| ZEvS-master |
12-05-2014 13:56 2350363 |
Не отменяется политика запрета на флэшки.
Добрый день!
Имеется домен Winsows Server 2008 R2. Находится в первой подсети 192.168.1.0. Активирована политика запрета доступа к USB носителям. (Компьютер - Административные шаблоны - система - Доступ к съёмным запоминающим устройствам.) Применено на группу Domain Computers.
Есть другая группа, которая прописана в безопасности к политике на запрет выполнения этой политики.
Добавляю комп в эту группу и после ребута политика успешно отменяется в первой подсети. А вот во второй 192.168.2.0, третьей 192.168.3.0 и тд не хочет отменяться.
С остальными политиками проблем нет. Ума не приложу, что делать...
|
Надо не эту политику запрещать, а делать противополитику, которая разрешает USB. И разрешить считывать её и применять тем, кому нужно.
|
| ZEvS-master |
12-05-2014 14:25 2350380 |
Недавно только делал обратную политику. Не помогает.
Да и к тому же, в первой подсети всё нормально отменяется.
|
| ZEvS-master |
13-05-2014 09:03 2350691 |
Ну что, ни у кого мыслей по этому вопросу нет?
|
| volodija@vk |
14-05-2014 10:21 2351238 |
Как запасной вариант поставить каспера на раб.станции и запретить доступ к USB либо сторонним софтом, ну или доводи до конца свой случай.
Может загадка кроется в очереди групп? одна политика имеет высший приоритет,чем другая, и соответственно перекрывает её, у ильи рудя есть доклад на эту тему, попробуй свою политику на запрет USB применить не к одной группе, а к домену вообще.
|
| ZEvS-master |
14-05-2014 12:44 2351274 |
Вообще что-то странное творится: отключил эту политику совсем. GPRESULT показывает, что её нет на машине, а RSOP показывает что есть. Комп естественно перезагружал. Теперь эта политика и не отменяется вовсе.
|
Ну раз вы всё делали правильно, должно работать. Если неправильно, но настаиваете, что правильно — что ж, мы этого не видим, никаких подтверждений нет.
|
| ZEvS-master |
15-05-2014 09:38 2351680 |
А какие подтверждения я могу привести? Я же описал как сделано..
Кстати, в отчёте GPRESULT есть некоторая запись :
читать дальше »
Состояние компонента
Имя компонента
Состояние
Время последней обработки
Инфраструктура групповой политики Успешно 14.05.2014 12:29:57
Group Policy Local Users and Groups Успешно 14.05.2014 12:29:42
Group Policy Registry Успешно 14.05.2014 12:29:55
Scripts Успешно 14.05.2014 12:29:47
Security Успешно 14.05.2014 12:29:55
Software Installation В ожидании 14.05.2014 12:29:57
Software Installation не удалось завершить обработку политики, так как для применения параметров требуется перезагрузка системы. Попытка применить эти параметры групповой политики будет выполнена при следующей перезагрузке компьютера.
Возможно, в журнал были записаны дополнительные сведения. Откройте в журнале событий консоли или приложений вкладку событий политики и просмотрите события, записанные с 14.05.2014 12:29:55 по 14.05.2014 12:29:57.
Wireless Group Policy Успешно 14.05.2014 12:29:40
Реестр Неудачно 14.05.2014 12:29:40
Реестр не удалось выполнить из-за указанной ниже ошибки.
Неопознанная ошибка
Может быть какой-то трабл с реестром? |
Можете хотя бы скриншоты показать, как политики стыкуются.
|
| ZEvS-master |
16-05-2014 09:37 2352010 |
А что именно заскринить? Оснастку GPO?
|
Хотя бы. Чтобы видеть, какая политика куда пристыкована. И из этой же оснастки скрин GPResult проблемной машины.
|
| ZEvS-master |
20-05-2014 09:52 2353446 |
Убрал совсем эту политику, вроде всё восстановилось. Попробую создать заново.
Вопрос: получается нельзя организовать исключение из этой политики группой?
Политика применяется на компьютер, есть специальная группа, в которую входят компы, на которых политика не должна применяться. Разве нельзя в разрешениях политики прописать запрет применения на эту группу?
|
Можно, но следует учесть, что членство в группе вступает в силу не мгновенно.
Также нужно учесть порядок стыковки политик, чтобы не было, что усб сначала разрешается для группы, а потом поверху перекрывается запретом для всех.
|
Время: 20:43.
© OSzone.net 2001-
