Автор Тема: Групповая политика на Ограничению прав не применяется  (Прочитано 5614 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн ScreN

  • Пользователь
  • **
  • Сообщений: 90
  • Karma: +5/-0
  • Пол: Мужской
    • Share Post
Здравствуйте!

Опишу ситуацию с самого начала.

Когда я поднимал КД, я примерно накинул схему распределение прав пользователей. Ученики и Учителя будут входить в соответствующую группу безопасности на которую не распространяется политика с параметрами (Группы с ограниченным доступом).

Так же была создана группа безопасности "Администрация школы" куда входили пользователи с полными правами администраторов (Директор, завучи, секретари, бухгалтерия и.т.д) для них бала создана политика (Группы с ограниченным доступом -> Администрация школы -> входит в группу Администраторы). После этого, юзеры входящие в эту группу получили права Администраторов.

Буквально 4 дня назад (после того как все машины в школе схватили вирус и я ночевал в школе) я решил пересмотреть политику безопасности, и вывести Администрацию школы из группы Администраторов. И всем юзерам выдать права обычных пользователей и начать потихоньку разграничивать права доступа к обменнику и.т.д (начать настраивать политики безопасности).
И вот тут я отхлебнул. Убрал у всех пользователей группу Администрация школы, удалил политику GPO на них (gpupdate, ребут машины на всякий и.... пользователи остались в группе Администраторы) права не урезаны, пользователи по прежнему могут открывать сетевые интерфейсы, ломать часы (в общем у них остались полные права Админинов)

Я решил перепроверить работу политик. У меня как раз готовилась файловая помойка и я ее только только включил в домен. Права у этой машины были как у обычных пользователей (часы не сломать, IP не поменять. Ну обычные права после ввода в домен) Я решил потестить на этой машине эту самую политику GPO которая стояла на Администрацию школы. Файловая помойка получила права Администратора, потом я удалил политику GPO на нее и она стала обычным пользователем. Политика работает!!!!
Но почему она не срабатывает на других пользователей, у которых я хочу сдернуть права Администраторов?

Вот RSOP одной из машин которая не хочет терять права Администраторов
Спойлер
Создано на 23.12.2015 в 10:06:36


Данные RSOP для SCHOOL8\Байдакова Любовь на BAYDAKOVA : Режим ведения журнала
------------------------------------------------------------------------------

Конфигурация ОС:            Рядовая рабочая станция
Версия ОС:                  6.1.7600
Имя сайта:                  Default-First-Site-Name
Перемещаемый профиль:                     Н/Д
Локальный профиль:          C:\Users\Sekretar_1
Подключение по медленному каналу: Нет


Конфигурация компьютера
------------------------
    CN=BAYDAKOVA,OU=Байдакова,OU=School8,DC=school8,DC=local
    Последнее применение групповой политики:  23.12.2015 в 10:06:18
    Групповая политика была применена с:      DCServer.school8.local
    Порог медленного канала для групповой политики: 500 kbps
    Имя домена:                        SCHOOL8
    Тип домена:                        Windows 2000

    Примененные объекты групповой политики
    ---------------------------------------
        Н/Д

    Следующие политики GPO не были приняты, поскольку они отфильтрованы
    --------------------------------------------------------------------
        Local Group Policy
            Фильтрация:  Не применяется (пусто)

    Компьютер является членом следующих групп безопасности
    ------------------------------------------------------
        Администраторы
        Все
        Пользователи
        СЕТЬ
        Прошедшие проверку
        Данная организация
        BAYDAKOVA$
        Компьютеры домена
        Обязательный уровень системы

    Результирующий набор политик для компьютера
    --------------------------------------------

        Установка программ
        ------------------
            Н/Д

        Сценарии запуска
        ----------------
            Н/Д

        Сценарии завершения работы
        --------------------------
            Н/Д

        Политики учетных записей
        ------------------------
            Н/Д

        Политика аудита
        ---------------
            Н/Д

        Права пользователя
        ------------------
            Н/Д

        Параметры безопасности
        ----------------------
            Н/Д

            Н/Д

        Параметры журнала событий
        -------------------------
            Н/Д

        Группы с ограниченным доступом
        ------------------------------
            Н/Д

