В помощь ИТ специалисту 

Какая-то лажа с Group Policy

Обсуждение правил и методов создания и применения групповых политик и политик безопасности.

Модератор: Модераторы

Закрыто
shtil
Новый участник
Сообщения: 36
Зарегистрирован: 10 фев 2004, 12:32
Откуда: Кемерово

Сообщение shtil » 10 фев 2004, 13:00

Имею Windows Server 2003. Установил AD в домене "xyz.local". Добавил OU "CompClass". К ней примений свою GP "classroom" (понижающую требования по длине и сложности пароля пользователей относительно Default Domain Policy). Однако моя GP не хочет применяться к OU (хотя по правилам должна), как следствие не могу создать в этой OU пользователя с простым паролем, да и вобще немогу менять параметры пользователя и компа - они сохраняют настройки родительской групповй политики Default Domain Policy (которую изменять не хочу). Пользуюсь RSoP, которая выдает картинку (красные кресты рядом с конфликтующими настройнами), типа "The poicy engine did not attempt to configure the setting. For more information, see winlogon.log on the target machine." - х@йня какая-то, какая таргет машина? Я на сервере проверяю результирующую политику в Planning mode? Как сделать, чтобы всё работало как надо?

Вобщем, помогите люди добрые!!!

АХТУНГ!!! ОТВЕТ НАЙДЕН! СМОТРИ КОНЕЦ... B)
Вернуться к началу
domovoy
Администратор
Сообщения: 3444
Зарегистрирован: 19 дек 2003, 13:36
Откуда: Москва

Сообщение domovoy » 10 фев 2004, 13:14

Наследование групповых политик в OU отменил ?
проверься, вот тут описано как и что применяется Групповые политики
Правильно заданный вопрос - это уже половина ответа.
Вернуться к началу
shtil
Новый участник
Сообщения: 36
Зарегистрирован: 10 фев 2004, 12:32
Откуда: Кемерово

Сообщение shtil » 12 фев 2004, 13:04

Своими руками ничего не отменял. По этой теме уже много почитал, но такой подробной инфы еще не видел. Почитаем...
Вернуться к началу
shtil
Новый участник
Сообщения: 36
Зарегистрирован: 10 фев 2004, 12:32
Откуда: Кемерово

Сообщение shtil » 13 фев 2004, 07:08

Вот и иллюстрация непонятного мне явления:
Изображение
Самое интересное, что даже Default Domain Policy глючит - рядом с параметром (напр. Enforce Password History, к которой применяется только Default Domain Policy) стоит красный крест.

Заглянул в winlogon.log:

Error 0 to send control flag 1 over to server.

Make a local copy of \\journalism.local\sysvol\journalism.local\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\Machine\Microsoft\Windows NT\SecEdit\GptTmpl.inf.
GPLinkDomain

Make a local copy of \\journalism.local\sysvol\journalism.local\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\Machine\Microsoft\Windows NT\SecEdit\GptTmpl.inf.
GPLinkOrganizationUnit

Process GP template gpt00000.dom.

This is not the last GPO.
-------------------------------------------
13 февраля 2004 г. 9:44:28
Copy undo values to the merged policy.


----Un-initialize configuration engine...

Process GP template gpt00001.inf.

This is the last GPO : domain policy is ignored on DC.
-------------------------------------------
13 февраля 2004 г. 9:44:30

Почему domain policy is ignored on DC? Какова причина этого?

Windows только что поставил. Последовательность моих действий:
1. DNS
2. AD
3. Создл OU и GP для неё.

ВСЁ. Больше ничего не делал. Но понятно, что проблема появилать сразу после установки AD - ведь Default Domain Policy глючит в одиночестве.

