Автор Тема: Групповая политика на Ограничению прав не применяется  (Прочитано 5616 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн ScreN

  • Пользователь
  • **
  • Сообщений: 90
  • Karma: +5/-0
  • Пол: Мужской
    • Share Post
Здравствуйте!

Опишу ситуацию с самого начала.

Когда я поднимал КД, я примерно накинул схему распределение прав пользователей. Ученики и Учителя будут входить в соответствующую группу безопасности на которую не распространяется политика с параметрами (Группы с ограниченным доступом).

Так же была создана группа безопасности "Администрация школы" куда входили пользователи с полными правами администраторов (Директор, завучи, секретари, бухгалтерия и.т.д) для них бала создана политика (Группы с ограниченным доступом -> Администрация школы -> входит в группу Администраторы). После этого, юзеры входящие в эту группу получили права Администраторов.

Буквально 4 дня назад (после того как все машины в школе схватили вирус и я ночевал в школе) я решил пересмотреть политику безопасности, и вывести Администрацию школы из группы Администраторов. И всем юзерам выдать права обычных пользователей и начать потихоньку разграничивать права доступа к обменнику и.т.д (начать настраивать политики безопасности).
И вот тут я отхлебнул. Убрал у всех пользователей группу Администрация школы, удалил политику GPO на них (gpupdate, ребут машины на всякий и.... пользователи остались в группе Администраторы) права не урезаны, пользователи по прежнему могут открывать сетевые интерфейсы, ломать часы (в общем у них остались полные права Админинов)

Я решил перепроверить работу политик. У меня как раз готовилась файловая помойка и я ее только только включил в домен. Права у этой машины были как у обычных пользователей (часы не сломать, IP не поменять. Ну обычные права после ввода в домен) Я решил потестить на этой машине эту самую политику GPO которая стояла на Администрацию школы. Файловая помойка получила права Администратора, потом я удалил политику GPO на нее и она стала обычным пользователем. Политика работает!!!!
Но почему она не срабатывает на других пользователей, у которых я хочу сдернуть права Администраторов?

Вот RSOP одной из машин которая не хочет терять права Администраторов
Спойлер
Создано на 23.12.2015 в 10:06:36


Данные RSOP для SCHOOL8\Байдакова Любовь на BAYDAKOVA : Режим ведения журнала
------------------------------------------------------------------------------

Конфигурация ОС:            Рядовая рабочая станция
Версия ОС:                  6.1.7600
Имя сайта:                  Default-First-Site-Name
Перемещаемый профиль:                     Н/Д
Локальный профиль:          C:\Users\Sekretar_1
Подключение по медленному каналу: Нет


Конфигурация компьютера
------------------------
    CN=BAYDAKOVA,OU=Байдакова,OU=School8,DC=school8,DC=local
    Последнее применение групповой политики:  23.12.2015 в 10:06:18
    Групповая политика была применена с:      DCServer.school8.local
    Порог медленного канала для групповой политики: 500 kbps
    Имя домена:                        SCHOOL8
    Тип домена:                        Windows 2000

    Примененные объекты групповой политики
    ---------------------------------------
        Н/Д

    Следующие политики GPO не были приняты, поскольку они отфильтрованы
    --------------------------------------------------------------------
        Local Group Policy
            Фильтрация:  Не применяется (пусто)

    Компьютер является членом следующих групп безопасности
    ------------------------------------------------------
        Администраторы
        Все
        Пользователи
        СЕТЬ
        Прошедшие проверку
        Данная организация
        BAYDAKOVA$
        Компьютеры домена
        Обязательный уровень системы

    Результирующий набор политик для компьютера
    --------------------------------------------

        Установка программ
        ------------------
            Н/Д

        Сценарии запуска
        ----------------
            Н/Д

        Сценарии завершения работы
        --------------------------
            Н/Д

        Политики учетных записей
        ------------------------
            Н/Д

        Политика аудита
        ---------------
            Н/Д

        Права пользователя
        ------------------
            Н/Д

        Параметры безопасности
        ----------------------
            Н/Д

            Н/Д

        Параметры журнала событий
        -------------------------
            Н/Д

        Группы с ограниченным доступом
        ------------------------------
            Н/Д

