BigAp.ru — интернет-магазин электроники и бытовой техники

Автор Тема: Групповая политика на Ограничению прав не применяется  (Прочитано 1864 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн ScreN

  • Пользователь
  • **
  • Сообщений: 90
  • Karma: +5/-0
  • Пол: Мужской
    • Share Post
Здравствуйте!

Опишу ситуацию с самого начала.

Когда я поднимал КД, я примерно накинул схему распределение прав пользователей. Ученики и Учителя будут входить в соответствующую группу безопасности на которую не распространяется политика с параметрами (Группы с ограниченным доступом).

Так же была создана группа безопасности "Администрация школы" куда входили пользователи с полными правами администраторов (Директор, завучи, секретари, бухгалтерия и.т.д) для них бала создана политика (Группы с ограниченным доступом -> Администрация школы -> входит в группу Администраторы). После этого, юзеры входящие в эту группу получили права Администраторов.

Буквально 4 дня назад (после того как все машины в школе схватили вирус и я ночевал в школе) я решил пересмотреть политику безопасности, и вывести Администрацию школы из группы Администраторов. И всем юзерам выдать права обычных пользователей и начать потихоньку разграничивать права доступа к обменнику и.т.д (начать настраивать политики безопасности).
И вот тут я отхлебнул. Убрал у всех пользователей группу Администрация школы, удалил политику GPO на них (gpupdate, ребут машины на всякий и.... пользователи остались в группе Администраторы) права не урезаны, пользователи по прежнему могут открывать сетевые интерфейсы, ломать часы (в общем у них остались полные права Админинов)

Я решил перепроверить работу политик. У меня как раз готовилась файловая помойка и я ее только только включил в домен. Права у этой машины были как у обычных пользователей (часы не сломать, IP не поменять. Ну обычные права после ввода в домен) Я решил потестить на этой машине эту самую политику GPO которая стояла на Администрацию школы. Файловая помойка получила права Администратора, потом я удалил политику GPO на нее и она стала обычным пользователем. Политика работает!!!!
Но почему она не срабатывает на других пользователей, у которых я хочу сдернуть права Администраторов?

Вот RSOP одной из машин которая не хочет терять права Администраторов
Спойлер
Создано на 23.12.2015 в 10:06:36


Данные RSOP для SCHOOL8\Байдакова Любовь на BAYDAKOVA : Режим ведения журнала
------------------------------------------------------------------------------

Конфигурация ОС:            Рядовая рабочая станция
Версия ОС:                  6.1.7600
Имя сайта:                  Default-First-Site-Name
Перемещаемый профиль:                     Н/Д
Локальный профиль:          C:\Users\Sekretar_1
Подключение по медленному каналу: Нет


Конфигурация компьютера
------------------------
    CN=BAYDAKOVA,OU=Байдакова,OU=School8,DC=school8,DC=local
    Последнее применение групповой политики:  23.12.2015 в 10:06:18
    Групповая политика была применена с:      DCServer.school8.local
    Порог медленного канала для групповой политики: 500 kbps
    Имя домена:                        SCHOOL8
    Тип домена:                        Windows 2000

    Примененные объекты групповой политики
    ---------------------------------------
        Н/Д

    Следующие политики GPO не были приняты, поскольку они отфильтрованы
    --------------------------------------------------------------------
        Local Group Policy
            Фильтрация:  Не применяется (пусто)

    Компьютер является членом следующих групп безопасности
    ------------------------------------------------------
        Администраторы
        Все
        Пользователи
        СЕТЬ
        Прошедшие проверку
        Данная организация
        BAYDAKOVA$
        Компьютеры домена
        Обязательный уровень системы

    Результирующий набор политик для компьютера
    --------------------------------------------

        Установка программ
        ------------------
            Н/Д

        Сценарии запуска
        ----------------
            Н/Д

        Сценарии завершения работы
        --------------------------
            Н/Д

        Политики учетных записей
        ------------------------
            Н/Д

        Политика аудита
        ---------------
            Н/Д

        Права пользователя
        ------------------
            Н/Д

        Параметры безопасности
        ----------------------
            Н/Д

            Н/Д

        Параметры журнала событий
        -------------------------
            Н/Д

        Группы с ограниченным доступом
        ------------------------------
            Н/Д

