TCPIP
Silver Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
alexbess
16:15 12-04-2007
Цитата:| Подскажите, реально ли разрешить только одному пользователю домена входить на машину, а всем остальным запретить? |
gpedit.msc|Конфигурация компьютера|Параметры безопасности|Локальные политики|Назначение прав пользователя|Локальный вход в систему
Двойным щелчком открываете свойства политики безопасности и добавляете в список учетную запись или группу, которой будет разрешено входить в систему напрямую с консоли.
Если хочется просто сделать так, чтобы вот такая то группа могла аутентифцироваться только с такого-то комьютера и ни с какого более, нужно включить loopback processing. Подробнее.
Таким образом, создаете Подразделение. Добавляете туда машины. Создаете групповую политику и линкуете ее на это подразделение.
Чтобы избежать применения политики для своего администраторского акаунта и оставить себе возможность входить на любую машину, в настройках фильтрации политик в gpmc.msc выставьте Deny для своей учетной записи, и read & agp для остальных (тех групп, к которым вы хотите применить эту политику и огранчить из в использовании лишь одного набора компьютеров).
ALEF
18:46 13-04-2007
Цитата:| После "завершение сеанса" поля для логина и пароля стали неактивны, что это означает? |
Если правильно помню, это означает, что ветка HKCU еще удерживается в памяти. Перезагрузите машину.
Попробуйте поставить службу User Profile Hive CleanUp.
Если вы можете зайти на компьютер удаленно, проверьте, нет ли у вас VNC-службы на проблемном компьютере.
PerpleXOR
13:13 14-04-2007
Цитата:| спасибо, а как выяснить, где происходит перекрытие политики ? Хотя бы где смотреть. Мы политику создаем не на уровне домена, а как раз для определенного OU |
Посмотрите в свойствах политики. Политики выполняются в следующем порядке:
1. Локальная
2. Политика сайта
3. Политика домена
4. Политика подразделения
Вложенность: 4>3>2>1 так что политика подразделения перекрывает все остальные политики политики.
Чтобы посмотреть, какая политика была применена:
1. Пуск|Выполнить|rsop.msc, чтобы запустить оснастку результирующей политики
2. В открывшейся оснастке щелкните правой кнопкой мыши на элементе конфигурации (Конфигурация компьютера или Конфигурация пользователя, в зависимости о того, какую часть политики вы хотите посмотреть)
3. Выберите команду Свойства и поставьте флажки Отображать все GPO и состояние фильтрации и Отображать область управления на вкладке Общие.
4. В столбце Фильтрация будет указано, была ли применена политика, а в столбце Область управления будет указан тип групповой политики
После этого, поставьте enforce (windows server 2003) / no override (windows 2000 server) для политики, чтобы ее пренельзя было переопределить дочерней политикой.
Если все-таки непонятно, что происходит с групповыми политиками, попробуйте включить отладку пользовательского окружения (user environment logging). О том, что озанчают те или иные сообщения в журнале, читайте в соответствующей статье.
Если все поломалось, попробуйте сбросить политики на настройки, которые были созданы после выполнения adprep и forestprep с помощью утилиты dcgpofix.
Вот, кстати, отличный набор утилит для работы с GPO.
|
Всего записей: 4667 | Зарегистр. 31-01-2003 | Отправлено: 04:09 15-04-2007 | Исправлено: TCPIP, 05:03 15-04-2007 |
|
, за этим 
TCPIP