        Системные службы
        ----------------
            Н/Д

        Параметры реестра
        -----------------
            Н/Д

        Параметры файловой системы
        --------------------------
            Н/Д

        Политики открытого ключа
        ------------------------
            Н/Д

        Административные шаблоны
        ------------------------
            Н/Д


Конфигурация пользователя
--------------------------
    CN=Байдакова Любовь Владимировна,OU=Байдакова,OU=School8,DC=school8,DC=local
    Последнее применение групповой политики:  23.12.2015 в 10:06:18
    Групповая политика была применена с:      DCServer.school8.local
    Порог медленного канала для групповой политики: 500 kbps
    Имя домена:                        SCHOOL8
    Тип домена:                        Windows 2000

    Примененные объекты групповой политики
    ---------------------------------------
        Н/Д

    Следующие политики GPO не были приняты, поскольку они отфильтрованы
    --------------------------------------------------------------------
        Local Group Policy
            Фильтрация:  Не применяется (пусто)

    Пользователь является членом следующих групп безопасности
    ---------------------------------------------------------
        Пользователи домена
        Все
        Администраторы
        Пользователи
        ИНТЕРАКТИВНЫЕ
        КОНСОЛЬНЫЙ ВХОД
        Прошедшие проверку
        Данная организация
        ЛОКАЛЬНЫЕ
        Пользователи с ограниченными правами
        Высокий обязательный уровень

    Привилегии безопасности данного пользователя
    --------------------------------------------

        Обход перекрестной проверки
        Управление аудитом и журналом безопасности
        Архивация файлов и каталогов
        Восстановление файлов и каталогов
        Изменение системного времени
        Завершение работы системы
        Принудительное удаленное завершение работы
        Смена владельцев файлов и других объектов
        Отладка программ
        Изменение параметров среды изготовителя
        Профилирование производительности системы
        Профилирование одного процесса
        Увеличение приоритета выполнения
        Загрузка и выгрузка драйверов устройств
        Создание файла подкачки
        Настройка квот памяти для процесса
        Отключение компьютера от стыковочного узла
        Выполнение задач по обслуживанию томов
        Имитация клиента после проверки подлинности
        Создание глобальных объектов
        Изменение часового пояса
        Создание символических ссылок
        Увеличение рабочего набора процесса

    Результирующий набор политик для пользователя
    ----------------------------------------------

        Установка программ
        ------------------
            Н/Д

        Сценарии входа
        --------------
            Н/Д

        Сценарии выхода
        ---------------
            Н/Д

        Политики открытого ключа
        ------------------------
            Н/Д

        Административные шаблоны
        ------------------------
            Н/Д

        Перенаправление папок
        ---------------------
            Н/Д

        Пользовательский интерфейс браузера Internet Explorer
        -----------------------------------------------------
            Н/Д

        Подключения Internet Explorer
        -----------------------------
            Н/Д

        URL-адреса Internet Explorer
        ----------------------------
            Н/Д

        Безопасность Internet Explorer
        ------------------------------
            Н/Д

        Программы Internet Explorer
        ---------------------------
[свернуть]

Это если делать gpresult локально, на самой машине. Но если я пытаюсь сделать gpresult через psexec на сервере для этой машины, то шелл выдает мне (Пользователь не имеет данных RSOP)

В то же время на сервере, результаты групповой политики для этого пользователя выдают параметры GPO для него. Такие же как и RSOP локально.

Это пол беды на самом деле.
У этого пользователя такие проблемы. А вот у второго!!!! У второго вообще все отваливается. Доступ к папкам не получить, на сетевой иконке перекрестие (нет сети) но сеть есть. Система становится просто мертвой, потому доступа никуда вообще нету, даже в проводник.

Что происходит?

UPD: RSOP почему то показывает тип домена Windows 2000. Хотя у меня КД на Win2008R2
« Последнее редактирование: Декабрь 23, 2015, 08:32:15 am от ScreN »

 

Оффлайн sysadmin

  • Administrator
  • сисадми́н
  • *****
  • Сообщений: 8788
  • Karma: +121/-0
  • Пол: Мужской
    • Share Post
    • сайт для сис. админов и не только...
З.Ы. оставляй второй вариант
дорогу осилит идущий...
......................
MCP, MCTS, RHCSA
......................
also aka xck...

Оффлайн sysadmin

  • Administrator
  • сисадми́н
  • *****
  • Сообщений: 8788
  • Karma: +121/-0
  • Пол: Мужской
    • Share Post
    • сайт для сис. админов и не только...
Где указаны группы для членства, а не входит в...

Оффлайн ScreN

  • Пользователь
  • **
  • Сообщений: 90
  • Karma: +5/-0
  • Пол: Мужской
    • Share Post
Потому что дату и время в домене могут изменять только администраторы домена... Время это ключевой объект... Зайди под админом домена и ты сможешь его изменить )) Во всем остальном для локальных админов особых ограничений не должно быть...

