שלום,
טוב, אז מי שמכיר את הנושא בוודאי כבר הבין שאני מדבר על group policy.
קיימת הנחת יסוד מאוד פשוטה (יכול להיות שגם שגויה), שהGPO האחרון שרץ, הוא המנצח במקרה של התנגשות.

נשאלת השאלה מה קורה במידה ויש התגשות בין GPO של מחשב, לGPO של יוזר. אני יודע שמבחינת הגדרות, הסיכוי שזה יקרה הוא קלוש, אבל הוא קיים.
לצורך העניין, הGPO של המחשב נטען ראשון והוא חל עוד לפני שהיוזר מבצע לוגין. לאחר שהיוזר מבצע לוגין חל גם הGPO של היוזר. כך שבעצם הGPO של היוזר הוא המנצח במצב של התנגשות בין מחשב למשתמש.

אך האם זה באמת כך? האם נכון להגיד על כל המיקרים, שהGPO של היוזר תמיד ינצח?

אני אודה למי שיוכל להפנות אותי למאמר מקצועי (ממוקד) באותו נושא, או שפשוט יכתוב תשובה מדויקת וממצה.

תודה רבה, מחכה בקוצר רוח לתשובה...

http://www.microsoft.com/resources/...7.mspx?mfr=true

קרא גם את המאמרים הנלווים.

בהצלחה

לבלוג שלי - Sandbox

Pinky: Ha ha ha ha, Troz!
Brain: What is troz?
Pinky: Why that's Zort in a mirror. Huh huh, Troz!

קודם כל תודה, על פי מה שרשום שם -> ההנחת יסוד שלי נכונה. והGPO של היוזר יגבר על הGPO של המחשב. משהו יכול לאמת לי את זה רק בבטחון מלא? (אין לי דרך לנסות את זה)

השאלה האחרת היא:
במידה ואכן הGPO של היוזר יחול בכל אופן, כי הוא חל אחרי המחשב. מה יקרה במידה והגדרתי את הGPO של המחשב כ-NO OVERRIDE, ואז לאחר שנטען הGPO של יוזר, קיימת התנגשות, מי יותר חזק? האם זה משפיע רק על חילחול בתוך הAD וזה לא קשור להתגשות בין GPO של מחשב לGPO של יוזר?

תראה, רוב ככל ההגדרות הם שינויי רג'יסטרי. החלקים שבcomputer configuration משפיעים בדרך כלל על HKLM, ואלו שב user configuration משפיעים בדרך כלל על HKLU.

ביצעתי בדיקה וכצפוי שני הGPO תפסו וחוללו את ההשפעה שלהם, אבל בגלל שבדרך כלל ההגדרות שבHKLM חזקות יותר, זה מה שתפס בפועל.

לגבי ה No Override, אני לא חושב שזה קשור למקרה שלך. זה במקרה שיש לך GPO שמוחל על מיקום גבוה יותר בהיררכיה, למשל על Domain, שיאכוף את ההגדרות שלו גם על מיקומים יותר עמוקים בהיררכיה, בניגוד לצורת הפעולה הסטנדרטית. אבל משום שכל ה"חישובים" הללו נעשים לפני שההגדרות נאכפות, זה לא רלוונטי למקרה שלך.

אני כותב קצת בחיפזון... אני מקווה שיצאתי מובן

לבלוג שלי - Sandbox

Pinky: Ha ha ha ha, Troz!
Brain: What is troz?
Pinky: Why that's Zort in a mirror. Huh huh, Troz!

ההגדרות של המחשב תמיד חזקות יותר, כאשר מדובר על אותו הGPO ההגדרות על המחשב תמיד "מנצחות"
ככול שההגדרות נמוכות יותר בהיררכיה - ככה הן יותר חזקות (GPO של OU יהיו חזקים יותר מGPO של SITE וזה יהיה חזק יותר מGPO על דומיין).
באותה מידה, GPO שנמצאים מתחת GPO אחרים באותה רמה - חזקים יותר.
אם מוגדר לך על GPO מסויים no override - הגדרות מתחת הGPO הזה לא ישפיעו עליו.
אם מוגדר לך על OU מסויים no blocking - שום GPO מלמעלה לא יכול לחדור אליו (מלבד אלו שרשום עליהם no override).

