登录
Microsoft.com
 
Microsoft
 
 
 

none
域控制器策略问题 RRS feed

 > 

  • 问题

  • Question
    登录进行投票
    0
    登录进行投票

    主域上下发的策略,default domain policy 上链接的策略, 设定了除CDE盘符可以访问外,其它盘符都不能访问,但是我想在辅域控制器上可以访问.如何做呢.

    此策略一下发,辅域上的F盘符以后的盘符都不能访问了.

    2013年6月21日 6:37
    |

答案

  • Question
    登录进行投票
    0
    登录进行投票

    新建一条Group Policy,链接到整个Domain(这样就类似于原有的default domain policy作用域),并且设置该GPC(sysvol下那条policy GUID文件夹)的NTFS权限,拒绝你不希望Apply到的那台DC

    原理上,跟GPMC的Security filtering应该是一致的,如果你有GPMC,可以直接用它来配置,不必手动改NTFS权限

    Security filtering using GPMC
    http://technet.microsoft.com/en-us/library/cc781988(v=ws.10).aspx

    Technical problem is never a problem.


    2013年6月21日 6:58
    |

全部回复

  • Question
    登录进行投票
    0
    登录进行投票

    新建一条Group Policy,链接到整个Domain(这样就类似于原有的default domain policy作用域),并且设置该GPC(sysvol下那条policy GUID文件夹)的NTFS权限,拒绝你不希望Apply到的那台DC

    原理上,跟GPMC的Security filtering应该是一致的,如果你有GPMC,可以直接用它来配置,不必手动改NTFS权限

    Security filtering using GPMC
    http://technet.microsoft.com/en-us/library/cc781988(v=ws.10).aspx

    Technical problem is never a problem.


    2013年6月21日 6:58
    |
  • Question
    登录进行投票
    0
    登录进行投票

    1. 在域控制器OU下另開一個副OU, 把不想受限的電腦放進去

    2. 把Default Domain Policy 裡有關的設定取消

    3. 新建一條GPO在Default Domain Policy層級, 把限制CDE盤的設定搞好

    4. 再來如果你一整個OU都不想套用上層所有的策略, 可以選擇 不承繼..

    5. 如果你只想某個策略不生效, 可以把連繫解除

    邊幫助, 邊鍛鍊

    2013年6月21日 6:58
    |
  • Question
    登录进行投票
    0
    登录进行投票
    新建组织单元,这样只能针对组织单元里面的用户操作吧.
    2013年6月21日 7:24
    |
  • Question
    登录进行投票
    0
    登录进行投票

    楼上,先谢谢你的答复.

    我还是有点不太明白.    

    2013年6月21日 7:29
    |
  • Question
    登录进行投票
    0
    登录进行投票
    新建组织单元,这样只能针对组织单元里面的用户操作吧.

    By Default:

    If (a Group Ploicy applied to an OU, which includes Computer and User Objects)

    Then {

      Computer Settings within this Group Policy will apply to all the Computer Objects inside this OU;

      User Settings within this Group Policy will apply to all the User Objects inside this OU;

    }

    Technical problem is never a problem.


    • 已编辑 Finy 2013年6月21日 7:33 add text
    2013年6月21日 7:31
    |
  • Question
    登录进行投票
    0
    登录进行投票

    我可不可以这样呢,  c:/windows/SYSVOL/sysvol/当前域/Policies/   这里有两条一串数字的,   第一条应该是对应Default Domain Controllers Policy

    第二条应该是对应Default Domain Policy       根据你的说法,  我链接的策略是Default Domain Policy  在这里我怎么调NTFS文件的权限??

    2013年6月21日 7:37
    |
  • Question
    登录进行投票
    0
    登录进行投票

    我可不可以这样呢,  c:/windows/SYSVOL/sysvol/当前域/Policies/   这里有两条一串数字的,   第一条应该是对应Default Domain Controllers Policy

    第二条应该是对应Default Domain Policy       根据你的说法,  我链接的策略是Default Domain Policy  在这里我怎么调NTFS文件的权限??

    1. 确立哪一条是你配置了规则的策略(强烈不建议你直接用系统自带的那两条策略!而应该新建一条专门的策略,里面只做你那感兴趣的一项设置)

    2. 对这条策略的文件夹,NTFS里Deny你不需要Apply到的Computer的Object

    Technical problem is never a problem.

    2013年6月21日 8:11
    |
  • Question
    登录进行投票
    0
    登录进行投票
    新建组织单元,这样只能针对组织单元里面的用户操作吧.

    OU包含的可以是電腦, 也可以是使用者噢...

    如果用NTFS方式進行阻擋, 往後要追查設定就會變得困難了

    邊幫助, 邊鍛鍊

    2013年6月21日 8:35
    |
  • Question
    登录进行投票
    0
    登录进行投票
    因为我设置了一条策略,不允许公司域内所有电脑访问F盘以后的所有盘符, 公司保密要求,但是文件共享服务器在辅域上面,  辅域上面我要的G盘我要进去调共享权限, 但是限制, 本次操作由于这台计算机的限制而被取消,请与您的管理员联系.  我生效的策略是Default Domain Policy
    2013年6月21日 8:38
    |
  • Question
    登录进行投票
    0
    登录进行投票

    帮我解决一下这个问题.

    我不知道怎么操作.

    主域上我查看了computers容器,可是里面没有辅域的计算机啊.       主域是slave.com 辅域是master.com

    2013年6月21日 8:57
    |