        Системные службы
        ----------------
            Н/Д

        Параметры реестра
        -----------------
            Н/Д

        Параметры файловой системы
        --------------------------
            Н/Д

        Политики открытого ключа
        ------------------------
            Н/Д

        Административные шаблоны
        ------------------------
            Н/Д


Конфигурация пользователя
--------------------------
    CN=Байдакова Любовь Владимировна,OU=Байдакова,OU=School8,DC=school8,DC=local
    Последнее применение групповой политики:  23.12.2015 в 10:06:18
    Групповая политика была применена с:      DCServer.school8.local
    Порог медленного канала для групповой политики: 500 kbps
    Имя домена:                        SCHOOL8
    Тип домена:                        Windows 2000

    Примененные объекты групповой политики
    ---------------------------------------
        Н/Д

    Следующие политики GPO не были приняты, поскольку они отфильтрованы
    --------------------------------------------------------------------
        Local Group Policy
            Фильтрация:  Не применяется (пусто)

    Пользователь является членом следующих групп безопасности
    ---------------------------------------------------------
        Пользователи домена
        Все
        Администраторы
        Пользователи
        ИНТЕРАКТИВНЫЕ
        КОНСОЛЬНЫЙ ВХОД
        Прошедшие проверку
        Данная организация
        ЛОКАЛЬНЫЕ
        Пользователи с ограниченными правами
        Высокий обязательный уровень

    Привилегии безопасности данного пользователя
    --------------------------------------------

        Обход перекрестной проверки
        Управление аудитом и журналом безопасности
        Архивация файлов и каталогов
        Восстановление файлов и каталогов
        Изменение системного времени
        Завершение работы системы
        Принудительное удаленное завершение работы
        Смена владельцев файлов и других объектов
        Отладка программ
        Изменение параметров среды изготовителя
        Профилирование производительности системы
        Профилирование одного процесса
        Увеличение приоритета выполнения
        Загрузка и выгрузка драйверов устройств
        Создание файла подкачки
        Настройка квот памяти для процесса
        Отключение компьютера от стыковочного узла
        Выполнение задач по обслуживанию томов
        Имитация клиента после проверки подлинности
        Создание глобальных объектов
        Изменение часового пояса
        Создание символических ссылок
        Увеличение рабочего набора процесса

    Результирующий набор политик для пользователя
    ----------------------------------------------

        Установка программ
        ------------------
            Н/Д

        Сценарии входа
        --------------
            Н/Д

        Сценарии выхода
        ---------------
            Н/Д

        Политики открытого ключа
        ------------------------
            Н/Д

        Административные шаблоны
        ------------------------
            Н/Д

        Перенаправление папок
        ---------------------
            Н/Д

        Пользовательский интерфейс браузера Internet Explorer
        -----------------------------------------------------
            Н/Д

        Подключения Internet Explorer
        -----------------------------
            Н/Д

        URL-адреса Internet Explorer
        ----------------------------
            Н/Д

        Безопасность Internet Explorer
        ------------------------------
            Н/Д

        Программы Internet Explorer
        ---------------------------
[свернуть]

Это если делать gpresult локально, на самой машине. Но если я пытаюсь сделать gpresult через psexec на сервере для этой машины, то шелл выдает мне (Пользователь не имеет данных RSOP)

В то же время на сервере, результаты групповой политики для этого пользователя выдают параметры GPO для него. Такие же как и RSOP локально.

Это пол беды на самом деле.
У этого пользователя такие проблемы. А вот у второго!!!! У второго вообще все отваливается. Доступ к папкам не получить, на сетевой иконке перекрестие (нет сети) но сеть есть. Система становится просто мертвой, потому доступа никуда вообще нету, даже в проводник.

Что происходит?

UPD: RSOP почему то показывает тип домена Windows 2000. Хотя у меня КД на Win2008R2
« Последнее редактирование: Декабрь 23, 2015, 08:32:15 am от ScreN »

 

Оффлайн DaRoni

  • Специалист ИТ
  • ****
  • Сообщений: 305
  • Karma: +22/-0
  • Пол: Мужской
    • Share Post
про рассказываю на пальцах я тоже не совсем понял. Не хватает пальцев.