Интересно... :blink:
Вернуться к началу
domovoy
Администратор
Сообщения: 3444
Зарегистрирован: 19 дек 2003, 13:36
Откуда: Москва

Сообщение domovoy » 13 фев 2004, 12:42

shtil
Имхо я бы проверился на твоем месте так,
1. Проверь все ли нормально с ДНС на серваке
2. прогони netdiag и dcdiag на контролере на предмет ошибок
3. ipconfig /all с контролера и клиента в студию ;)

Если все ок пробуй сначала как утебя изменяются и применяются дефолтовые политики если они отрабатываются нормально, тогда можно будет смотреть что с политиками OU
Правильно заданный вопрос - это уже половина ответа.
Вернуться к началу
Harry33
Он здесь живет
Сообщения: 2394
Зарегистрирован: 19 дек 2003, 20:43
Откуда: Москва

Сообщение Harry33 » 13 фев 2004, 12:52

Запусти на этом контроллере DCdiag и netdiag... есть подозрения
Знания, которые нельзя применить - бесполезны
Вернуться к началу
shtil
Новый участник
Сообщения: 36
Зарегистрирован: 10 фев 2004, 12:32
Откуда: Кемерово

Сообщение shtil » 16 фев 2004, 11:09

Чтобы доконца пряснить ситуацию:
В моем распоряжении только локальные адреса 10.0.0.0(sub 255.255.255.0) - сижу за софтовым маршрутизатором под nix (типа шлюз), к которому доступа не имею. Соответственно адрес моего сервака - 10.0.0.10 и домен поднял в зоне .local. Пользователями моей сетки является масса разношерстного народа, для которых и нужно оформить несколько userов с разными групповыми политиками. AD на мой взгляд отличное решение, но... не работает :(

К делу:

1. Запустил dcdiag. Все passed кроме:

Код
Starting test: systemlog
  An Error Event occured.  EventID: 0xC0002715
  Time Generated: 02/16/2004   11:50:24
  Event String: DCOM got error "%1058" attempting to start the
  .............. SERVER6418 failed test systemlog
[/code]


2. Запустил ipconfig /all на DC:

Код
Windows IP Configuration

  Host Name . . . . . . . . . . . . : server6418
  Primary Dns Suffix  . . . . . . . : journalism.local
  Node Type . . . . . . . . . . . . : Unknown
  IP Routing Enabled. . . . . . . . : No
  WINS Proxy Enabled. . . . . . . . : No
  DNS Suffix Search List. . . . . . : journalism.local

Ethernet adapter Local Area Connection:

  Connection-specific DNS Suffix  . : journalism.local
  Description . . . . . . . . . . . : Realtek RTL8139 Family PCI Fast Ethernet
NIC
  Physical Address. . . . . . . . . : xx-xx-xx-xx-xx-xx
  DHCP Enabled. . . . . . . . . . . : No
  IP Address. . . . . . . . . . . . : 10.0.0.10
  Subnet Mask . . . . . . . . . . . : 255.255.255.0
  Default Gateway . . . . . . . . . : xx.xxx.1.84
                                      xx.xxx.1.65
  DNS Servers . . . . . . . . . . . : 10.0.0.10
                                      xx.xxx.1.1
[/code]

3. И на клиенте:

Код
Настройка протокола IP для Windows 2000

Имя компьютера  . . . . . . . . . : journalism001
Основной DNS суффикс  . . . . . . : journalism.local
Тип узла  . . . . . . . . . . . . : Широковещательный
Включена IP-маршрутизация . . . . : Нет
Доверенный WINS-сервер  . . . . . : Нет
Порядок просмотра суффиксов DNS . : journalism.local

Адаптер Ethernet Подключение по локальной сети:

DNS суффикс этого подключения . . : journalism.local
Описание  . . . . . . . . . . . . : CNet PRO200WL PCI Fast Ethernet Adap
ter
Физический адрес. . . . . . . . . : xx-xx-xx-xx-xx-xx
DHCP разрешен . . . . . . . . . . : Нет
IP-адрес  . . . . . . . . . . . . : 10.0.0.11
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : xx.xxx.1.84
DNS-серверы . . . . . . . . . . . : 10.0.0.10
                                   xx.xxx.1.1
[/code]


4. Запустил netdiag:

