Feb. 20th, 2014
Групповые политики.
Feb. 20th, 2014 11:29 amПообщался тут немного с коллегой в асе. Результат разговора тут.
Есть 2008 домен, нужно ввести некие ограничения на группу пользователей, например, ограничить доступ до USB, остальных оставить как есть
задача решается просто.
Создаешь OU, на нее устанавливаешь GPO с нужным ограничением, перетаскиваешь туда юзверей.
Это самый наглядный метод.
Можно и на группу юзверей, но, тогда на суммировании политик можно повеситься, если встают ограничения от 2-3 групп.
Опишем как это происходит.
GPO накладывается на существующую группу или OU, OU предпочтительней, визуально виднее порядок наследования и суммирования политик.
Например, есть 4 политики
На forest, на domain, на OU-1 и на OU-2, являющуюся дочерней для OU-1
Вот и сразу будет видно по размещению юзера что он огребет в политиках.
в OU - users он огребет от forest и domain
в OU-1 получит от forest+ domain+ OU-1
в OU-2 получит от forest+ domain+ OU-1+OU-2
Можно создавать OU с прерыванием цепочки наследования GPO, если надо что-то особо извращенное или снять все политики с объектов OU.
Преимуществом наложения GPO на OU является то, что в OU можно перетаскивать и компьютеры, соответственно, можно и политики для компьютеров раздать в зависимости от желания и потребностей.
То есть, например, создаем OU АДМИНЫМЕГАКРУТЫ и ставим на нее GPO с обрезанием цепочек наследования и полными разрешениями и на компы, и на пользовательские права.
Перетаскиваем компы и админов туда. Всё, на своём месте ограничений абсолютно нет, при работе, никаких следов от GPO при изъятии из домена компа, не остается (типа ограничений на длину пароля локальных юзеров). При работе на компе юзверя получаешь полный доступ, как админ, но при изъятии компа из домена, все нагрузки от GPO остаются в силе. Спасает, только, переустановка, али введение в другой домен, без ограничений на политики компьютера.
Для экспериментов рекомендуется создать OU с полными блокировками наследования политик. Чтобы снять последствия экспериментов :)
Напортачил - перетащил юзера, ребутнул комп - и всё, с него сняты все ограничения:)
Вот, немного сумбурно, но всё-же, может, кому-то и пригодится :)
Если что вспомню, буду сюда добавлять

задача решается просто.
Создаешь OU, на нее устанавливаешь GPO с нужным ограничением, перетаскиваешь туда юзверей.
Это самый наглядный метод.
Можно и на группу юзверей, но, тогда на суммировании политик можно повеситься, если встают ограничения от 2-3 групп.
Опишем как это происходит.
GPO накладывается на существующую группу или OU, OU предпочтительней, визуально виднее порядок наследования и суммирования политик.
Например, есть 4 политики
На forest, на domain, на OU-1 и на OU-2, являющуюся дочерней для OU-1
Вот и сразу будет видно по размещению юзера что он огребет в политиках.
в OU - users он огребет от forest и domain
в OU-1 получит от forest+ domain+ OU-1
в OU-2 получит от forest+ domain+ OU-1+OU-2
Можно создавать OU с прерыванием цепочки наследования GPO, если надо что-то особо извращенное или снять все политики с объектов OU.
Преимуществом наложения GPO на OU является то, что в OU можно перетаскивать и компьютеры, соответственно, можно и политики для компьютеров раздать в зависимости от желания и потребностей.
То есть, например, создаем OU АДМИНЫМЕГАКРУТЫ и ставим на нее GPO с обрезанием цепочек наследования и полными разрешениями и на компы, и на пользовательские права.
Перетаскиваем компы и админов туда. Всё, на своём месте ограничений абсолютно нет, при работе, никаких следов от GPO при изъятии из домена компа, не остается (типа ограничений на длину пароля локальных юзеров). При работе на компе юзверя получаешь полный доступ, как админ, но при изъятии компа из домена, все нагрузки от GPO остаются в силе. Спасает, только, переустановка, али введение в другой домен, без ограничений на политики компьютера.
Для экспериментов рекомендуется создать OU с полными блокировками наследования политик. Чтобы снять последствия экспериментов :)
Напортачил - перетащил юзера, ребутнул комп - и всё, с него сняты все ограничения:)
Вот, немного сумбурно, но всё-же, может, кому-то и пригодится :)
Если что вспомню, буду сюда добавлять

Прекрасное :)
Feb. 20th, 2014 05:34 pmВот сайт, который построил Джек
А это код домашней страницы,
Который в кошмарном сне не приснится
В сайте, который построил Джек
Вот хедер с бэкграундом цвета корицы,
Прописанный в коде домашней страницы
В сайте, который построил Джек
А вот логотип пережатый и стремный,
В формате жипег кое-как сохраненный,
Вставленный в хедер цвета корицы,
Прописанный в коде домашней страницы
В сайте, который построил Джек
Вот список меню с не добавленным классом
Стоящий под логотипом ужасным
Вставленным в хедер цвета корицы,
Прописанный в коде домашней страницы
В сайте, который построил Джек
А это ссылки, подчеркнуто-синие,
Стоящие в пунктах списка без имени
Под логотипом на фоне корицы
В хедере в коде домашней страницы
В сайте, который построил Джек
А это юзер с больными глазами
Который не смог разглядеть на экране
Синие ссылки на фоне корицы
В хедере в коде домашней страницы
В сайте, который построил Джек

А это код домашней страницы,
Который в кошмарном сне не приснится
В сайте, который построил Джек
Вот хедер с бэкграундом цвета корицы,
Прописанный в коде домашней страницы
В сайте, который построил Джек
А вот логотип пережатый и стремный,
В формате жипег кое-как сохраненный,
Вставленный в хедер цвета корицы,
Прописанный в коде домашней страницы
В сайте, который построил Джек
Вот список меню с не добавленным классом
Стоящий под логотипом ужасным
Вставленным в хедер цвета корицы,
Прописанный в коде домашней страницы
В сайте, который построил Джек
А это ссылки, подчеркнуто-синие,
Стоящие в пунктах списка без имени
Под логотипом на фоне корицы
В хедере в коде домашней страницы
В сайте, который построил Джек
А это юзер с больными глазами
Который не смог разглядеть на экране
Синие ссылки на фоне корицы
В хедере в коде домашней страницы
В сайте, который построил Джек