        Системные службы
        ----------------
            Н/Д

        Параметры реестра
        -----------------
            Н/Д

        Параметры файловой системы
        --------------------------
            Н/Д

        Политики открытого ключа
        ------------------------
            Н/Д

        Административные шаблоны
        ------------------------
            Н/Д


Конфигурация пользователя
--------------------------
    CN=Байдакова Любовь Владимировна,OU=Байдакова,OU=School8,DC=school8,DC=local
    Последнее применение групповой политики:  23.12.2015 в 10:06:18
    Групповая политика была применена с:      DCServer.school8.local
    Порог медленного канала для групповой политики: 500 kbps
    Имя домена:                        SCHOOL8
    Тип домена:                        Windows 2000

    Примененные объекты групповой политики
    ---------------------------------------
        Н/Д

    Следующие политики GPO не были приняты, поскольку они отфильтрованы
    --------------------------------------------------------------------
        Local Group Policy
            Фильтрация:  Не применяется (пусто)

    Пользователь является членом следующих групп безопасности
    ---------------------------------------------------------
        Пользователи домена
        Все
        Администраторы
        Пользователи
        ИНТЕРАКТИВНЫЕ
        КОНСОЛЬНЫЙ ВХОД
        Прошедшие проверку
        Данная организация
        ЛОКАЛЬНЫЕ
        Пользователи с ограниченными правами
        Высокий обязательный уровень

    Привилегии безопасности данного пользователя
    --------------------------------------------

        Обход перекрестной проверки
        Управление аудитом и журналом безопасности
        Архивация файлов и каталогов
        Восстановление файлов и каталогов
        Изменение системного времени
        Завершение работы системы
        Принудительное удаленное завершение работы
        Смена владельцев файлов и других объектов
        Отладка программ
        Изменение параметров среды изготовителя
        Профилирование производительности системы
        Профилирование одного процесса
        Увеличение приоритета выполнения
        Загрузка и выгрузка драйверов устройств
        Создание файла подкачки
        Настройка квот памяти для процесса
        Отключение компьютера от стыковочного узла
        Выполнение задач по обслуживанию томов
        Имитация клиента после проверки подлинности
        Создание глобальных объектов
        Изменение часового пояса
        Создание символических ссылок
        Увеличение рабочего набора процесса

    Результирующий набор политик для пользователя
    ----------------------------------------------

        Установка программ
        ------------------
            Н/Д

        Сценарии входа
        --------------
            Н/Д

        Сценарии выхода
        ---------------
            Н/Д

        Политики открытого ключа
        ------------------------
            Н/Д

        Административные шаблоны
        ------------------------
            Н/Д

        Перенаправление папок
        ---------------------
            Н/Д

        Пользовательский интерфейс браузера Internet Explorer
        -----------------------------------------------------
            Н/Д

        Подключения Internet Explorer
        -----------------------------
            Н/Д

        URL-адреса Internet Explorer
        ----------------------------
            Н/Д

        Безопасность Internet Explorer
        ------------------------------
            Н/Д

        Программы Internet Explorer
        ---------------------------

Это если делать gpresult локально, на самой машине. Но если я пытаюсь сделать gpresult через psexec на сервере для этой машины, то шелл выдает мне (Пользователь не имеет данных RSOP)

В то же время на сервере, результаты групповой политики для этого пользователя выдают параметры GPO для него. Такие же как и RSOP локально.

Это пол беды на самом деле.
У этого пользователя такие проблемы. А вот у второго!!!! У второго вообще все отваливается. Доступ к папкам не получить, на сетевой иконке перекрестие (нет сети) но сеть есть. Система становится просто мертвой, потому доступа никуда вообще нету, даже в проводник.

Что происходит?

UPD: RSOP почему то показывает тип домена Windows 2000. Хотя у меня КД на Win2008R2
« Последнее редактирование: Декабрь 23, 2015, 08:32:15 am от ScreN »

 

Оффлайн sysadmin

  • Administrator
  • сисадми́н
  • *****
  • Сообщений: 8016
  • Karma: +108/-0
  • Пол: Мужской
    • Share Post
    • сайт для сис. админов и не только...
Ошибка в том, что ты удалил политику и "обрезетил" настройки. Создай новую политику, с новыми разрешениями, которые перезапишут "старые"... Назначь ее на машины посредством OU или посредством групп...
дорогу осилит идущий...
......................
MCP, MCTS, RHCSA
......................
also aka xck...