הםם... זה הבסיס של התורה, למיטב ידיעתי.
להמשך קריאה

ממממ לפי הקישור שהבאת, דומיין חזק יותר מאתר (site)..

למיטב הבנתי הגדרות זהות שחלות על אובייקט המשתמש יגברו על הגדרות שחלות על אובייקט המחשב.
לעומת זאת הגדרות מ computer configuration יגברו על הגדרות user configuration.
ביום ראשון אני אבדוק את הנושא לעומק

לבלוג שלי - Sandbox

Pinky: Ha ha ha ha, Troz!
Brain: What is troz?
Pinky: Why that's Zort in a mirror. Huh huh, Troz!

ייתכן שדומיין חזק יותר... מעולם לא עשיתי MSCE ואני אמרתי רק מה שאני זוכר, לא בררתי מול האתר (למרות שזה הגיוני, כי דומיין לרוב ייתפרש על כמה אתרים)
אבל לגבי הגדרות מחשב-משתמש, ההגדרות שקיימות בuser configuration מוכלות על משתמשים בלבד, ובמקביל, הגדרות שקיימות בcomputer configuration מוכלות על מחשבים בלבד.
ולפי המסמכים, הגדרות מחשב זקות יותר, נקודה.
אלא אם כן לא הבנתי את החלק השני שלך

מבחינת סדר החלה, זה עובד כך (בוודאות):
Local machine
site
domain
ou


ברגע שמקשרים GPO לsite צריך להזהר, מאחר וsite יכול להכיל גם דומיינים שונים.


ולגבי השאלה הראשונה, שימו לב שאף אחד עדין לא ידע להגיד לי בוודאות.. גם אני שמעתי שהגדרות מחשב חזקות יותר, אך זה לא מסתדר לי מבחינה הגיונית.
ואפילו זה הסתבך יותר, כשעולה השאלה: האם יש הגדרות HKLM והגדרות HKLU חופפות, ואם כן, מה תופס?

תודה רבה לכל מי שמנסה לעזור..

אני אנסה להסביר לאט יותר

לפי הדוקומנטציה, וגם לפי ההגיון, הגדרות על משתמש חזקות יותר מהגדרות על מחשב. כלומר, אם הגדרתי על הOU שבו נמצא המחשב הגדרה ב computer configuration כגון מקסימום של 3 אפשרויות שגיאה בסיסמה לפני נעילה. לעומת זאת, על הOU שבו נמצא המשתמש הגדרתי מקסימום של 5 פעמים, הרי שכאשר המשתמש ינסה לבצע לוגאין למחשב הנ"ל, הוא יזכה בחמש פעמים.
לעומת זאת, משתמש מOU שלא מוגדרת לו האופציה הזו, יקבל את הגדרות הOU שבו נמצא המחשב.

מצד שני, אם על הOU של המחשב קיימת הגדרה ב computer configuration כגון ביטול אנימציות באקספלורר, ועל הOU של המשתמש (או של המחשב.. לא משנה כרגע) ישנה הגדרה של איפשור אנימציות באקספלורר, אבל דרך User Configuration.
כאשר המשתמש יבצע לוגאין למחשב, בדיקה של Resultant Set of Policy תגלה ששתי ההגדרות תפסו, אבל מהיותן בפועל הגדרות שחלות על מיקומים שונים בregistry, ההגדרה בHKLM חזקה יותר, והמשתמש יאלץ לחיות בעולם נטול אנימציות....

נ.ב.
גם אני לא MCSE...
כל מה שכתבתי כאן הוא מהזיכרון פחות או פחות.. אני אבדוק את הנושא בשטח מחר בע"ה

לבלוג שלי - Sandbox

Pinky: Ha ha ha ha, Troz!
Brain: What is troz?
Pinky: Why that's Zort in a mirror. Huh huh, Troz!

יכול להיות שמה שזכרתי פועל רק על סעיף הadministrative templates, אני אנסה את זה גם כשאחזור לעבודה (זה ייקח זמן לצערי/מזלי )
אבל בעקרון, ההגדרות רג'יסטרי שמוחלות על הHKLM יותר חזקות מההגדרות שמוכלות על הHKLM (אלו שבדקתי בכ"א, ובזמנו ישבתי על העניין די חזק) - וזה גם הגיוני יותר לדעתי.
הרי איזו סיבה יש לך לרצות שהגדרות משתמש "ינצחו" הגדרות מחשב? כמנהל רשת, תמיד תשאף לקומוניזם (שכולם יהיו אותו הדבר)

לקונפליקט בין חצי GPO של המחשב, לבין חצי ה- GPO של יוזר, חצי ה- GPO של היוזר גובר.

