ДОМЕН = только контроллеры домена w2k3
РАБОЧИЕ СТАНЦИИ = xp, vista, а теперь еще несколько Win 7 Enterprise
На моем компьютере с Windows 7 установлены инструменты RSAT.
Я могу администрировать управление групповыми политиками «по большей части» на моем компьютере Win 7 для домена, даже с клиентами XP.
Однако определенные политики (например, политики брандмауэра Windows) показывают разные настройки и даже другой интерфейс в зависимости от того, использую ли я GPMC в Vista / Win7 или использую GPMC в W2k3.
И если я создаю новые настройки на Vista / Win7 GPMC, а затем пытаюсь посмотреть на эти настройки gpo в GPMC на w2k3, то обычно оттуда выдается сообщение «страница не может быть отображена» ... хотя на Vista / это выглядит нормально. Win7 GPMC.
ТАК .... мой вопрос (вопросы) ...
Какой GPMC я должен использовать или могу использовать для правильного управления и развертывания GPO на компьютерах XP, Vista и Win7? Могу ли я использовать одну консоль? Если да, то какой мне использовать? Независимо от того, есть ли проблемы (за / против)?
Мне нравится использовать его в Windows 7 для дополнительных функций, но меня беспокоит его «обратная совместимость» (например, настройки брандмауэра Windows в политиках) для XP.
Я как раз читал об этом. Вы найдете очень полезную информацию на http://technet.microsoft.com/en-us/library/cc766208%28WS.10%29.aspx о том, как GPO работают в смешанной среде.
По сути, рекомендуется использовать новый клиент для управления объектами групповой политики, так как в нем есть ряд улучшений, в том числе способ хранения самого объекта групповой политики в общей папке SYSVOL.
Как вы заметили в настройках брандмауэра, некоторые части объектов групповой политики просто несовместимы между различными версиями. Я пытался найти документацию MS по этому поводу, но я просто не мог найти ее в спешке. Однако поищите немного, и вы его найдете.
Насколько я понимаю, проблема связана со схемой в самом дереве AD и в некоторой степени с типом DC, который у вас есть. У вас есть дерево 2003 года. Если я правильно помню, 2003r2 включает улучшения GPO для поддержки клиентов Vista. В 2008 году это улучшено, а в 2008r2 добавлена поддержка Win7 в среду GPO.
Используйте консоль GPO для уровня схемы в вашем домене. Похоже, вам следует использовать gpmc для 2003 года, а не gpmc для 2008 года.
Объекты групповой политики не связаны с версией схемы AD. AD хранит только GUID, ссылки и указатели на общий ресурс SYSVOL \ domain \ policy, в котором фактически хранятся параметры GPO.