[ mirzam @ 23.09.2005. 07:55 ] @
| Postoji li nacin da se definisu police za grupe i korisnike, na win 2000 server domeni (Active Directory), ako nisu kreirane OU (organizacione jedinice)? Znaci, postoje korisnici koji su grupisani u odredjene grupe (ali nema kreiranih OU, a koliko sam skont'o iz googlanja, GP se moze primjeniti samo na OU). Kako najbezbolnije rijesiti taj problem? Definisanje polica mi je potrebno, a da mi je da izbjegnem ponovno kreiranje svih korisnika i njihovo smjestanje u OU... Molim savjete i prijedloge. Hvala! |
[ Shadowed @ 23.09.2005. 08:41 ] @
Ne moras da kreiras ponovo korisnike, samo ih ispremestaj u OU.
GP se primenjuju na OU ali mogu se filtrirati po grupama. Sad, nisam duze vreme to radi pa se ne secam napamet klik po klik kako ide ali pokusaj da nadjes filtriranje.
[ mirzam @ 23.09.2005. 09:38 ] @
Probao sam postojece grupe samo da premjestim u OU, i definisao sam police za te OU (unutar kojih su smjestene te postojece grupe). Medjutim, to nije imalo efekta (negdje sam procitao da se police ne primjenjuju na te grupe, odnosno na te OU), tako da jos uvijek nisam nasao adekvatno rjesenje. Pomagajte, drugovi...:)
[ Shadowed @ 23.09.2005. 10:06 ] @
Ono za filtriranje bi trebalo da je u Properties-u za GPO.
Ne stavljas grupe u OU vec user-e.
[Ovu poruku je menjao Shadowed dana 23.09.2005. u 11:08 GMT+1]
[ mirzam @ 23.09.2005. 12:31 ] @
Da, u pravu si... treba stavljati korisnike (usere) u OU i tada je OK. Mislim da je to to, moram jos malo experimentisati. Shadowed, hvala ti.
[ Brutalno dobro @ 23.09.2005. 14:36 ] @
GPO se mogu zakaciti na domen, sajtove i OU, ne samo na OU.. Nemoras da stavljas usere u OU pa za njih da kacis polise (mada je preporucljivo).. mozes da zakacis direktno na domen...
[ mirzam @ 26.09.2005. 06:50 ] @
Ipak ne bih na domen zakacio GPO, jer mi treba filtriranje (razliciti GPO-i za razlicite korisnike), tako da ostaje opcija GPO na OU.:)
Hvala na odgovorima.
[ mirzam @ 29.09.2005. 07:13 ] @
Opet ja i GPO-oi:). Trebao bih da rijesim jedan problem: da li mogu (i ako moze, kako moze) da zabranim preko GPO da korisnici ne mogu mijenjati proxy postavke na Operi, Mozilla Firefox-u i slicno? Za MS Internet Explorer nije problem, to znam da ide, ali kako zabraniti to isto i na gore navednim browserima; postoji li neko rjesenje (a da nije da zabranim skroz pokretanje opere, firefoxa i slicno)?
Pozdrav
[ Shadowed @ 29.09.2005. 10:06 ] @
Nemas ogranicavanje podesavanja za te browser-e. Jedino sto mi pada na pamet je da namestis da se ne snima profil (uvek se resetuje) ali to bas i nije neko resenje.
[ positive0 @ 29.09.2005. 20:37 ] @
Ili mozda da probas da iskopas registry kljuceve za to sto ti treba, pa onda napravis novi gpo template (mislim da ces ovo moci i samo sa administrativnim template-om) .ini file i pustis ga da radi...
samo ideja
poz
[ S_tosha @ 30.09.2005. 10:41 ] @
Ako programi podesavanja uisuju u neke fajlove (*.ini; *.cfg), mozes da podesis programe kako hoces pa config fajlovima da stavis read only za sve usere sem za admina!
[ mirzam @ 30.09.2005. 12:34 ] @
Cini mi se da ideja nije losa, trebam probati; e jedino treba pronaci gdje se ta podesavanja upisuju... Sve u svemu, konstruktivna ideja:)
[ positive0 @ 30.09.2005. 12:59 ] @
Pa znaci imas dva izbora: jedan je da radis direktno sa .reg file-ovima.... (nadjes registry kljuc za to sto ti treba, napravis .reg file po zelji i pustis ga kao skriptu na nivou polise -)...drugi izbor je da editujes direktno polisy template u GPO-u (odes u GPO, npr. u administrative templates, kazes open i vidis gdje ti se nalazi putanja za .inf/adm file-ove....editujes file i voilla...)
uostalom: http://www.windowsecurity.com/...indows-Security-Templates.html
poz
Copyright (C) 2001-2024 by www.elitesecurity.org. All rights reserved.
|