News:

Монстры реальны, и привидения тоже. Они живут внутри нас и иногда побеждают. Стивен Кинг

Main Menu

Как отменить действие «Default Domain Policy» на отдельный контейнер (OU) в Acti

Started by STALKER_SLX, 14 September 2019, 00:25

Previous topic - Next topic

0 Members and 1 Guest are viewing this topic.

STALKER_SLX

Доброго времени суток, уважаемые форумчане!
Достался мне на обслуживание домен, в котором было задействовано аж целых три групповых политики: две из которых монтируют сетевые диски, а все остальные параметры были «напиханы» в «Default Domain Policy».
Появилась необходимость отсадить некоторую часть пользователей и компьютеров в отдельный контейнер (OU), чтобы на них применять иные политики, отличные от текущих.

 Возможно ли временно отменить действие «Default Domain Policy» на отдельный контейнер (OU), где размещены как пользователи, так и компьютеры?!


ival

Я никогда этим вопросом не задавался, но не думаю что можно отлинковать ddp от ou. DDp применяется на домен и распространяется на все объекты домена. Опять же вопрос, в чем смысл? Почему нельзя создать новые политики и вычиститься ddp от мусора?

Уваров А.С.

Quote from: ival on 14 September 2019, 00:45Опять же вопрос, в чем смысл? Почему нельзя создать новые политики и вычиститься ddp от мусора?

Поддержу, лучше вынести все что нужно в отдельные политики, а DDP привести в состояние "по умолчанию".

STALKER_SLX

Quote from: Уваров А.С. on 14 September 2019, 16:48Поддержу, лучше вынести все что нужно в отдельные политики, а DDP привести в состояние "по умолчанию".

Я уже потратил время и разделил «Default Domain Policy» на несколько по принципу: одна функция = одна политика. Таким образом, сейчас «Default Domain Policy» содержит только параметры, относящееся к политике паролей пользователей домена, Kerberos, интервалы применения групповых политик на контроллерах домена и на ПК. Но их нужно ещё оттестировать, прежде чем применять в продакшине.

Поэтому решил сначала опробовать результаты их разделения на отдельно взятом контейнере (OU), отменив действие «Default Domain Policy» (указав на нём «block inheritance»), но что-то у меня не получилось. В связи с этим обстоятельством и решил обратиться к более опытным коллегам.

STALKER_SLX

Долго рылся на просторах сети и в результате выяснилось, что отменить действие «Default Domain Policy» НЕЛЬЗЯ.

Был принят иной вариант.

1. Разделил «Default Domain Policy» на несколько отдельных политик, то есть создал новые политики по принципу: одна политика = одна задача.

2. Сбросил «Default Domain Policy» и «Default Domain Controller Policy» к их дефолтному состоянию:

http://pyatilistnik.org/kak-vosstanovit-obektyi-gruppovoy-politiki-po-umolchaniyu-v-windows-server-2008r2/

3. Применил новосозданные (раздроблённые) политики к нужным OU.

Уваров А.С.

И это правильно. Я вообще предпочитаю не трогать дефолтные политики, а создавать новые, по принципу: одно правило - одна политика.