Как я отклоняю основанную на пользователе Групповую политику для определенного компьютера?
Я не OCM или что-либо, но я не могу предположить, что RAID 5 считали бы лучшей практикой. В моей компании мы не используем RAID 5 ни для чего больше из-за суммы времен, эти массивы разлагаются с большими дисками, которые выходили на рынок. При использовании меньших дисков SAS, например, Вы смогли выходить сухим из воды, хотя, но я сказал бы RAID 10 по крайней мере.
Можно хотеть проверить эту ссылку: http://blogs.zdnet.com/storage/?p=483 там является многими другими как он онлайн также говорящий об использовании RAID 10 вместо RAID 5. Снова, в моей компании, когда мы развертываем клиенты Oracle, нам будут обычно разбивать большие наборы RAID 10 из 14-22 дисков в зависимости от того, какие аппаратные средства мы используем. Определенная конфигурация для этого, я не уверен хотя, потому что я нахожусь на стороне Windows вещей, где мы также используем RAID 10 почти исключительно.
Не абсолютно уверенный, чей ответ является правильным в этой точке, поскольку это был мой собственный отказ для того, чтобы иметь Пользовательскую политику в корневом OU, относящемся ко всем пользователям и компьютерным объектам. Я думаю, что умная комбинация конфигурации Фильтрации и Наследования/Приоритета безопасности, возможно, работала вокруг этого, если у меня было больше времени для тестирования, но реальная фиксация должна была переместить GPO из корня так, чтобы это больше не вмешивалось в политики и петлевую обработку на специальных компьютерах OU.
-
1Хорошее предположение, Evan.:) Но я на самом деле настроил мой "запрещать" политику к правильно "перенаправлению к локальному профилю пользователя", как Вы предположили. Я думаю, что еще одна проблема с моей конфигурацией была то, что мне также установили ту политику для "перемещения содержания в новое местоположение", которое - через VPN на очень медленном соединении DSL - было очень неблагоразумно! Это, вероятно, объяснило бы, что некоторый вход в систему зависает, я упомянул в своем исходном запросе. Я с тех пор отключил ту установку. – Matthew Flook 21 October 2010 в 20:31
Ваш комментарий, что корневая политика выигрывает у Вашего теста GPO, это - проблема приоритета GPO. Необходимо переключить приоритет или установить GPO, который будет осуществлен. Сделать это: в дереве, перечисляющем слева в GPMC, выбирают OU, где Ваша политика связана, это отобразит справа порядок очередности для Вашего GPOS, который может быть отредактирован.
Примените политику в отношении этих двух машин для принуждения только локальных профилей. Можно найти политику здесь: Компьютерный Configuration\Administrative Templates\System\Logon\Only позволяет профили локального пользователя
Я не совсем положителен, что это будет работать - более справедливая теория, но разве Вы не могли использовать Фильтрацию безопасности GPO для этого?
GPO связан с Пользователями OU, и безопасность, Фильтрующая по умолчанию, относится ко всем Аутентифицируемым Пользователям. Так любой Аутентифицируемый Пользователь в Пользователях OU обратится к этому GPO их.
Для расширения безопасности, Фильтрующей немного далее, Вы могли создать группу безопасности (давайте назовем ее Альфой Группы) для всех компьютеров, к которым Вы хотите политику относиться и сделать весь из Вашего, как Вы выразились, постоянные системные члены Альфы Группы, за исключением этих двух "специальных" систем. Затем измените свой GPO путем добавления Альфы Группы к Фильтру защиты.
Снова, просто мысль - но в теории, которая заставила бы Ваш GPO только относиться к Аутентифицируемым Пользователям в Пользователях OU использование компьютеров, которые являются членами Альфы Группы.
Конечно, я мог полностью неправильно истолковывать, как Фильтр защиты работает, таким образом, необходимо будет экспериментировать.:-) И даже если это действительно работает, необходимо будет удостовериться все системы, что Вы хотите эту политику, относятся, участники Альфа-продвижения Группы.
Вот альтернативное предложение, так как вышеупомянутое не работало:
Действительно ли возможно применить этот GPO к компьютерам сам? Если так, Вы могли дать предложению Evan попытку и поместить компьютеры, которые Вы хотите освобожденный от перенаправления в их собственный OU и блокирующегося наследования на этом OU. Немного броский, но мог бы работать.
У меня был похожий вопрос с политикой, разработанной для запуска программы, перспективы, при входе в систему. У меня был включен цикл обратной связи, так как политика была установлена на компьютер или я поместил ее в раздел comp\adminT\system и установил разрешение запрета применения gpo для группы администраторов. Это не сработает. Я подменил ее и сделал user\adminT\system, и она обрабатывалась в точности так, как и ожидалось.
.