тип того - так нечем перебивать уже действующую локально. Но лучше подобные специфические вещи делать отдельными политиками, DDP - только конфигурить, то, что там есть. Собирать все в 1 политику, тем более уводить от дефолтного значения - без документирования всех изменений, вы очень быстро закопаетесь.
Можете проверить, что у вас в DDP настроено на параметре gpedit.msc -> Конфигурация компьютера -> Конфигурация Windows -> Параметры безопасности -> Политики ограниченного использования программ - по дефолту в политике вообще это не настроено, тогда, если вы включали это какой-либо отдельной политикой - то значение перебьется только новым явным указанием параметра. Это в преференсах есть настройка - не применять, если политика больше не применяется - в самих политиках нет.
User Settings - применяются к объектам "Пользователь", Computer Settings - применяются к объектам "Компьютер". Т.е. в вашем случае она и не должна применятся на пользователя. В OU на которой вешаете политику должен лежать компьютер, а не юзер.
Настройка политики в какой части проходила, computer settings или user settings? Что в security filtering, что в delegation. На станции запустите gpupdate /force, после этого проверьте. Что выдает echo %logonserver% с рабочей машинки - имя вашего контроллера?
Кстати, вы пытались запустить установку из сетевой шары, попробуйте скопировать локально - проблема остается? Либо это только из сетевой шары не дает ставить?
spikejke, у вас сейчас нет примененных политик (даже DDP), соответсвенно на машине политики работают те, которые были созданы при последнем применнии. Вам нужна как минимум DDP в домене, прикрученная к корню - тогда у вас будет понятная конфигурацияв плане политик, формирующаяся из DDP. Остальные политики уже будут кастомизировать вашу дефолтную для определенных ou/юзеров/машин. Домен то и нужен для централизованного распространения политик в первую очередь, дальше уже управление юзерами и т.п.
Время применения политик, без доп. ручных действий - 90 мин + до 30 мин для окна применения. Т.е. максимум через 2 часа у вас обновятся политики после проведенных изменений. Можно пушить политики со стороны сервера, можно обновлять с клиента с помощью gpupdate /force. Так же ряд политик применяется только после релогина/ребута системы. Есть некоторые интересные параметры, которые только после 2-ух ребутов применяются - но это уже экзотика.
Если у вас больше 1 контроллера - могут быть проблемы, в случае проблем с репликацией между контроллерами. Контроль репликации - repadmin (утилита cmd), детальная диагностика - dcdiag.
Charrus, локальные сбои - это всегда головная боль. Потому хорошо иметь SCCM или WDS с единым образом, и переразворот, в случае релаьных проблем на конкретной машине. Если время позволяет - можно поковырятся во внутренностях, можно для себя вынести довольно много полезных моментов, которые происходят в фоне, но зачастую - это частные случаи, которые на старте карьеры дают неоценимый опыт, а с определенного момента развития становятся нерациональной тратой времени. А локальный юзер с правами локал админа - это главный враг админа))
В любом случае хорошо, что мой комент принес пользу, и вы смогли разобраться с проблемой)
Mohn, со стороны Firewall'а и рубите доступы. В Керио проблем не было подружить с AD, и резать по юзерам или группам. Или у вас стендбайный терминальник с локальными юзерами?
Иван Елисеев, с контроллера я хотел немного не то - запустите mmc, и добавьте оснастку Resultant Set of Policy (по русски дословно не помню как пишется), и сделайте отчет по политикам для проблемного компа (к примеру вашего).
Иван Елисеев, похоже все таки на отсутсвие доступа к sysvol. dcdiag - показывает какие ошибки? В security папки политик есть authentificated users (прошедшие проверку)?
Когда залогинены на доменную машинку под тестовы пользователем, что вам показывает gpresult /r /scope user.
У вас нет списка политик ни в примененных, ни в не примененных?
АртемЪ, То, что вам показывает 2ip.ru это и есть ваш белый ip
В корне неверное утверждение - вы хотите сказать, что 2ip.ru - это не белый адрес?))) Или вы к слову "ваш" решили придраться?)) Ну так если провайдер вам выдаст белый адрес - он все равно "вашим" не станет, он будет арендован вами.
Да, если он спрятан за натом, адрес, выданный провайдером, и адрес, через который происходит подключение из сети провайдера к интернету будет отличаться - но при обращении за статикой, ЛЮБОЙ провайдер задает вопрос зачем это нужно, и ПРЕДОСТАВЛЯЕТ БЕЛЫЙ АДРЕС непосредственно вашему устройству.
И да,Свой IP адрес надо смотреть не на 2ip.ru, а на том устройстве, куда подключен кабель провайдера.
Например в админке роутера. - В корне неверне утверждение! Как показывает практика, в большинстве регинов провайдеры отдают СВОИ модемы/роутеры настроенные в бридж, и кабель провайдера втыкается в это устройство - расскажите, как вы там будете смотреть выданный вам адрес?