Оффлайн ScreN

  • Пользователь
  • **
  • Сообщений: 90
  • Karma: +5/-0
  • Пол: Мужской
    • Share Post
Ошибка в том, что ты удалил политику и "обрезетил" настройки. Создай новую политику, с новыми разрешениями, которые перезапишут "старые"... Назначь ее на машины посредством OU или посредством групп...

Создавал я новую политику, в которой были параметры только на включения UAC и отключения встроенного файра. В ней параметры группа с ограниченными правами были пустые. Разве пользователи не должны были подхватить эту политику и стать обычными пользователями? Я даже уже пробовал создавать политику, в которой назначил группу Администрация школы, в группу Пользователи, чтобы они стали обратно обычными пользователями. Не помогает нифига вообще. Даже локально уже ресетил политику, она никак не хочет сбрасываться.

UPD: Но политика применяется!!! То есть, создаю я новую политику, пустую и включаю в ней UAC. Применяю ее к подразделению, перезагружаю клиентскую машину, UAC включен. Выключаю UAC, перезагружаю машину, UAC выключен. Политика то применяется. Почему пользователи из группы Администраторы не выпиливаются?

UPD2: Не, ну вот LOL просто. Прикладываю изображения. К обеим машинам применена одна и та же политика, но ведут они себя вот как.

В первом скрине сами политики

На втором скрине первая машина, все ок

На третьем скрине вторая машина, с ней не все ок (почему?)

Версия 3:
Возможно ли, что все эти глюки связаны с тем что у меня учетки пользователей созданы на русском языке? Имена русские
« Последнее редактирование: Декабрь 24, 2015, 11:16:31 am от ScreN »

Оффлайн sysadmin

  • Administrator
  • сисадми́н
  • *****
  • Сообщений: 8016
  • Karma: +108/-0
  • Пол: Мужской
    • Share Post
    • сайт для сис. админов и не только...
Ты проверь на клиентах, они вообще эту(и) политики "видят" или нет ))
gpupdate /force
И потом:
gpresult /R
Далее ищешь в списке применяемых и фильтруемых политик свои, если применяется, то лезь в Application логи, там как правило сказано об ошибках применения политик...

На счет кирилллических названий, если с юникодом все в порядке на машинах и серверах, то все должно быть норм (проверь везде должен быть выставлен регион Россия)

З.Ы. используемые группы безопасности я бы называл без пробелов и латиницей...
« Последнее редактирование: Декабрь 23, 2015, 11:54:03 am от sysadmin »

Оффлайн ScreN

  • Пользователь
  • **
  • Сообщений: 90
  • Karma: +5/-0
  • Пол: Мужской
    • Share Post
Ты проверь на клиентах, они вообще эту(и) политики "видят" или нет ))
gpupdate /force
И потом:
gpresult /R
Далее ищешь в списке применяемых и фильтруемых политик свои, если применяется, то лезь в Application логи, там как правило сказано об ошибках применения политик...

На счет кирилллических названий, если с юникодом все в порядке на машинах и серверах, то все должно быть норм (проверь везде должен быть выставлен регион Россия)

З.Ы. используемые группы безопасности я бы называл без пробелов и латиницей...

Я предполагаю что видят :)
Вместе с локальной почему то на этой машине. Это уже совсем другая машина  :megazloi:
« Последнее редактирование: Декабрь 24, 2015, 11:17:55 am от ScreN »

Оффлайн sysadmin

  • Administrator
  • сисадми́н
  • *****
  • Сообщений: 8016
  • Karma: +108/-0
  • Пол: Мужской
    • Share Post
    • сайт для сис. админов и не только...
А где твоя политика по локальным административным группам, ты ж говоришь что её пересоздал?

З.Ы. фото прикрепляй к посту

Оффлайн ScreN

  • Пользователь
  • **
  • Сообщений: 90
  • Karma: +5/-0
  • Пол: Мужской
    • Share Post
А где твоя политика по локальным административным группам, ты ж говоришь что её пересоздал?

