Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Windows Server 2008/2008 R2 (http://forum.oszone.net/forumdisplay.php?f=97)
-   -   [решено] Как заставить ГП применяться при выполнении условий одновременно? (http://forum.oszone.net/showthread.php?t=278351)

James Marsh 25-02-2014 18:36 2315558
Как заставить ГП применяться при выполнении условий одновременно?
 
Вложений: 1
  • gp.png (7.20 KB, скачиваний: 22)
Доброго времени суток!

Подскажите, пожалуйста, если в ГП в фильтрах безопасности выбрать несколько условий, то по какому принципу оно обрабатывается: логическое "И" или "ИЛИ"?

Заранее спасибо.

И как сделать так, что бы политика срабатывала только при выполнении нескольких фильтров?

cameron 25-02-2014 21:32 2315666
select where _bla_bla_ OR _bla_bla
select where _bla_bla_ AND _bla_bla
select where LIKE _bla_bla_
and so on =)
в общем то это в документации описано.

про картинку что-то непоняла.

James Marsh 25-02-2014 21:54 2315680
нееее... видимо не правильно вопрос поставил.

Исходные данные - домен, 3 терминальных сервера.
На кажом сервере крутится по 5-10 баз 1с 77 различных самописных конфигураций для обеспечения бизнес-процесса.
Есть пользователи в домене, которые по рдп подключаются к серверам и работают с этими базами.
Доступ к базам прописан на уровне доступа к каталогам по группам безопасности + скриптом через реестр пишутся требуемые базы в список баз в 1с.

В связи с тем, что некоторым людям нужен доступ в различные базы на всех 3 серверах, хотел с помощью фильтра применения групповых политик ограничить применение каждой политики определенным сервером. Что и показано на картинке (вырезка с оснастки управления групповой политикой).

Т.е. логика такова: политика срабатывает у пользователя при условии, что пользователь является членом определенной группы И применяется только на определенном (указанном) сервере.

Воть. Но в результате тестов обнаружено, что политика выполняется на все серверах.

cameron 25-02-2014 22:37 2315697
Цитата:
Цитата James Marsh
Т.е. логика такова: политика срабатывает у пользователя при условии, что пользователь является членом определенной группы И применяется только на определенном (указанном) сервере. »
для этого нужно WMI использовать.
Цитата:
Цитата James Marsh
В связи с тем, что некоторым людям нужен доступ в различные базы на всех 3 серверах, хотел с помощью фильтра применения групповых политик ограничить применение каждой политики определенным сервером. Что и показано на картинке (вырезка с оснастки управления групповой политикой). »
а это, судя по всему, проще сделать через GPP в нацеливанием.
То что вы хотите использовать (security filtering) - не подходит для решения задачи.

James Marsh 25-02-2014 23:15 2315717
Цитата:
Цитата cameron
для этого нужно WMI использовать. »
а ткните, пожалуйста, где почитать про этого зверя.

Цитата:
Цитата cameron
а это, судя по всему, проще сделать через GPP в нацеливанием. »
пардон?

Когда было 2 сервера, то в самом логон скрипте писал констркцию
Код:
if %comptername% == %не_тот_сервер_шо_надо% goto QW
....
:QW
и все прекрасно работало.
Как появился третий сервер - получился затык.
Я даж не знаю, мож другую конструкцию в логон-скрипте ваять, по типу:
Код:

if %comptername% == %нужный_сервер% then .... else exit
???
надо почитать про if..then...else в cmd на досуге...

cameron 26-02-2014 08:08 2315812
Цитата:
Цитата James Marsh
а ткните, пожалуйста, где почитать про этого зверя. »
google -> using Group Policy WMI filters
Цитата:
Цитата James Marsh
пардон? »
что именно делает ваш логон скрипт?

Iska 26-02-2014 08:47 2315827
Цитата:
Цитата James Marsh
Я даж не знаю, мож другую конструкцию в логон-скрипте ваять, по типу: »
читать дальше »
Код:
@echo off
setlocal enableextensions enabledelayedexpansion

if /i "%CompterName%" equ "Server01" (
        rem Enter code for Server01 here
        rem Enter code for Server01 here
) else (
        if /i "%CompterName%" equ "Server02" (
                rem Enter code for Server02 here
                rem Enter code for Server02 here
        ) else (
                if /i "%CompterName%" equ "Server03" (
                        rem Enter code for Server03 here
                        rem Enter code for Server03 here
                ) else (
                        rem Enter code for non-server here
                        rem Enter code for non-server here
                )
        )
)
endlocal
exit /b 0

WindowsNT 26-02-2014 19:39 2316222
Цитата:
Цитата cameron
для этого нужно WMI использовать. »
GPP Targeting поддерживает и проверку членства в группах, и проверку названия машины, и булевы функции.

cameron 26-02-2014 22:26 2316310
Цитата:
Цитата WindowsNT
GPP Targeting поддерживает и проверку членства в группах, и проверку названия машины, и булевы функции. »
спасибо, я знаю ;)
вопрос лишь в том, что GPP это далеко не весь ГПО.
а так как ТС умалчивает что именно делает его логон-скрипт, то не ясно что нам делать дальше.

James Marsh 26-02-2014 23:33 2316353
Салют всем!
Цитата:
Цитата cameron
так как ТС умалчивает что именно делает его логон-скрипт »
ну как бы написано выше: :)
Цитата:
Цитата James Marsh
скриптом через реестр пишутся требуемые базы в список баз в 1с »
Сам скрипт простой, как угол дома:
Код:
regedit.exe /S \\POTOLOK\\_scripts\operdb\operdb.reg
.reg файл тоже не блещет изысками:
Код:
Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\1C\1Cv7\7.7\Titles]
"d:\\1c_DB\\%Каталог_1%\\"="%Имя_1%"
"d:\\1c_DB\\%Каталог_2%\\"="%Имя_2%"
"d:\\1c_DB\\%Каталог_3%\\"="%Имя_3%"
Цитата:
Цитата cameron
не ясно что нам делать дальше »
Ну на данный момент, благодаря конструкции уважаемого Iska, в сообщении нумер 7(таки счастливое сообщение для мну :) ), то тему можно отмечать решенной.

Всем огромное спасибо за помощь и кучу новых слов, про которые надо будет почитать на досуге.

cameron 27-02-2014 07:52 2316493
вот для таких скриптов и нужно GPP с нацеливанием.


Время: 20:34.

Время: 20:34.
© OSzone.net 2001-