katerina073

Здравствуйте, форумчане!
Проблема возникла с Active Directory на Windows Server 2008 R2:

Поднят тестовый контроллер домена test.company.ti, заведено несколько пользователей Administarator - хозяин домена, admin - Администратор домена и user - пользователь домена. Есть рабочая станция на Windows XP SP2, заведена в домен. Создана групповая политика, связанная с доменом test.company.ti, но эта политика не применяется к пользователям.

Грубо говоря, пользователю запрещено редактировать реестр (к примеру), но заходя на Xp в домен test, пользователь user имеет возможность не только открыть реестр, но и редактировать его.

команда gpupdate /force (и без ключа и с ключами /boot, /logoff) применялась как на контроллере, так и на самой станции, не помогает

результаты команды gpresult на Xp (пол-ли user, admin, administartor): Сведения: объект политики не существует

на 2008 R2: administrator, admin выводит информацию о пользователях, а к user: Пользователь "user" не имеет данных RSOP.

Sid компьютера меняла несколько раз (при этом выводила из домена, меняла и заводила обратно в домен), даже ОС переустонавливала и в домен заводила на стадии установки Xp, но ничего не помогает. В интернете уже по несколько раз читала и пробовала все, что советовали, но ничего не помогает. Уже не знаю, куда и копать и где проблема.

Самое интересное, что все делалось точно по документации (и не одной), шаг за шагом, так что вы последняя моя надежда .

Max

Изначально, на мой взгляд, косяк в этом:
Быть может имеет смысл обновить до SP3? Даже в домене многое зависит от клиентской ОСи.

Также не исключено, что это могут быть "кривые" дрова на сетевую карту и следует выставить ожидание сети перед входом в систему.
Файрволы на сервере и на клиентских ПК отключены? Security templates на сервере не применялись?

__________________
Не задавай вопросов, если не знаешь, что делать с ответом.

katerina073

Возможно, накачу, отпишу по этому поводу

Но ведь по admin'у он выдает инф-цию
"всегда ожидать инициализацию сети при загрузке и входе" включна
да

нет

Max

Ну тогда ждем результата установки пакета обновления для ХР.

__________________
Не задавай вопросов, если не знаешь, что делать с ответом.

katerina073

не помогло обновление ((

сейчас ситуация такая: политики применились только к пользователю administrator на самом контроллере . если я захожу на xp под administrator'ом, ничего не меняется. и если я захожу на контроллер под admin'ом, то также ничего не изменилось, и gpresult выдает: примененные объекты групповой политики: Н/Д, хотя дефолтная политика связана со всем доменом. какая то прям чертовщина

Max

Можете поэтапно описать, как вы поднимали домен (желательно со всеми деталями)?

__________________
Не задавай вопросов, если не знаешь, что делать с ответом.

katerina073

попробую, что-то уже забыла.

1. диспетчер сервера - роли - новая роль - доменные службы AD - перезагрузка
2. dcpromo - новый домен в новом лесу (test.ugsha.ti) - перезагр
3. создание подразделения test - создание пользователей admin (администратор домена), user (пользователь домена)
4. заведена в домен машина на Xp (только установлена ОС), зашла под admin и user для пробы
5. управление групп политикой - обекты ГП - создать - polic
6. polic - изменить - конфигур пользователя - политики -... - запретить доступ к средствам редактирования реестра
7. test - связать - polic
8. gpupdate /force

все это вкраце, многое делала по нескольку раз, с разными пользователями, все и не упомнишь

Max

- При настройке в окне Set Forest Functional Level выбрана опция Windows Server 2008 R2 или Windows Server 2003?
Просто по умолчанию при настройке службы AD изначально стоит Windows Server 2003.
- При настройки AD была установлена служба DNS?

__________________
Не задавай вопросов, если не знаешь, что делать с ответом.

katerina073

при установке AD запросила в каком режиме ставить, был выбран 2008 R2


да, правда в ней толком не разбиралась

Hirurg

а Вы уверены что Вы привязали пользователя к политики?