З.Ы. фото прикрепляй к посту

Ты имеешь ввиду (зайти под админам на машину и завести пользователей в группу пользователи)? или что ты имеешь ввиду? я уже запутался в этих политиках в корень.

UPD: Догнал. Ты имеешь ввиду заново создать группу безопасности, ввести туда всех пользователей которые должны получать права администраторов и создать политику, а потом ввести эту группу в "Группы с ограниченным доступом" и дать их группу Администраторы?

Ну допустим я это сделаю. Что потом? Они будут администраторами. Потом мне их как вывести из администраторов?
« Последнее редактирование: Декабрь 23, 2015, 02:54:59 pm от ScreN »

Оффлайн DaRoni

  • Специалист ИТ
  • ****
  • Сообщений: 288
  • Karma: +22/-0
  • Пол: Мужской
    • Share Post
а учетные записи пользователей в правильных OU лежат ?
например Липашова почему она в OU --Administration?
разве её не нужно переместить в OU липашова

Оффлайн ScreN

  • Пользователь
  • **
  • Сообщений: 90
  • Karma: +5/-0
  • Пол: Мужской
    • Share Post
а учетные записи пользователей в правильных OU лежат ?
например Липашова почему она в OU --Administration?
разве её не нужно переместить в OU липашова

У меня подразделение разбиты по названиям отделов.

Структура такая:

school8--
-Administration (подразделение для администрации школы)
--Computers - Подразделение для компьютеров группы
--Users - Подразделение для пользователей группы

И так далее

-Teachers (подразделение для учителей)
--Computers - Для компьютеров
--Users - Для пользователей

И далее....

Политика применялась по разному. И на всю ветку домена и на отдельные OU. Толку ноль.

UPD: Возможно я уже совсем не знаю к чему придраться, но есть еще такой вариант.
Пользователи изначально входили в рабочую группу. Потом я поднял домен и чтобы перенести все данные пользователя в новую, доменную учетку, я заюзал софтину https://www.forensit.com/domain-migration.html. И вот почему то мне кажется что она ломает систему.

Я сегодня под конец рабочего дня, заметил что gpresult /r выдает мне данные не на доменную учетку, а на локальную.
Или я гоню, НО!

На строке:
Локальный профиль: Указан путь до локального профиля, а не до доменного. Хотя запускаю gpresult я из под доменной учетки.
« Последнее редактирование: Декабрь 23, 2015, 04:14:12 pm от ScreN »

Оффлайн DaRoni

  • Специалист ИТ
  • ****
  • Сообщений: 288
  • Karma: +22/-0
  • Пол: Мужской
    • Share Post
тогда получается пользователь липашова должна быть в Administration--Users
а не просто OU липашова

можно скриншот из пользователей и компьютеров  пользователь липашова свойства--член группы

Оффлайн ScreN

  • Пользователь
  • **
  • Сообщений: 90
  • Karma: +5/-0
  • Пол: Мужской
    • Share Post
тогда получается пользователь липашова должна быть в Administration--Users
а не просто OU липашова

можно скриншот из пользователей и компьютеров  пользователь липашова свойства--член группы

На счет того, почему Липашова сейчас в OU липашова, это потому что я уже не знал что делать и создал для нее отдельно OU и перенес туда машину и учетку.

Скриншот можно, но только завтра. Я уже дома как 2 часа, рабочий день закончен. И я так и не настроил Тимку на работе с этими политиками!

Есть с тобой быстрая связь какая нибудь? Скайп, Аська?

Оффлайн sysadmin

  • Administrator
  • сисадми́н
  • *****
  • Сообщений: 8016
  • Karma: +108/-0
  • Пол: Мужской
    • Share Post
    • сайт для сис. админов и не только...
Рассказываю "на пальцах":
  • Создешь новую политику
  • Настраиваешь только домен админов в группу локальных администраторов
  • Назнчаешь политику на OU или группу
  • Все

После применения политики все "старые" пользователи будут выкинуты из указанных в политике локальных групп, и добавлены в них же только администраторы домена

Далее если нужны дополнительные администраторы:
  • Создаешь новую группу
  • Добавляешь пользователей в группу
  • Добавляешь группу в эту политику
  • Обновляешь политику на компах
  • Все

Далее если кто то не нужен или не нужжна группа в локальных администраторах:
  • Политику оставляешь на месте
  • Удаляешь группу из настроек
  • Применяешь политику
  • Все

Все компы скинь в кучу (все где нужен кастомный админ), назначь одну политику на всех, так как в конечном итоге они все будут администраторами, то разницы нет раскидывать их как то или держать в куче... Это первое
Второе политики назначай на не OU (хотя это нормально) а через группы... Создаешь группу, добавляешь в нее компы где нужен кастомный админ, назначаешь применение политики через группу, все...