Код
Computer Name: SERVER6418
DNS Host Name: server6418.journalism.local
System info : Windows 2000 Server (Build 3790)
Processor : x86 Family 15 Model 1 Stepping 3, GenuineIntel
List of installed hotfixes : Q147222

Netcard queries test . . . . . . . : Passed

Per interface results:

Adapter : Local Area Connection

Netcard queries test . . . : Passed

Host Name. . . . . . . . . : server6418.journalism.local
IP Address . . . . . . . . : 10.0.0.10
Subnet Mask. . . . . . . . : 255.255.255.0
Default Gateway. . . . . . : xx.xxx.1.84
Dns Servers. . . . . . . . : 10.0.0.10
xx.xxx.1.1

IpConfig results . . . . . : Failed

[WARNING] Your default gateway is not on the same subnet as your IP
address.

AutoConfiguration results. . . . . . : Passed

Default gateway test . . . : Failed
No gateway reachable for this adapter.

NetBT name test. . . . . . : Passed
[WARNING] At least one of the <00> 'WorkStation Service', <03> 'Messenge
r Service', <20> 'WINS' names is missing.
No remote names have been found.

WINS service test. . . . . : Skipped
There are no WINS servers configured for this interface.

Global results:

Domain membership test . . . . . . : Passed

NetBT transports test. . . . . . . : Passed
List of NetBt transports currently configured:
NetBT_Tcpip_{16FA0097-6F53-425C-930E-5FAABC3CDCA7}
1 NetBt transport currently configured.

Autonet address test . . . . . . . : Passed

IP loopback ping test. . . . . . . : Passed

Default gateway test . . . . . . . : Failed

[FATAL] NO GATEWAYS ARE REACHABLE.
You have no connectivity to other network segments.
If you configured the IP protocol manually then
you need to add at least one valid gateway.

NetBT name test. . . . . . . . . . : Passed
[WARNING] You don't have a single interface with the <00> 'WorkStation Servi
ce', <03> 'Messenger Service', <20> 'WINS' names defined.

Winsock test . . . . . . . . . . . : Passed

DNS test . . . . . . . . . . . . . : Passed
PASS - All the DNS entries for DC are registered on DNS server '10.0.0.10'.
[WARNING] The DNS entries for this DC cannot be verified right now on DNS
server xx.xxx.1.1, ERROR_TIMEOUT.

Redir and Browser test . . . . . . : Passed
List of NetBt transports currently bound to the Redir
NetBT_Tcpip_{16FA0097-6F53-425C-930E-5FAABC3CDCA7}
The redir is bound to 1 NetBt transport.

List of NetBt transports currently bound to the browser
NetBT_Tcpip_{16FA0097-6F53-425C-930E-5FAABC3CDCA7}
The browser is bound to 1 NetBt transport.

DC discovery test. . . . . . . . . : Passed

DC list test . . . . . . . . . . . : Passed

Trust relationship test. . . . . . : Skipped

Kerberos test. . . . . . . . . . . : Passed

LDAP test. . . . . . . . . . . . . : Passed


Bindings test. . . . . . . . . . . : Passed

WAN configuration test . . . . . . : Skipped
No active remote access connections.

Modem diagnostics test . . . . . . : Passed

IP Security test . . . . . . . . . : Skipped

Note: run "netsh ipsec dynamic show /?" for more detailed information


The command completed successfully
[/code]


Отсюда выводы:

1. Не работает systemlog. Что это такое, как это вылечить и каким образом оно влияет на GP я с трудом себе представляю.

2. Дефолтовый шлюз вне подсети сервера. Ну и что? Ведь в моем распоряжении только локальные адреса. Нужно ли прописывать адрес моего сервера (10.0.0.10) в шлюзах?

3. DNS вроде пашет. Имена и адреса клиентов прописались.

4. Клиенты подключаются к домену без ругани.

Default Domain Policy применяется почти успешно. Почему почти? Потому что параметры в силу вступают (например, создаюся юзеры только со сложными паролями, как и указано в Default Domain Policy), но RSoP, примененный к journalism.local показывает красные кресты рядом с параметрами которые не Not Defined.

