Групповые политики — проектирование наложения безопасных зон IE?

Question

[Goblinoid]

Есть домен — в котором групповыми политиками настраиваются зоны для IE — что бы пользователям сразу приезжали нужные сайты как в местной интрасети, так и в надежные узлы, и сами пользователи их не трогали!

Основные настройки сделаны в default domain policy — на уровне компьютера (computer policy).

Но, некоторым пользователям необходима другая раскладка — и на уровне ou — где эти пользователи сидят — создана политика, которая, во первых, фильтруется через права на политику — в этом ou не всем надо изменение зон, а во вторых, изменения в зонах прописаны на уровне user policy).

но почему-то это не работает! через gpresult видно, что на нужного пользователя применяются нужные политики, но когда смотришь в зоны IE — там только то что приходит с default domain policy. Вопрос — что не так? разве эти политики не суммируются? или они взаимозаменяемые — и политики машины поэтому преобладают! Какое тут решение?

Answer 1

[0000168]

Все просто, у default domain policy выше приоритет. Если домен 2008 повесьте на сайт, но с определенным нацеливанием на пользователей / группу / OU

Если нет, поставьте принудительное применение политики

Answer 2

[Goblinoid]

гхм, может я и ошибаюсь — но ниже:
1) мы говорим не о предпочтениях групповой политики — а об административных шаблонах — зоны можно настраивать и там и там — мне надо в административных шаблонах!
2) Домен 2003
3) Всю жизнь руководствовался правилом: Главная формула применения объектов GPO в доменах Active Directory такова – LSDOU, что означает следующий порядок применения (последние имеют наивысший приоритет):

n локальные политики компьютера (Local Policies);

n групповые политики уровня сайта (Site);

n групповые политики уровня домена (Domain);

n групповые политики уровня организационного подразделения (Organizational Unit).

Получается — что мои OU — имеют преимущество перед default или я чтото путаю?? и пока рою — нашел потрясающий по простоте текст на течнете — доходчиво: technet.microsoft.com/ru-ru/library/hh147307(v=ws.10).aspx
и насколько мне помниться, в 2003 — дефолтные политики в любом случае имеют приоритет только на уровне установок безопасности — то есть — политики паролей в первую очередь — которую нельзя переопределить на уровне OU!

Answer 3

[Андрей Шпак]

Насколько я помню при задаче разных параметров в групповых политиках user\computer всегда выигрывает computer. А с чего вы взяли, что должен происходить merge?

Answer 4

[Goblinoid]

Не во всех параметрах преимущества имеют локальные политики компьютера над пользовательскими! настройка зон IE как раз таки сливается — проверено.
В общем то я нашел проблему! Оказалось, дело не в политике — а в настройках IE на терминальных серверах — только там зоны пользовательские не применяются. На толстых клиентах — все ок, приходят зоны и из OU и из default.
На терминальных серверах это происходит потому, что IE ставился немного неправильно в свое время.
Так что всем спасибо.