Ух.... Как бы рассказать.
Раньше, когда я еще не юзнул группы с ограниченным доступом. Все пользователи вводимые в домен, по умолчанию были обычными пользователями само собой. И нифига не могли менять, не дату, не настройки сети, не удалять программы, нифига. Но я, при запросе UAC мог менять эти параметры, любые. Сейчас, я не могу менять параметры. Я типа не администратор домена?  :ggg:

Ну вернее по первой схеме могу менять, а по второй не могу. Чем отличается первая схема от второй?  :ggg:
И теперь мне получается эту политику вообще удалить нельзя? Она так и будет висеть?  :facepalm:

Оффлайн ScreN

  • Пользователь
  • **
  • Сообщений: 90
  • Karma: +5/-0
  • Пол: Мужской
    • Share Post
З.Ы. оставляй второй вариант

Так это, лол же :) Я же не смогу менять параметры машины, UAC говорит что я бомжатина без привилегий. А раньше мог, когда restricted groups вообще не юзалась, самые первые дни КД. Вот как мне вернуть то состояние, когда КД работал без restricted groups?  :ggg:

Потому что сейчас если политику удалить, то пользователи автоматом врываются в группу локальных админов. А когда restricted groups вообще не трогалась, и была пустая по умолчанию после установки КД, юзеры были обычными бомжами, а сейчас только с политикой можно права забрать. А как раньше теперь не вернуть?

Эх... руки крюки. Если бы я знал что такие закарючьки будет с restricted groups, я бы вообще ее никогда не юзал. Наверное.
« Последнее редактирование: Декабрь 24, 2015, 12:44:11 pm от ScreN »

Оффлайн sysadmin

  • Administrator
  • сисадми́н
  • *****
  • Сообщений: 8788
  • Karma: +121/-0
  • Пол: Мужской
    • Share Post
    • сайт для сис. админов и не только...
Забудь про эти дни, первая политика даёт привилегии га уровне домена, вторая на уровне машины

Оффлайн ScreN

  • Пользователь
  • **
  • Сообщений: 90
  • Karma: +5/-0
  • Пол: Мужской
    • Share Post
Забудь про эти дни, первая политика даёт привилегии га уровне домена, вторая на уровне машины

Мм... Ну допустим. Если я оставлю второй вариант, то я получается не смогу менять настройки машины, вообще? Это мне придется постоянно под локальным админом заходить?

Оффлайн sysadmin

  • Administrator
  • сисадми́н
  • *****
  • Сообщений: 8788
  • Karma: +121/-0
  • Пол: Мужской
    • Share Post
    • сайт для сис. админов и не только...
Стоп стоп, являясь членом указанных групп ты являешься администратором, запускай нужные апплеты используя "запустить от имени" или попросту run as..

Оффлайн ScreN

  • Пользователь
  • **
  • Сообщений: 90
  • Karma: +5/-0
  • Пол: Мужской
    • Share Post
Стоп стоп, являясь членом указанных групп ты являешься администратором, запускай нужные апплеты используя "запустить от имени" или попросту run as..

Так если я запускаю допустим установку какой то программы, просто двойным кликом и UAC запрашивает разрешение на выполнение и просит указать логин и пароль учетки с нужными полномочиями. Я указываю логин и пароль своей админской учетки в домене, он отказывает мне. Разве указания доменной админской учетки не подразумевает под собой запуск приложения от имени этой самой учетки?

Долбаная маму ее restricted groups!!! Ну зачем я ее юзал! Ну все же работало :(
« Последнее редактирование: Декабрь 24, 2015, 01:22:36 pm от ScreN »


xx
Групповая замена файла SyLink.xml

Автор sysadmin

0 Ответов
4302 Просмотров
Последний ответ Декабрь 07, 2009, 01:51:03 pm
от sysadmin
xx
[Решено] Локальная политика безопасности

Автор D.Samilkin

6 Ответов
2503 Просмотров
Последний ответ Май 24, 2013, 10:08:33 am
от D.Samilkin
xx
[Решено] Установка Tumar scp без админ прав

Автор Elnura

3 Ответов
1288 Просмотров
Последний ответ Март 01, 2016, 09:41:44 am
от Elnura
xx
[Решено] Обновление Rail-Тариф без прав администратора.

Автор sysadmin

0 Ответов
2866 Просмотров
Последний ответ Январь 17, 2014, 02:57:03 pm
от sysadmin