Второе политики назначай на не OU (хотя это нормально) а через группы... Создаешь группу, добавляешь в нее компы где нужен кастомный админ, назначаешь применение политики через группу, все...
не заладилось у меня при первом знакомстве с группами компьютеров, так что пользуюсь OU. Да и наглядней если политик не так много.

Оффлайн ScreN

  • Пользователь
  • **
  • Сообщений: 90
  • Karma: +5/-0
  • Пол: Мужской
    • Share Post
про рассказываю на пальцах я тоже не совсем понял. Не хватает пальцев.

Второе политики назначай на не OU (хотя это нормально) а через группы... Создаешь группу, добавляешь в нее компы где нужен кастомный админ, назначаешь применение политики через группу, все...
не заладилось у меня при первом знакомстве с группами компьютеров, так что пользуюсь OU. Да и наглядней если политик не так много.
Я когда первый раз поднял КД и увидел что есть в GPO, почему то захотел вернуть все назад и не поднимать КД :)
Но потом решил таки поковыряться и вот, что то сломал видимо  :lol:
Ну ломать нужно, иначе не научится. Вот сейчас если способ Админа сработает, то я в будущем буду знать, что в таких ситуациях делать. Но это еще не все, я у вас тут надолго, потому что я еще не раз сломаю систему  :ggg:
Я пока сервер полностью нормально не сконфигурирую, не уймусь. А потом зато можно в носе ковырять сидеть и в одноклассниках торчать (только у меня к ним доступ есть  :sarcastic:)
« Последнее редактирование: Декабрь 23, 2015, 04:52:21 pm от ScreN »

Оффлайн sysadmin

  • Administrator
  • сисадми́н
  • *****
  • Сообщений: 8788
  • Karma: +121/-0
  • Пол: Мужской
    • Share Post
    • сайт для сис. админов и не только...
Доменную, которая по умолчанию (Default Domain Policy) не отключай  :nonono:

И на клиентах разреши в файерволе порт 389...
« Последнее редактирование: Декабрь 23, 2015, 05:45:35 pm от sysadmin »
дорогу осилит идущий...
......................
MCP, MCTS, RHCSA
......................
also aka xck...

Оффлайн ScreN

  • Пользователь
  • **
  • Сообщений: 90
  • Karma: +5/-0
  • Пол: Мужской
    • Share Post
Доменную, которая по умолчанию (Default Domain Policy) не отключай  :nonono:

И на клиентах разреши в файерволе порт 389...

Ну вообще у клиентов файр вырублен.
Default Domain Policy вообще никогда не удалять, и не отключать? Там же вроде просто политики паролей и Kerberos указан. Ну ок, ее я конечно отключать не буду, я ее итак хотел по умолчанию на вечно оставить.

Оффлайн sysadmin

  • Administrator
  • сисадми́н
  • *****
  • Сообщений: 8788
  • Karma: +121/-0
  • Пол: Мужской
    • Share Post
    • сайт для сис. админов и не только...
Не трогай ее, а файервол лучше включить и настроить, опять же политиками
« Последнее редактирование: Декабрь 23, 2015, 06:19:08 pm от sysadmin »

Оффлайн ScreN

  • Пользователь
  • **
  • Сообщений: 90
  • Karma: +5/-0
  • Пол: Мужской
    • Share Post
Не трогай ее, а файервол лучше включить и настроить, опять же политиками

У меня же межсетевой экран стоит. Тем более его касперский глушит.
« Последнее редактирование: Декабрь 23, 2015, 06:21:38 pm от ScreN »

Оффлайн sysadmin

  • Administrator
  • сисадми́н
  • *****
  • Сообщений: 8788
  • Karma: +121/-0
  • Пол: Мужской
    • Share Post
    • сайт для сис. админов и не только...
про рассказываю на пальцах я тоже не совсем понял. Не хватает пальцев.

