با وجود برداشتن گروپ پالسی در اکتیو ، ولی همچنان در سیستمها اعمال میشود

Printable View

2012-08-11, 09:06 AM
nazokdel

با وجود برداشتن گروپ پالسی در اکتیو ، ولی همچنان در سیستمها اعمال میشود

سلام دوستان.
متاسفانه در شبکه ما مشکلی بوجود آمده.مدتی است که گروپ پالسی را در اکتیو مان برداشته ایم ولی همچنان بر روی سیستمها اعمال میشود.
2012-08-11, 09:43 AM
ali_gtp

دستور GPUPDATE را هم فراموش نکنید !!!
2012-08-11, 09:52 AM
nazokdel

سلام.

شرمنده ، عجله داشتم سوال رو درست ننوشتم.
با وجود برداشتن پراکسی در گروپ پالسی در اکتیو دایرکتوری ولی متاسفانه همچنان بر روی سیستمها اعمال میشود.
gpupdate را هم چندین مرتبه اجرا کردم ولی متاسفانه همچنان پراکسی اعمال میشود.

من گروپ پالسی رو حذف کردم و دوباره ایجاد کردم ولی متاسفانه مشکلمان همچنان باقیست.

ممنون میشم اگه کسی بتونه و کمکم کنه
2012-08-11, 10:00 AM
networkmat

policy از نوع preferences است؟؟؟
2012-08-11, 10:01 AM
mmahmoodi

کدوم policy رو تغییر میدی : - default policy domain controller یا default domain policy ?
2012-08-11, 10:02 AM
ali_gtp

شما هم به همین روشها عمل کردید؟

[url=http://social.technet.microsoft.com/Forums/en-us/winserverGP/thread/ad10fce3-6bc1-4757-be7d-227368cfe839]how to delete group policy object[/url]

[url=http://technet.microsoft.com/en-us/library/ee461025.aspx]Remove-GPO[/url]
2012-08-11, 10:09 AM
nazokdel

user configuration>windows settings>internet explorer Maintanace>connection>proxy settings

از این طریق گروپ پالسی را برداشتم ولی همچنان اعمال میشود. آیا جای دیگری ست شده است ؟
2012-08-11, 10:18 AM
mmahmoodi

[QUOTE=nazokdel;366404]user configuration>windows settings>internet explorer Maintanace>connection>proxy settings

از این طریق گروپ پالسی را برداشتم ولی همچنان اعمال میشود. آیا جای دیگری ست شده است ؟[/QUOTE]

روی کدوم یکی از پالیسی ها edit میکنی :[COLOR=#333333]policy - default policy domain controller یا default domain policy ?[/COLOR]
2012-08-11, 10:53 AM
nazokdel

ببخشید آقا مهدی . من متوجه منظور شما نمیشم ولی
right click on domain>properties?group policy>new grout policy
گروپ پالسی رو اینگونه ایجاد کردم
2012-08-11, 11:31 AM
nazokdel

تا بحال کسی با این مشکل برخورد نکرده ؟؟؟!!
2012-08-11, 01:23 PM
Hanif

آیا تا به حال از خودتان پرسیده اید که با اعمال تغییرات در Local Group Policy در یک کلاینت، این تغییرات در کجا ذخیره سازی می شوند؟ اگر چنانچه بتوانید به این سوال پاسخ صحیح دهید، پس می توان با حذف این تغییرات کاری کرد که تغییرات صورت گرفته در Local Group Policy به حالت اولیه بازگردند. به صورت پیش فرض، تغییرات انجام گرفته در Local Group Policy، در یک فولدر [I][B]مخفی[/B][/I] در مسیر C:\Windows\System32 نگهداری می شوند. این فولدر GroupPolicy نام داشته و در شکل زیر می توانید محتویات آن را مشاهده کنید: [CENTER][IMG]http://www.iransec.ir/Joomla15/images/967/1.PNG[/IMG][/CENTER] در شکل زیر می توانید محتویات این فولدر را مشاهده کنید: [CENTER][IMG]http://www.iransec.ir/Joomla15/images/967/2.PNG[/IMG][/CENTER] [B]نکته:[/B] به صورت پیش فرض فولدر فوق وجود نداشته و تنها زمانی ایجاد می گردد که برای اولین بار از دستور [B]gpedit.msc[/B] استفاده کنید. این در حالیست که حتی با باز شدن ابزار مدیریت Local Group Policy (به علت اجرای دستور gpedit.msc) و بستن آن، بدون آنکه تغییری را لحاظ نماییم، فولدر مذکور ساخته می شود.