На локальную может выдавать, если ты командую строку без административных прав открываешь (run as administrator)

З.Ы. там делов примерно на 5-15 минут )
« Последнее редактирование: Декабрь 23, 2015, 04:32:29 pm от sysadmin »

Оффлайн ScreN

  • Пользователь
  • **
  • Сообщений: 90
  • Karma: +5/-0
  • Пол: Мужской
    • Share Post
Рассказываю "на пальцах":
  • Создешь новую политику
  • Настраиваешь только домен админов в группу локальных администраторов
  • Назнчаешь политику на OU или группу
  • Все

Вот этого я не пробовал. То есть ты имеешь ввиду, если я совсем не нубло
Создаю новую политику
В группу с ограниченными правами назначаю - Администраторы домена входят в -> Администраторы
Далее привязываю политику допустим вверху всей доменной ветки рядом с Default Domain Policy
И делаю gpupdate на машине клиента.

Я правильно понял, или я таки полный слоу....?

На локальную может выдавать, если ты командую строку без административных прав открываешь (run as administrator)
Так я это, и с правами админа пробовал. Все равно локальную выдает.
« Последнее редактирование: Декабрь 23, 2015, 04:40:40 pm от ScreN »

Оффлайн sysadmin

  • Administrator
  • сисадми́н
  • *****
  • Сообщений: 8016
  • Karma: +108/-0
  • Пол: Мужской
    • Share Post
    • сайт для сис. админов и не только...
Да, все верно... Она применится на весь "парк"... Далее, для кастомных админов создаешь группу, например LocalAdministrators, добавляешь в нее нужные учетные записи, добавляешь в этоу же политику... Проверяешь, радуешься )

Имей в виду, что если ниже по уровню есть аналогичные политики (с аналогичными настройками), то их отключи...

Оффлайн ScreN

  • Пользователь
  • **
  • Сообщений: 90
  • Karma: +5/-0
  • Пол: Мужской
    • Share Post
Да, все верно... Она применится на весь "парк"... Далее, для кастомных админов создаешь группу, например LocalAdministrators, добавляешь в нее нужные учетные записи, добавляешь в этоу же политику... Проверяешь, радуешься )
Ну значит я все правильно понял. Ну я завтра попробую, но почему то мне кажется и это не сработает. У меня аномальная зона возле КД видимо :)

Имей в виду, что если ниже по уровню есть аналогичные политики (с аналогичными настройками), то их отключи...
Я завтра вообще все политик отключу, и назначу только одну, которую мы придумали :)
Ну если сработает, мне эту политику получается оставить активной? Ее теперь получается вообще удалять нельзя? Или ее таки можно будет удалить, после того как все юзеры вылетят из группы локальный Администраторов.
« Последнее редактирование: Декабрь 23, 2015, 04:46:43 pm от ScreN »


xx
Групповая замена файла SyLink.xml

Автор sysadmin

0 Ответов
3521 Просмотров
Последний ответ Декабрь 07, 2009, 01:51:03 pm
от sysadmin
xx
[Решено] Локальная политика безопасности

Автор D.Samilkin

6 Ответов
1354 Просмотров
Последний ответ Май 24, 2013, 10:08:33 am
от D.Samilkin
xx
Установка Tumar scp без админ прав

Автор Elnura

5 Ответов
484 Просмотров
Последний ответ Март 01, 2016, 09:41:44 am
от Elnura
xx
[Решено] Обновление Rail-Тариф без прав администратора.

Автор sysadmin

0 Ответов
1769 Просмотров
Последний ответ Январь 17, 2014, 02:57:03 pm
от sysadmin