Почитай в доке главу "Monitoring Group Policy with Log Files". Я лишь включил мониторинг работы Group Policy, которая и до моих действий гнала, но я не мог узнать какие есть ошибки... Теперь могу, но толку в этом мало.
Были сомнения по поводу работоспособности моего дистрибутива 2003...
Скачиваю WinServ2003 Trial с MS. Беру машину с чистым винтом.
Устанавливаю 2003: Регион Russia.
Отказываюсь от скачки дополнений (машина не подключена к инету).
При установке создаю новый раздел и форматирую NTFS.
Установка сети - IP:10.0.0.10/255.255.255.0, DNS:10.0.0.10, Gate:10.0.0.10, DNS suffixfor this connection:journalism.local - практически все как на работе...
Установилась.
Добавляю к Computer Name суффикс journalism.local.
В Local Area Connection Properties убираю Enable IEEE Authentification.
Ставлю DNS: Forvard - journalism.local и Reverse - 10.0.0.x.
Во время установки DNS wizard что-то вякнул по поводу Root Hints, типа, зайдите в эу закладку после установки.
Перезагружаюсь... Все замечательно - в эвентах DNS ни одной ошибки или варнинга. Тачки в локальной сетке прописываются без вопросов.
Ставлю AD: Установка прошла без проблем. В Event Log пара предупреждений - отклучено кэширование записи на диск (ну это естесственно...) и LsaSrv (40960,40961 про Authentification). Ставлю Support Tools. Чищу ВСЕ Event Logg's. Перезагружаюсь.
Самое интересное: dcdiag и netdiag радуют глаз - идеально! Event Log радостно сообщает о победах добра над злом - ни Error'a, ни Warning'a!
Захожу, наконец, в AD Users and Computers. Мой домен journalism.local, как и должно быть, имеет политику Default Domain Policy в которой прописано минимальная длина пароля пользователя:7 и включена проверка сложности пароля (да много чего в этой политике прописано...). Меня это не прикалывает, но Default Domain Policy менять не собираюсь. Делаю:
1. Создаю OU с именем test
2. Навешиваю на OU test GP с именем testGP в которой уменьшил жестокости относительно паролей пользователей.
3. Создаю пользователя assa с простеньким паролем в OU test. Нажимаю Finish, а мне окошко:
Код
Windows cannot set the password for assa because:
The password does not meet the password policy requirements. Check the minimum password length? password complexity and password history requirements.
[/code]
Нах, я ведь всю эту муть изменил в testGP!!! Какого хрена???
Методично начинаю делать следующее: вызываю контекстное меню на объектах journalism.local, Domain Controllers и test All Tasks -> Resultant Set of Plicy (Planning)... Везде красные кресты и полный отстой. Картинку приводил в одном из первых постов...
Дело не в дистрибутиве.
На нашем почтовом сервере кончился ключ для DrWeb. Везде давит МуDoom. Пользователи без нужных политик делают иногда гадости - несмотря на ежедневные проверки антивирусом и работающие везде SpiderGuard и Mail все равно заболела одна машина (вылечил). Server 2000 больше не хочу - на машине есть нужный софт который работает только в XP и 2003.
1. На OU test наследование политик отключил создавая свою?
Если не отключить действует более жесткая то есть дефолтовая доменная.
2. Попробуй изменить дефолтовую политику, проверим, что хоть она применяется нормально.
3. Да попробуй в тестовой OU сделать политику не для пользователя а для компьютора и соответственно пренести туда комп из стандартного контейнера, что бы она к нему применилась.
Правильно заданный вопрос - это уже половина ответа.
1. По правилам должна действовать полтика OU. Без всяких лишних телодвижений. Обязана! Иначе зачем всё это? Повторюсь - все только что установлено (в свойствах Default Domain Policy и Default Domain Controller Policy никаких изменений не делал), делал только то, что оисал в предыдущем посте.
2. Default Domain Policy применяется (нельзя создать моего пользователя...) Вот только в RSoP красные кресты (картинка в первых постах). Изменения в Default Domain Policy вступают в силу не сразу.
3. Да зачем? Проблема возникает еще до создания тестовой OU. Для примера: есть стандартная (и единственная после установки) OU Domain Controllers в которой сидит контроллер. Эта OU имеет свою политику Default Domain Controllers Policy.Та же лажа.
Просто меня удивляет сам факт. Выпущен нерабочий продукт? Руки у меня кривые? В чем дело????
Еще по 3-му: RSoP'ом можно посмотреть результат применения политик без наличия в OU каких-либо объектов. Да и параметры Security Settings (замута с паролями) находятся в ветке Computer Cofiguraion групповой полтитики.
Кстати в Default Domain Controllers Policy включил Remove Run Menu from Start Menu - спустя уже двадцать мин. Run продолжает красоваться на своем месте!
Вчера вечером полазил по саппорту Microsoft с поиском по фразе Policy error Windows 20003 в принципе кое какие статьи выдает с похожими симптомами, ты там смотрел ?
Правильно заданный вопрос - это уже половина ответа.
Certain settings can only be set at the domain level. One example is domain password policies. If an OU lower in the hierarchy links to a GPO with password policy settings, those settings only apply to the local accounts.
[/code]
Вот так! Нефиг!
Возник вопрос, а какие именно settings can only be set at the domain level? Читаем HELP:
Код
For domain accounts, there can be only one account policy. The account policy must be defined in the Default Domain policy and is enforced by the domain controllers that make up the domain. A domain controller always obtains the account policy from the Default Domain Policy Group Policy object, even if there is a different account policy applied to the organizational unit that contains the domain controller. By default, workstations and servers joined to a domain (such as member computers) will also receive the same account policy for their local accounts. However, local account policies can be different from the domain account policy, such as when you define an account policy specifically for the local accounts.
There are two policies in Security Options that also behave like account policies. These are:
Network Access: Allow anonymous SID/NAME translation
Network Security: Force Logoff when Logon Hours expire
[/code]
Теперь все встало на свои места. Account policy из Domain Security Policy нельзя перебить даже GPO с параметром Enforced (No Override).
2. Что за ошибки в Event Log так ине понял, но в "Troubleshooting Group Policy in Microsoft® Windows® Server 2003" про ключи реестра для мониторинга описаны (и их больше, чем в бумажке для 2000), буду разбираться...
3. Приблуда RSoP - сыроватый продукт, недодеманый. Пускает, порой, пыль в глаза со своими красными крестами без нормальных разъяснений...
4. Все settings, кроме указанных выше, работают. Проверил. Проблема была в том, что иногда забывал про gpupdate.
domovoy » 02 мар 2004, 12:35 
откатить это все назад можешь ?