תחשוב על זה ככה:

אתה מדליק מחשב אך לא מבצע לוגאון. חצי ה- GPO של המחשב מופעל בהתאם למיקומו של המחשב בהיררכיית ה- AD ובהתאם לחוק הירושות של ה- GPO, וה- GPOים שמקושרים אל ה- OU שבו נמצא חשבון המחשב (אגב, באמת סדר ההפעלה הוא Local ואז Site ואז Domain ולבסוף OU - אם יש תת-OU אז הוא כמובן מגיע אחרי זה).

אז חצי ה- GPO של המחשב מופעל ועובד.

לאחר מכן אתה מבצע לוגאון. פה נכנס לפעולה חצי ה- GPO של היוזר.

אבל, ויש פה אבל גדול, לעיתים היוזר לא נמצא באותו OU כמו המחשב. זה הגיוני מאוד שבמערכת מסודרת כמו שצריך זה אכן יהיה המצב.

ולכן בעצם ניתן לומר שחצי ה- GPO של היוזר שמופעל הוא זה של ה- GPO שחל על היוזר, ולאו דווקא אותו חצי GPO של היוזר מה- GPO המקורי של המחשב...

מתי זה עלול ליצור בעיה? בעיקר בתסריטי Terminal Services, שבו אתה מעוניין לבצע הגבלות על היוזר אבל אתה לא יכול לבצע את ההגבלות האלה על חצי ה- GPO של היוזר באותו GPO שחל על היוזר, אלא דווקא על חצי ה- GPO של היוזר באותו GPO שחל על המחשב. אם תבצע את ההגבלות על חצי ה- GPO של היוזר באותו GPO שחל על היוזר אתה תגביל את היוזר בכל תחנה שבה הוא יעשה לוגאון, גם לתחנה שלו עצמו. ואתה לא רוצה שזה יקרה, כי אתה רוצה שבתחנה שלו הוא כן יוכל, למשל, לבצע כיבוי של המחשב. אבל חלילה לו מלבצע כיבוי על ה- TS (למשל).

לכן אתה בעצם נאלץ להגדיר את המגבלה על חצי ה- GPO של היוזר באותו GPO שחל על המחשב. אבל לפי מה שאמרתי למעלה, המחצית הזו כלל איננה משפיעה (זכור, ה- TS נדלק קודם, ורק לאחר מכן היוזר מבצע לוגאון).

פה נוכל להשתמש בתכונת ה- Loopback Processing Mode שמאפשרת שינוי של היוצרות, ובעצם גורמת למחצית ה- GPO של היוזר מצד המחשב לחזור ולהיות מופעלת מיד לאחר שמחצית ה- GPO של היוזר מצד היוזר עלתה.

מקווה שזה עזר בקצת.

---------------------
מיצו
---------------------

אבל כן יש לי שאלה.
לגבי כל הגדרה בGPO שאפשר להגדיר גם תחת computer configuration וגם תחת User configuration יש את ההערה הבאה:

Note: You can configure this policy setting under both Computer Configuration and User Configuration, but the policy setting under Computer Configuration takes precedence.

כלומר, ההגדרה של המחשב מקבלת קדימות על ההגדרה של המשתמש (חוץ מהבודדים ששם אומרים לך "תסמן גם בuser configuration וגם בcomputer configuration, אחרת ההגדרה לא תתקבל (לא זוכר את ההודעה המדוייקת), ולמיטב ידיעתי, הערה זו רשומה רק על הגדרות תחת user configurations, כך שזה לא ממש מתיישב לי עם הטענה של "הגדרות של משתמש חזקות יותר מהגדרות של מחשב"

לגבי הדוגמה שנתת על הterminal services, למה לא פשוט לשים את הGPO ברמה גבוהה יותר ואז הוא ישפיע גם על המשתמשים (שיימצאו ביחידה Users) וגם על המחשבים (שיימצאו ביחידה Computers)?