منبع : iransec

[COLOR="silver"]- - - Updated - - -[/COLOR]

همانطور که می دانید به همراه نصب سرویس Active Directory، دو GPO نیز به صورت خودکار ایجاد و سپس اعمال می گردند. این GPOها عبارتند از:
[LIST][*][B]Default Domain Policy[/B][/LIST]

[LIST][*][B]Default Domain Controller Policy[/B][/LIST]

این دو GPO آنقدر مهم هستند که مایکروسافت جز در موارد خاص، پیشنهاد می نماید که تغییری در آنها اعمال نگردد. متاسفانه در پروژه های متعددی با مواردی مواجه شده ام که مدیر شبکه سازمان مربوطه با انجام تغییرات متعدد در این دو GPO و عدم ثبت این تغییرات، باعث بروز مشکلاتی در شبکه شده بود. در این حالت چگونه می توان مشکل بوجود آمده را برطرف نمود و یا به عبارت دیگر چگونه می توان تنظیمات موجود در این دو GPO را به حالت پیش فرض بازگرداند؟

خوشبختانه شرکت مایکروسافت برای این مشکل نیز چاره‌ای اندیشیده است. این کار را می توان با ابزار dcgpofix به انجام رسانید.

[B]نکته:[/B] با استفاده از این ابزار می توان به یکباره دو GPOی مذکور را به حالت پیش فرض بازگرداند و یا آنکه عملیات بازگرداندن به حالت پیش فرض را بر روی یکی از آنها به انجام رسانید.

استفاده از این ابزار بسیار ساده است. در ادامه به سناریوهای مختلف جهت استفاده از این ابزار خواهم پرداخت: [B]سناریوی اول:[/B] فرض کنید که می خواهید تنظیمات موجود در Default Domain Controller Policy را به حالت پیش فرض بازگردانید. در این حالت کافیست طبق تصویر زیر اقدام نمایید: [CENTER][IMG]http://www.iransec.ir/Joomla15/images/569/1.GIF[/IMG][/CENTER] [B]سناریوی دوم:[/B] فرض کنید که می خواهید تنظیمات موجود در Default Domain Policy را به حالت پیش فرض بازگردانید. در این حالت کافیست طبق تصویر زیر اقدام نمایید: [CENTER][IMG]http://www.iransec.ir/Joomla15/images/569/2.GIF[/IMG][/CENTER] [B]سناریوی سوم:[/B] فرض کنید که می خواهید تنظیمات موجود در دو پالیسی Default Domain Policy و Default Domain Controller Policy را همزمان به حالت پیش فرض بازگردانید. در این حالت کافیس طبق شکل زیر اقدام کنید: [CENTER][IMG]http://www.iransec.ir/Joomla15/images/569/3.GIF[/IMG][/CENTER]
منبع : iransec

[COLOR="silver"]- - - Updated - - -[/COLOR]

