημοσ. 31 Ιανουαρίου 2012 Μέλος Δημοσ. 31 Ιανουαρίου 2012 Νομίζω πως κάπου εδώ τα έκανες ..... σαλάτα. Βάλε πάλι το Default Domain Policy με security filtering σε Authenticated users. Ελπίζω να μην άλλαξες κάτι στο Delegation ή στο Security tab. Και φτιάξε ένα νέο με ότι security filtering θέλεις πάνω στο Domain όχι στο OU. Σαλάτα τα έχω κάνει σίγουρα και σκέφτομαι πολύ σοβαρά να τα κάνω από την αρχή όλα, αλλά έλεγα μήπως μπορώ να βρω μία λύση... Έκανα αυτό που μου είπες αλλά οτιδήποτε policy εφαρμόζεται μόνο στους admins. Να σημειώσω ότι τις δοκιμές για τα policies τις κάνω σε client (στο ίδιο μηχάνημα πάντα) και όχι πάνω στον server και τα μηνύματα από το προηγούμενο post ήταν από τον client. Επανέφερα το Default Domain Policy στο Domain. Οι ρυθμίσεις του είναι οι εξής: Scope Location - MyDomain Enforced - No Link Enabled - Yes Path - MyDomain Security Filtering Authenticated Users WMI Filtering - <none> Delegation Authenticated Users - Read(from Security Filtering) Domain Admins - Custom Enterprize Admins - Custom Enterprize Domain Controllers - Read System - edit settings, delete, modify security Αυτό που μου κάνει εντύπωση και ψάχνω να βρω είναι τι το διαφορετικό έχουν στα Policies οι admin που δεν το έχουν οι υπόλοιποι χρήστες και τα GPO εφαρμόζονται στους clients ενώ στους υπόλοιπους χρήστες όχι...
Επισκέπτης Δημοσ. 31 Ιανουαρίου 2012 Δημοσ. 31 Ιανουαρίου 2012 Τίποτα κάτι άλλαξες και έχει χαθεί η μπάλα, ξαναξεκίνα να τα πάρουμε απο την αρχή.
MitsakosGR Δημοσ. 31 Ιανουαρίου 2012 Μέλος Δημοσ. 31 Ιανουαρίου 2012 Ωραία (λέμε τώρα), υπάρχει δυνατότητα να βγάλω μόνο το Active Domain - DNS και να τα ξαναεγκαταστήσω (ώστε να μην χάσω τον fileserver που λειτουργεί) ή θα πρέπει να κάνω format και clean install;
Επισκέπτης Δημοσ. 31 Ιανουαρίου 2012 Δημοσ. 31 Ιανουαρίου 2012 Μπορείς πρώτα με Dcpromo και μετά αν θέλεις προσθαφαίρεση ρόλου. Να πάμε καθαρά. Αν και αν έχεις κάποιο Virtual Machine θα ήταν τέλεια για εκπαίδευση.
tech25 Δημοσ. 1 Φεβρουαρίου 2012 Δημοσ. 1 Φεβρουαρίου 2012 Απο ενα χρηστη στον οποιο δεν εφαρμοζονται οι πολιτικες τρεξε απο cli την εντολη gpresult και ποσταρε τα αποτελεσματα. Ρε παιδια δεν καταλαβαινω την "εμμονη" στην εφαρμογη των policies στα JO's. Προσωπικα βρισκω πολυ πιο ευελικτη την λυση ενος σχετικα flat AD με τα policies να εφαρμοζονται σε top ή σχεδον top level με filtering απο εκει και περα.
Επισκέπτης Δημοσ. 1 Φεβρουαρίου 2012 Δημοσ. 1 Φεβρουαρίου 2012 Είναι απλό. Για την διαχειριστική πλευρά είναι πολύ πιο εύκολο να τρέχεις κάτι σε OU,Site,από το να κυνηγάς το security filtering. Επίσης δεν μπορείς να έχεις Delegation σε Top level επείδή βαριέσαι να κάνεις OU.
tech25 Δημοσ. 1 Φεβρουαρίου 2012 Δημοσ. 1 Φεβρουαρίου 2012 Θα διαφωνησω. Τα θεμα με τα OU's δεν ειναι θεμα βαρεμαρας ή οχι. Ειναι θεμα χρηστικοτητας. Θα σου φερω ενα πολυ απλο παράδειγμα. Εστω οτι o χρηστης μου ειναι o οικονομικος διευθυντης. Ειναι μερος των SG Management και Accounting (εκτος απο τα default). Τι δομη ΟU θα κανεις; Θα έχεις ξεχωριστο για καθε κομμάτι της επιχείρησης (αρα στην περιπτωση μας 2 ΟU's με ονομα Management και Accounting) ή ενα μόνο με ονομα CompanyUsers πχ; Αν κανεις δομη με πολλάπλα OU's, τον οικονομικο σου διευθυντη σε ποιο ΟU θα τον βαλεις; Πως θα μπορει να παρει τα διαφορετικα policies για καθε group που ανηκει εφόσον είναι μέλος μονο ενος ΟU (επανω στα οποια εφαρμοζεις τα policies); Προφανως γιατι θα έχεις πρόβλημα θα ριξεις το policy ενα level πιο πανω. Και πως θα το παρει ο οικονομικος διευθυντης σου; Σωστα.. με security filtering.. Γιατι λοιπον να μην μην εχω μια μονο OU με ονομα CompanyUsers (το σχεδον top level που αναφερω πιο πανω) και τους χρηστες μελη σε custom SG's και να λυσω τι προβλημα μια και καλή;
Επισκέπτης Δημοσ. 1 Φεβρουαρίου 2012 Δημοσ. 1 Φεβρουαρίου 2012 Απλά θα κάνεις Link το GPO με τα Settings που θέλεις και θα έχεις εκεί Security Filtering. Η δομή των OU δεν είναι μόνο για το GPO αυτό θέλω να πω. Κυριώς γίνεται για να μην χάνεσαι και να δίνεις Delegation. Η άλλη λύση είναι είτε enforced, είτε να μην είναι μέσα στο GPO ο οικονομικός διευθυντής με Security filtering. Anyway you get my point. Το καλό είναι πως και οι δύο τρόποι είναι θεμιτοί και έχεις τη δυνατότητα εφαρμογής όποιας μεθόδου γουστάρεις,θέλεις,πρέπει να κάνεις. Διάλεξε το όπλο σου.
MitsakosGR Δημοσ. 1 Φεβρουαρίου 2012 Μέλος Δημοσ. 1 Φεβρουαρίου 2012 Έκανα dcpromo και αφαίρεση ρόλου και μετά ξανά προσθήκη και δούλεψε μια χαρά. Ευχαριστώ για την βοήθεια. Ελπίζω να μην τα ξανακάνω όλα χάλια...
Προτεινόμενες αναρτήσεις
Δημιουργήστε ένα λογαριασμό ή συνδεθείτε για να σχολιάσετε
Πρέπει να είστε μέλος για να αφήσετε σχόλιο
Δημιουργία λογαριασμού
Εγγραφείτε με νέο λογαριασμό στην κοινότητα μας. Είναι πανεύκολο!
Δημιουργία νέου λογαριασμούΣύνδεση
Έχετε ήδη λογαριασμό; Συνδεθείτε εδώ.
Συνδεθείτε τώρα