Feb. 20th, 2014

hroft_clone3: (Отдыхаю)
Я буду долго гнать велосипед,
И, вскоре, весь его перегоню.
Настойка - класс, её налью себе,
И девушке, которую люблю.
hroft_clone3: (Отдыхаю)
Пообщался тут немного с коллегой в асе. Результат разговора тут.

Есть 2008 домен, нужно ввести некие ограничения на группу пользователей, например, ограничить доступ до USB, остальных оставить как есть

задача решается просто.
Создаешь OU, на нее устанавливаешь GPO с нужным ограничением, перетаскиваешь туда юзверей.

Это самый наглядный метод.
Можно и на группу юзверей, но, тогда на суммировании политик можно повеситься, если встают ограничения от 2-3 групп.

Опишем как это происходит.
GPO накладывается на существующую группу или OU, OU предпочтительней, визуально виднее порядок наследования и суммирования политик.
Например, есть 4 политики
На forest, на domain, на OU-1 и на OU-2, являющуюся дочерней для OU-1
Вот и сразу будет видно по размещению юзера что он огребет в политиках.
в OU - users он огребет от forest и domain
в OU-1 получит от forest+ domain+ OU-1
в OU-2 получит от forest+ domain+ OU-1+OU-2

Можно создавать OU с прерыванием цепочки наследования GPO, если надо что-то особо извращенное или снять все политики с объектов OU.
Преимуществом наложения GPO на OU является то, что в OU можно перетаскивать и компьютеры, соответственно, можно и политики для компьютеров раздать в зависимости от желания и потребностей.

То есть, например, создаем OU АДМИНЫМЕГАКРУТЫ и ставим на нее GPO с обрезанием цепочек наследования и полными разрешениями и на компы, и на пользовательские права.
Перетаскиваем компы и админов туда. Всё, на своём месте ограничений абсолютно нет, при работе, никаких следов от GPO при изъятии из домена компа, не остается (типа ограничений на длину пароля локальных юзеров). При работе на компе юзверя получаешь полный доступ, как админ, но при изъятии компа из домена, все нагрузки от GPO остаются в силе. Спасает, только, переустановка, али введение в другой домен, без ограничений на политики компьютера.

Для экспериментов рекомендуется создать OU с полными блокировками наследования политик. Чтобы снять последствия экспериментов :)
Напортачил - перетащил юзера, ребутнул комп - и всё, с него сняты все ограничения:)

Вот, немного сумбурно, но всё-же, может, кому-то и пригодится :)
Если что вспомню, буду сюда добавлять


hroft_clone3: (Отдыхаю)
Вот сайт, который построил Джек

А это код домашней страницы,
Который в кошмарном сне не приснится
В сайте, который построил Джек

Вот хедер с бэкграундом цвета корицы,
Прописанный в коде домашней страницы
В сайте, который построил Джек


А вот логотип пережатый и стремный,
В формате жипег кое-как сохраненный,
Вставленный в хедер цвета корицы,
Прописанный в коде домашней страницы
В сайте, который построил Джек

Вот список меню с не добавленным классом
Стоящий под логотипом ужасным
Вставленным в хедер цвета корицы,
Прописанный в коде домашней страницы
В сайте, который построил Джек

А это ссылки, подчеркнуто-синие,
Стоящие в пунктах списка без имени
Под логотипом на фоне корицы
В хедере в коде домашней страницы
В сайте, который построил Джек

А это юзер с больными глазами
Который не смог разглядеть на экране
Синие ссылки на фоне корицы
В хедере в коде домашней страницы
В сайте, который построил Джек


Profile

hroft_clone3: (Default)
hroft_clone3

April 2022

S M T W T F S
     12
3456789
10111213141516
17181920 212223
24252627282930

Style Credit

Expand Cut Tags

No cut tags
Page generated Oct. 1st, 2025 03:34 am
Powered by Dreamwidth Studios