فرض کنید که تنظیماتی را بر روی پالیسی مربوط به Default Domain Policy به انجام رسانیده اید و حال تنظیمات صورت پذیرفته بر روی کلاینت های موجود در دامین اعمال شده و باعث مشکلاتی گردیده است. در این حالت می خواهید که تنظیمات موجود در Default Domain Policy را به حالت اولیه خود بازگردانید. چگونه می توان این کار را به انجام رساند؟
در گذشته مقاله ایی در این رابطه در سایت قرار دادم که در آن دستور [B]dcgpofix[/B] به منظور انجام عملیاتی مشابه، معرفی گردید (جهت دسترسی به این مقاله، [URL="http://www.iransec.ir/ms-familiy/group-policy/569-introduction-to-dcgpofixexe-tool.html"]اینجا[/URL] را کلیک کنید). در این مقاله قصد دارم که به روش دیگری جهت انجام این کار بپردازم. بدین منظور کافیست طبق مراحل زیر اقدام نمایید: [B]مرحله اول – ویرایش فایل [/B][B]GptTmpl.inf:[/B] در این مرحله می بایست فایل GptTmpl.inf را که در مسیر زیر قرار دارد را گشوده و متن آورده شده در پایین را در آن جایگزین نماییم: [LEFT][B]C:\WINDOWS\SYSVOL\Sysvol\DomainName\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\Machine\Microsoft\Windows NT\SecEdit[/B][/LEFT] [CENTER][IMG]http://www.iransec.ir/Joomla15/images/802/1.GIF[/IMG][/CENTER] [LEFT] [/LEFT] [LEFT][B][Unicode]
Unicode=yes
[System Access]
MinimumPasswordAge = 1
MaximumPasswordAge = 42
MinimumPasswordLength = 7
PasswordComplexity = 1
PasswordHistorySize = 24
LockoutBadCount = 0
RequireLogonToChangePassword = 0
ForceLogoffWhenHourExpire = 0
ClearTextPassword = 0
[Kerberos Policy]
MaxTicketAge = 10
MaxRenewAge = 7
MaxServiceAge = 600
MaxClockSkew = 5
TicketValidateClient = 1
[Version]
signature="$CHICAGO$"
Revision=1[/B][/LEFT] [LEFT] [/LEFT] به شکل زیر نگاه کنید: [CENTER][IMG]http://www.iransec.ir/Joomla15/images/802/4.GIF[/IMG][/CENTER] سپس فایل مذکور را بسته و تغییرات انجام گرفته را ذخیره می نماییم. [B]مرحله دوم – ویرایش فایل Gpt.ini:[/B] در این مرحله می بایست به مسیر زیر رفته و سپس فایل Gpt.ini را باز کنیم. به شکل زیر نگاه کنید: [LEFT][B]{[/B][B]C:\WINDOWS\SYSVOL\Sysvol\Domain\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9[/B][/LEFT] [CENTER][IMG]http://www.iransec.ir/Joomla15/images/802/2.GIF[/IMG][/CENTER] سپس می بایست عدد نمایش داده شده در فایل را به اندازه ایی افزایش دهیم که مانع از از بین رفتن تغییرات فوق به دلیل انجام عملیات Replication گردد. پیشنهاد می گردد که به انتهای عدد موجود، عدد 0 را اضافه کرده و یا آنکه به ابتدای عدد نمایش داده شده، عدد 1 را قرار دهید. به شکل زیر نگاه کنید: [CENTER][IMG]http://www.iransec.ir/Joomla15/images/802/3.GIF[/IMG][/CENTER] [B]مرحله سوم – اعمال تغییرات انجام گرفته:[/B] به منظور اعمال تغییرات انجام گرفته و تست سریع آن، از دستور [B]gpupdate /force[/B] بر روی یکی از کامپیوترهای موجود در دامین خود استفاده کنید.
منبع : iransec
2012-08-11, 02:30 PM
nazokdel

سلام. با تشکر ازpeyman 007
با اینکار مشکل defult domain policy va defult domain controler حل شد ولی متاسفانه هنوز پراکسی برای کلاینتها ست میشود
2012-08-11, 03:46 PM
nazokdel

کسی نیست کمک کنه ؟
2012-08-11, 10:43 PM
mesripoor6

[url=http://social.technet.microsoft.com/Forums/en-US/winserverGP/thread/2c3961d0-8765-47e8-8368-1b9dee9f46e2/]GPO applying blank proxy settings after removing explicit proxy settings from the GPO[/url]

توی لینک بالا یه روش توضیح داده
توی لینک زیر هم یه روش دیگه که طرف مشکلش حل شده و دقیقا مشکل شما رو داشته

[url=http://social.technet.microsoft.com/Forums/en-US/winserverGP/thread/486626c2-17d5-4405-8a91-2e11d14b6f2a/]IE Proxy settings won't remove when I disable the Policy[/url]

اگه جواب داد بهتون بگید تا ما هم یاد بگیریم مرسی
2012-08-12, 01:46 PM
nazokdel

سلام.
با تشکر از همه دوستان عزیز.

