Просмотр темы - Политик безопасности. Заблокирована mmc.

[alex_odin Профиль]

Помогите!
В домене была создана группа. Для нее была создана групповая политика безопасности и в ней заблокирована консоль mmc, свойства системы и управление компьютером.
Правило этой дополнительной политики применилось к доменным администраторам.
Делались попытки перегрузки сервера в Restore mode. Ни к чему не приведише.
Как сбросить правило если учесть что есть физический доступ к серверу, возможность локального входа. Перегрузки в "безопасный режим" и прочие - возможны но не желательны.
Пытался править Registry.pol и gpt.ini в C:\WINDOWS\sysvol\domain\Policies\
как рименить не перегружая.

Заранее благодарен.

[domovoy]

[alex_odin Профиль]

создал именно группу "Оффис3".
в группу входит один пользователь.
Администраторов в этой группе не было.
В глобальных политиках безопасности создал дополнительную политику, у которой указал что она распространяется только на "Оффис3"
у этой политики правил административные шаблоны и право на mmc.
Проверял на введенном пользователе с другого компа. Всё было Ок. Но когда на этом компе закрыл окошко mmc, окзалось что она применилась и на меня - то бишь администратора домена и на всех администраторов домена.
Такое чувство что это была не дополнительная политика а default... Но ведь точно помню что имеено дополнительную. Может надо было ставить запрет в политике для чтения администраторами домена... не знаю, пока это не суть важно.
netlogon - не помогает.
за пол дня ситуация не изменилась...

[Valeriy Профиль]

alex_odin
Cам лично не проверял, но можно попробовать следующее.
Поскольку групповая политика в отношении консили базируется на внесении изменений в реестре, то:
1.открой редактор реестра
2.дай себеразрешение на соотвю ветку реестра.Например HKEY_CURRENT_USER\Software\Policies\Microsoft\MMC
3.измени значение нужного параметра.
4. открой консоль и внеси все нужные изменения.

[alex_odin Профиль]

после того как поправил фалы описанные ранне и уже физически перегрузив сервер, (дождался обеда) всё заработало! Всем спасибо за внимание.

[domovoy]

alex_odin
Все понятно ты применил дополнительную политику на весь домен, нда .
Имхо ищи на support.microsoft.com статью по востановлению sysvol (b соответственно политик в исходное состояние) в принципе каджая политика создает с папке sysvol соответствующую себе папку политики попробуй удалить папку дополнительной политики из sysvol на контролере (всех) домена, может понадобится перезагрузка или рестарт сервиса netlogon для того что бы политики применились заново.

[Valeriy Профиль]

[alex_odin Профиль]

Нашёл в чем был весь выр-бор. теперь буду точнее в формулировках и описаниях, ибо могу подсмотреть на серваке, а ранее только по памяти в связи с чем могли присутствовать определенные опечатки.
Пользуясь Group Policy Management создал в лесу домена GPO "gpo_office3"
отредактировал её - конфигурация пользователя-административные шаблоны-windows components-microsoft management console
-restrict the user from entering author mode - включил
-restrict users to the explicitly permitted list of snap-ins - включил

а вот в Group Policy Management - Security Filtering указал нужную мне группу для применения этой политики - "office3". Не знаю как но туда попала еще и группа "Прошедшие проверку"... может сама дописалась, может я неуследил. Вот собственно и всё - сам себя обманул.

[alex_odin Профиль]

кстати, я же в той политике и regedit отрубил... потому по-любому пришлось бы делать перезагруз - в реестр меня бы не пустило и разрешений на ветку я бы не смог себе дать...

[Marat Профиль]

вся беда в файле Msxml3.dll

нужно перерегистрировать этот файл следующим образом:

Start - > Run -> cmd -> OK
выполнить команду "regsvr32 C:\Windows\system32\msxml3.dll"
(Windows - папка куда установлена система).