טוב... עכשיו אני אלך לקרוא קצת על ה Loopback Processing Mode שלך... אולי אני אבין יותר טוב...
אחרי לגוגל

אני באמת שמח שהרבה אנשים לוקחים חלק פעיל בנושא הזה, על מנת שבסופו של דבר נמצא את הדרך לפיתרון.
שימו לב שהתגובות עדין חצויות, חלק אומרים ככה וחלק אומרים ככה.
למען עפ"י אנשים מביני עניין ששאלתי, הם אמרו לי שהמחשב לוקח. אבל כשנכנסתי לזה קצת לעומק, הרבה דברים לא מסתדרים לי מבחינה הגיונית.

ועכשיו שוב עולות שתי שאלות חדשות:
1) מה קורה במצב שבו יש משתמשים ומחשבים באותו OU, ועל אותו GPO קיימת התנגשות בין משתמש למחשב?
2) מה קורה כאשר קיימת התנגשות בין מחשב למשתמש, אבל מדובר בGPOים שונים?

האם התוצאה זהה בשני המיקרים? (אל ייאוש בסופו של דבר נמצא האמת)


ולגבי הloopback processing השימושי, כמה מילים ככה בקטנה (מי שיבין יבין):
אני בדרך כלל אשתמש בו על מנת להחיל על מחשב מסוים, הגדרות ששייכות בכלל לuser configuration.
הרי ידוע לנו, שעל עמדת מחשב חלים הGP של הcomputer configuration בלבד. אבל אם לצורך העניין יש לי איזה שהוא שרת TS (מיצו אני אגנוב ממך את הדוגמא), ולצורך העניין אני רוצה להעלים כל מיני חלקים ב start menu. הרי הגדרות של start menu אני יכול למצוא רק תחת user configuration. אז איך בכל זאת אני אגרום לכך שכל משתמש שהתחבר לשרת ספציפית, ההגדרות יחולו עליו?
אם אני ישים את המשתמשים באותו OU של השרת, ההגדרה הזו תחול עליהם תמיד (לא משנה איפה הם יעבדו.. מה גם שזה לא נכון לעשות). אם אני יפריד את הOU של המשתמשים מהOU של השרת. ויגדיר GPO על השרת שמכיל את הגדרות הuser הרלוונטיות, הרי זה לא יחול על אף אחד כי יש שם רק שרת.
אך ברגע אני יגדיר תהליך loopback, מה שיקרה הוא התהליך הבא:
1) יטענו הגדרות המחשב על פי OU שבו הוא נמצא.
2) לאחר לוגין יטענו הגדרות המשתמש על פי הOU שהמשתמש נמצא בו.
3) המחשב יטען שוב את הגדרות הGPO שחלות על הOU שהמחשב נמצא בו, ויחיל אותם על היוזר. כך שבעצם כל הגדרה שתיהיה בuser configuration של הGPO, תחול על המשתמש.
מקווה שהבנתם..

ואז, במידה ויש קונפליקט בין מה שמוגדר בחצי ה- GPO של היוזר, ב- GPO של היוזר, לבין חצי ה- GPO של היוזר, ב- GPO של המחשב, אז זה של המחשב יגבר.

---------------------
מיצו
---------------------

שאתה עדין מדבר על תהליך הloopback ולא על הנושא הראשי.

כמו כן המצב שאתה מתאר הוא מצב merge שבו נטענות שתי ההגדרות: גם של הOU של היוזר, וגם של הOU של המחשב. ובמידה ויש התנגשות הOU של המחשב גובר.

המצב השני הוא מצב replace, שבו רק הגדרות הuser configuration של הOU של המחשב, מוחלות.


להזכירכם, הנושא הוא עדין התנגשות בין user configuration ל computer configuration..

בדקתי את הנושא קצת יותר לעומק, וביצעתי כמה ניסויים...
בתור התחלה, הגדרות computer configuration שחלות על OU של המשתמש בכלל לא יבואו בחשבון.. זה הגיוני מפני שההגדרות הללו חלות כאשר המחשב מבצע בוט.

במקרה של הגדרות שקיימות גם בcomputer configuration וגם בuser configuration, ההגדרה ב computer configuration תתפוס.

לבלוג שלי - Sandbox

Pinky: Ha ha ha ha, Troz!
Brain: What is troz?
Pinky: Why that's Zort in a mirror. Huh huh, Troz!

ידעתי שלא עבדו עליי...