Я в шоке :blink:
Вернуться к началу
shtil
Новый участник
Сообщения: 36
Зарегистрирован: 10 фев 2004, 12:32
Откуда: Кемерово

Сообщение shtil » 27 фев 2004, 11:03

:(
Скачал с сайта МС доку "Troubleshooting Group Policy in Windows 2000". Много думал. Прописал в реестре как написано в доке:

Код
It is possible to generate a diagnostic log to record detailed information about processing of the Group Policy engine. This log is known as Userenv log and is located at:
%windir%\debug\usermode\Userenv.log
To enable Userenv logging:
• Use the following registry key: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
• Set: UserenvDebugLevel = REG_DWORD 0x10002
[/code]


и

Код
Verbose Logging to Event Log
When you turn on the switch for verbose logging, it generates all Group Policy-related events and stores them in the Event Log.
Use the following registry key to start verbose logging:
• HKLM\Software\Microsoft\Windows NT\CurrentVersion\Diagnostics
• Set: RunDiagnosticLoggingGroupPolicy = REGDWORD 1
[/code]


В логе КУЧА ошибок с номерами 1031, 1076, 1067, 1025 и т.д. При попытке узнать побольше получаю:

Код
Приносим извинения
В настоящее время в журналах ошибок и событий, а также в базе знаний нет дополнительных сведений по этому вопросу. Ссылки в разделе ''Поддержка'' позволяют выяснить, есть ли какие-либо сведения по данному вопросу в других источниках.
[/code]


Кроме того, немного изменилсь картин в RSoP:

Код
GPO classroom does not contain any policy information because the version number is 0. Windows will not apply it.
[/code]


Хоть у кого-нибуть была такая проблема???
Вернуться к началу
domovoy
Администратор
Сообщения: 3444
Зарегистрирован: 19 дек 2003, 13:36
Откуда: Москва

Сообщение domovoy » 27 фев 2004, 11:51

shtil
Ну во первых
Цитата
DNS-серверы . . . . . . . . . . . : 10.0.0.10
                                  xx.xxx.1.1
[/quote]

О сколько раз твердили миру .......
В настройках сетевого интерфейса что на контролере что на клиенте как ДНС сервер должен быть прописан ТОЛЬКО контролер домена, единственное на контролере он может быть прописан как 127.0.0.1 и то это обычно если на нем несколько сетевых интерфейсов.

Второе
Цитата

Default Gateway . . . . . . . . . : xx.xxx.1.84
                                            xx.xxx.1.65
[/quote]

Поясни как шлюз для него может находиться в другой подсети или у тебя на нем несколько интерфейсов ?
Тоже в клиенте.

Соответственно netdiag тебе выдает ошибки по конфигурации протокола и шлюза.
В W2k очень многое зависит от правильной настройки DNS, а у тебя тут не все в порядке, так что давай как править это дело.
Правильно заданный вопрос - это уже половина ответа.
Вернуться к началу
shtil
Новый участник
Сообщения: 36
Зарегистрирован: 10 фев 2004, 12:32
Откуда: Кемерово

Сообщение shtil » 27 фев 2004, 12:12

domovoy

1. А как уменя будут разрешаться Интерет-адреса если я уберу ДНС xx.xxx.1.1???? :blink:

2.
Цитата
Поясни как шлюз для него может находиться в другой подсети или у тебя на нем несколько интерфейсов ?
Тоже в клиенте.

[/quote]

На Linux-шлюзе ПЯТЬ интерфейсов: 4 локальных подсетей (10.0.0.0 - 10.3.0.0) + xx.xxx.1.84 - уходит оптоволокном к xx.xxx.1.65 (можно было обойтись одним xx.xxx.1.84). Вполне обычная, на мой взгляд, ситуация. Чего ругаться-то? Ну в другой он подсети... :huh:

Поставил еще дома сервер (без лишних ДНС и шлюзов) - та же ерунда с GP!
Вернуться к началу
След.
Закрыто

Вернуться в Политики безопасности

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 8

Список форумов
Удалить cookies конференции