Второе политики назначай на не OU (хотя это нормально) а через группы... Создаешь группу, добавляешь в нее компы где нужен кастомный админ, назначаешь применение политики через группу, все...
не заладилось у меня при первом знакомстве с группами компьютеров, так что пользуюсь OU. Да и наглядней если политик не так много.

 :offtopic:

К слову на будущее...

Сокращаем пальцы, далее немного теории ))

Есть несколько методов назначения GPO на объекты AD:
  • Посредством OU
  • Посредством групп безопасности
  • Посредством самих объектов
Про сайты и прочие "глобальности" промолчу

Далее есть методы фильтрации где активно используется WMI, для чего это нужно (расскажу из моей практики):
  • Есть два разных пакета софта, для х86 и х64, назначать GPO можно динамически используя WMI фильтрацию (то бишь посредством WMI скриптов) для той или иной аритектуры

Это добавляет гибкости в использование GPO, теперь о преимуществах методов (субъективный взгляд):
  • Применение через GPO - рост объектов OU что ведет к нагрузке на контроллер!, росту дерева объектов, вложенности, а иногда невозможности реализации некоторых архитектур...
  • Применение через группы - минимальная иерархия, распределение объектов по группам, а не по OU, что уже придает гибкости... Для меня здесь плюсы очевидны..

Исходя из нотации MS (и вообще многих нотаций), чем более "плоский" объект, тем лучше т.е. (далее идут пальцы), рассмотрим варианты применения GPO с OU:
Есть N количество конечных объектов, на которые необходимо применить N количество политик у которых разные задачи и цели, при использовании OU - чем больше политик и задач, тем больше дерево объектов и тем сложнее управление инфраструктурой, не все политики можно применить на одно и то же OU, а иногда зачастую надо (да бывает такое представьте), при использовании групп, все проще, минимум веток в дереве, назначение политик определеяет лишь членство в группах...

Может это не заметно при 20, 30, 50-ти пользователях и 20, 30, 50-ти объектов GPO, но поверьте мне, когда у вас будет объектов GPO хотя бы 200-500 и конечных точек от 400 до нескольких тысяч, у вас точно пальцев не хватит все это дело регулировать (применять политики) через OU...

Оффтоп закончен  :ggg:
« Последнее редактирование: Декабрь 23, 2015, 09:35:51 pm от sysadmin »

Оффлайн ScreN

  • Пользователь
  • **
  • Сообщений: 90
  • Karma: +5/-0
  • Пол: Мужской
    • Share Post
Это короче ЛОЛ какой то.

Первый скрин это только что созданная политика с параметрами группы с ограниченным доступом.
Второй скрин это одна из клиентских машин которая ранее входила в группу Администраторы
Третий скрин это еще одна клиентская машина которая так же входила в группу Администраторов

UPD: УПС!! Сорян... Чуть чуть не правильно же.
Я блин щас доиграюсь и себя из группы админов кикну  :ggg:
« Последнее редактирование: Декабрь 24, 2015, 11:13:15 am от ScreN »

Оффлайн sysadmin

  • Administrator
  • сисадми́н
  • *****
  • Сообщений: 8788
  • Karma: +121/-0
  • Пол: Мужской
    • Share Post
    • сайт для сис. админов и не только...
Обрати внимание, версии ОС разные... И политики с разных серверов применяются...
« Последнее редактирование: Декабрь 24, 2015, 08:01:27 am от sysadmin »

Оффлайн ScreN

  • Пользователь
  • **
  • Сообщений: 90
  • Karma: +5/-0
  • Пол: Мужской
    • Share Post
Обрати внимание, версии ОС разные...

Вот сейчас все получилось, и пользователи вылетели из группы локальных админов. Но! Какой вариант правильный?
Во вложении 2 варианта

Я прикидываю что второй. Но тогда сейчас просто можно первый переделать во второй и будет всем хорошо? Из формы члены группы удалить все и оставить форму пустой. А во вторую форму добавить Администраторов домена и обновить политику? Или таки не прокатит?
« Последнее редактирование: Декабрь 24, 2015, 11:12:06 am от ScreN »

Оффлайн ScreN

  • Пользователь
  • **
  • Сообщений: 90
  • Karma: +5/-0
  • Пол: Мужской
    • Share Post
Обрати внимание, версии ОС разные... И политики с разных серверов применяются...