متاسفانه جواب نداد و همچنان گرفتار این موضوع هستیم
2012-08-12, 05:41 PM
mmahmoodi

دقیقا مسیری که میری رو بنویس ؟
باید group policy management /forest/domain/default domain policy رو edit کنید.
اگه هم شما ou دارید که باید inherent رو تیکش رو بردارید تا از parent پالیسی دریافت نکنه.
2012-08-13, 07:52 AM
nazokdel

خدا رو شکر بالاخره مشکل ما هم حل شد. البته به طریق زیر :

دلایل مختلفی میتونه باعث اعمال نشدن یا درست اعمال نشدن Policy ها در سطح اکتیودایرکتوری باشه :

[LIST=1][*]Policy مورد نظر به OU یا Site یا Local Settings ای متصل شده که کاربر یا Computer Account مورد نظر در اون وجود نداره.[*]چندین GPO ایجاد شده است که با یکدیگر تداخل کاری دارند .[*]چندین GPO وجود دارند و ساختار های OU و Site دارای چندین تنظیم مختلف هستند.[*]GPO ها بلوکه شدند یا به ارث می برند.[/LIST]

با استفاده از دستور زیر بر روی کلاینت هایی که تنظیمات نادرست را دریافت می کردند ، نتیجه رو مشاهده کردیم و دیدیم که اسم GPO و تنظیماتی که بر روی اون انجام شده چی هست
[TABLE]
[TR]
[TD="class: gutter"]ult[/TD]
[TD="class: code"]C:\>gpres

[/TD]
[/TR]
[/TABLE]

در شرکت ما متاسفانه همکار قبلیمون بر روی OU ها چندین GPO ایجاد کرده بود که ما از وجود آنها بی اطلاع بودیم . و با این دستور متوجه این موضوع شدیم !

با تشکر صمیمانه از مدیر این وب سایت و تمامی دوستان .

***

اما روی بعضی از کلاینتها با اجرای این دستور این نتیجه را میدهد :

The following GPOs were not applied because they were filtered out
-------------------------------------------------------------------
Local Group Policy
Filtering: Not Applied (Empty)
The computer is a part of the following security groups

کسی میدونه مشکل این کلاینتها چیست ؟
2012-08-13, 10:59 AM
mesripoor6

پیغامی که نشون دادید چیز خاصی نیست داره میگه local group policy که روی کامپیوتر هست فیلتر شده به دلیل اینکه خالی هستش و هیچ تنظیمی توش ست نشده و همه چیز Default هستش واسه همین اصلا نیازی نیست اعمال بشه و نشده.
ویندوزتون 2003 هستش؟با ابزار gpmc توی 2003 راحت میشه متوجه بشید که روی هر ou چه group policy اعمال داره میشه و اخرین تنظیمات چی هستش
2012-08-14, 03:36 PM
nazokdel

بله ویندوز 2003 بر روی سیستم نصب شده و gpmc را نیز نصب کرده ام

[COLOR="silver"]- - - Updated - - -[/COLOR]

با تشکر از آقای مصری پور باید عرض کنم که در گروپ پالسی تنظیماتی رو اعمال کرده ام و بر روی بعضی از کلاینتها اعمال میشود ولی بر روی بعضی دیگر این پیغام را میدهد
The following GPOs were not applied because they were filtered out
-------------------------------------------------------------------
Local Group Policy
Filtering: Not Applied (Empty)
The computer is a part of the following security groups
2012-08-14, 11:11 PM
mesripoor6

یعنی روی group policy هر کامپیوتر به صورت locally تنظیماتی رو انجام دادید؟؟
2012-08-14, 11:27 PM
ali_gtp

بصورت دستی هم می تونید با مسیرهای زیر حذف کنید:
<LEFT>[LEFT][COLOR=#555555][FONT=verdana]HKEY_CURRENT_USER\Software\Policies[/FONT][/COLOR][COLOR=#555555][FONT=verdana]HKEY_CURRENT_USER\Software\Nicrosoft\Windows\CurrentVersion\Policies

HKEY_LOCAL_MACHINE\SOFTWARE\Policies
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies
[/FONT][/COLOR][/LEFT]
</LEFT>
2012-08-16, 09:38 AM
nazokdel

قابل توجه آقای مصری پور محترم :

نه خیر . روی group policy هر کامپیوتر به صورت locally هیچ تنظیماتی انجام نداده ام . فقط روی group policy اکتیو اینکارو کردم ولی متاسفانه این گروپ پالسی بر روی بعضی از کلاینتها اعمال نمیشود . و همان پیغامی که در بالا گفتم را نشان میدهد