15 Сентябрь 2019, 21:38

Цитата дня:

UNIX не предназначен для ограждения своих пользователей от глупостей, поскольку это оградило бы их и от умных вещей. Дуг Гвин


Как отменить действие «Default Domain Policy» на отдельный контейнер (OU) в Acti

Автор STALKER_SLX, 14 Сентябрь 2019, 00:25

« предыдущая тема - следующая тема »

0 Пользователей и 1 Гость просматривают эту тему.

Вниз

STALKER_SLX

Доброго времени суток, уважаемые форумчане!
Достался мне на обслуживание домен, в котором было задействовано аж целых три групповых политики: две из которых монтируют сетевые диски, а все остальные параметры были «напиханы» в «Default Domain Policy».
Появилась необходимость отсадить некоторую часть пользователей и компьютеров в отдельный контейнер (OU), чтобы на них применять иные политики, отличные от текущих.

 Возможно ли временно отменить действие «Default Domain Policy» на отдельный контейнер (OU), где размещены как пользователи, так и компьютеры?!


ival

Я никогда этим вопросом не задавался, но не думаю что можно отлинковать ddp от ou. DDp применяется на домен и распространяется на все объекты домена. Опять же вопрос, в чем смысл? Почему нельзя создать новые политики и вычиститься ddp от мусора?

Уваров А.С.

Опять же вопрос, в чем смысл? Почему нельзя создать новые политики и вычиститься ddp от мусора?
Поддержу, лучше вынести все что нужно в отдельные политики, а DDP привести в состояние "по умолчанию".

STALKER_SLX

Поддержу, лучше вынести все что нужно в отдельные политики, а DDP привести в состояние "по умолчанию".
Я уже потратил время и разделил «Default Domain Policy» на несколько по принципу: одна функция = одна политика. Таким образом, сейчас «Default Domain Policy» содержит только параметры, относящееся к политике паролей пользователей домена, Kerberos, интервалы применения групповых политик на контроллерах домена и на ПК. Но их нужно ещё оттестировать, прежде чем применять в продакшине.

Поэтому решил сначала опробовать результаты их разделения на отдельно взятом контейнере (OU), отменив действие «Default Domain Policy» (указав на нём «block inheritance»), но что-то у меня не получилось. В связи с этим обстоятельством и решил обратиться к более опытным коллегам.

Вверх