Кстати да! А почему они применяются с разных серверов? Ну как бы КД1 и КД2 почти мгновенно синхронизируются. Но по какие критериям клиенты выбирают сервер синхронизации?
А на счет версий ОС, так это вообще смехота. Обе ОСи были установлены с одного и того же диска. Единственное что, КД1 я обновлял через Обновление Widnows, но потом я подозревал что обновления кривые и удалил их. КД2 обновлен не был.

Может стоит все таки обновить оба КД? Но я что-то боюсь обновляться. Если обновления криво встанут, то сервер упадет.
« Последнее редактирование: Декабрь 24, 2015, 08:08:51 am от ScreN »

Оффлайн sysadmin

  • Administrator
  • сисадми́н
  • *****
  • Сообщений: 8788
  • Karma: +121/-0
  • Пол: Мужской
    • Share Post
    • сайт для сис. админов и не только...
Цитировать
Кстати да! А почему они применяются с разных серверов?
Это нормально. Я акцентировал на этом внимание для того что бы ты проверил актуалььность настроек политик на обоих серверах...

Оффлайн ScreN

  • Пользователь
  • **
  • Сообщений: 90
  • Karma: +5/-0
  • Пол: Мужской
    • Share Post
SysAdmin
ну вот значит по поводу вариантов.

Во вложениях 2 вариант. Они оба будет работать?
И если я допустим сейчас эту политику уже применил и пользователи вылетели из группы локальных админов. Я же могу теперь этот параметр удалить и удалить саму политику? Чтобы она не висела. Потому что когда первый раз пользователей в домен вводишь, они же получают права обычных пользователей. Я вот хочу чтобы все было как раньше и вообще удалить любые настройки связанные с restricted groups. А если что, то потом уже настрою как нужно.

Оффлайн ScreN

  • Пользователь
  • **
  • Сообщений: 90
  • Karma: +5/-0
  • Пол: Мужской
    • Share Post
Короче, проверил. Вроде работают оба варианта.
Но теперь другая проблема. После того как я пытаюсь на клиентской машине что то поменять, часы допустим, у меня UAC просит ввести логин и пароль админа. Я ввожу, как обычно, он выдает мне что у меня недостаточно прав. WTF?

UPD короче:
Та схема которая представлена во вложении №1, работает и я на машине клиента могу менять параметры системы введя по запросу UAC логин и пароль Администратора.
Вторая схема, которая представлена во вложении №2 тоже работает, но я ничего не могу менять на машине клиента, потому что при вводе логина и пароля администратора как в первой схеме, UAC говорит что у меня недостаточно прав.
« Последнее редактирование: Декабрь 24, 2015, 11:53:49 am от ScreN »

Оффлайн sysadmin

  • Administrator
  • сисадми́н
  • *****
  • Сообщений: 8788
  • Karma: +121/-0
  • Пол: Мужской
    • Share Post
    • сайт для сис. админов и не только...
Потому что дату и время в домене могут изменять только администраторы домена... Время это ключевой объект... Зайди под админом домена и ты сможешь его изменить )) Во всем остальном для локальных админов особых ограничений не должно быть...
« Последнее редактирование: Декабрь 24, 2015, 12:30:49 pm от sysadmin »


xx
Групповая замена файла SyLink.xml

Автор sysadmin

0 Ответов
4302 Просмотров
Последний ответ Декабрь 07, 2009, 01:51:03 pm
от sysadmin
xx
[Решено] Локальная политика безопасности

Автор D.Samilkin

6 Ответов
2500 Просмотров
Последний ответ Май 24, 2013, 10:08:33 am
от D.Samilkin
xx
[Решено] Установка Tumar scp без админ прав

Автор Elnura

3 Ответов
1288 Просмотров
Последний ответ Март 01, 2016, 09:41:44 am
от Elnura
xx
[Решено] Обновление Rail-Тариф без прав администратора.

Автор sysadmin

0 Ответов
2866 Просмотров
Последний ответ Январь 17, 2014, 02:57:03 pm
от sysadmin