David's questions

我最近遇到了一些奇怪的组策略问题，所以我想在一个干净的设置上进行测试并且没有任何运气，所以我希望其他人可以提供一些启示。这是在 Windows 2003 R2 上。

我创建了一个测试用户并将其添加到一个测试全局组中。然后，我设置了一个链接到具有安全过滤的域的根的 GPO，以仅适用于测试组，并尝试查看我的设置是否适用。

如果我使用组策略建模，一切看起来都是正确的，但是当我执行组策略结果或检查实际机器时，什么都没有应用。我首先以为我遇到了 GP 问题，并尝试了通常的重启、gpupdate、等待一天希望事情会适用等。然后我尝试创建一个不同的用户，尝试不同的机器，甚至尝试将管理员帐户添加到测试组和没有任何效果。

然后我注意到在 GPMC 中的“应用组策略时的安全组成员身份”和“用户是以下安全组的一部分”下，测试组未列为用户所属的组。

我试过创建一个不同的域本地组。我已经尝试将管理员添加到组中，并且看到 GP 将适用于该帐户，但它没有。

但是，如果我在域控制器上创建一个共享并且只授予该组对其的访问权限，则测试用户可以正常访问它，所以我知道该用户肯定是该组的成员。

如何让 GP 相信我的用户确实是这些组的成员？

我们有两个负载平衡的 CentOS 5.3 网络服务器，可以处理相当数量（约 20 个）的个性化购物网站。最终结果是我们必须为每个产品拥有一个单独的安全站点，从而产生大量网络别名，每个 IP 一个别名，这样 SSL 才能正常工作。

显然，手动管理这些东西并不好玩，尤其是当服务器死机并且您需要重建并希望确保一致性时。

但是，IT 经理不习惯使用 CLI 工具来管理某些事情，并且坚持使用类似的 GUI 工具system-config-network，以防他想要更改某些内容。

我编写的用于管理机器配置的脚本已尝试将这一点考虑在内，对于大多数网络配置，我使用system-config-network-cmd -e > netconfig转储配置、进行更改，然后system-config-network-cmd -i -c -f netconfig将更改重新导入。

我发现的问题是不同版本的 scn-cmd 行为不同，并且通常导入的内容不是实际存储的内容。即使只是简单地system-config-network-cmd -e > netconfig立即执行system-config-network -i -c -f netconfig而不进行任何更改也会导致不同的配置（运行system-config-network-cmd -e > netconfig2和执行diff netconfig netconfig2显示差异）。

scn-cmd 的问题是否会得到解决，还有其他人处理过这个问题吗？我尝试/etc/sysconfig/networking/*直接修改，但这似乎也不总是正确的。

是否有一些 Right Way(TM) 可以确保 RH GUI 工具和 /etc/sysconfig/network-scripts 可以和谐相处，同时仍然对脚本友好？

我正在考虑最终转向 puppet，但它在需要完成的其他项目的长长列表中远远落后，所以我希望有一些东西可以让我们继续前进。