Почему не применяется групповая политика, решаем за минуту
Обновлено 30.07.2021
Добрый день! Уважаемые читатели и гости IT блога Pyatilistnik.org, в прошлый раз я вам показал, как я делал досрочное погашение ипотеки Сбербанка, поделился свои жизненным опытом. Сегодня я хочу вас научить, как находить и диагностировать причины, по которым у вас может не применяться назначенная вами групповая политика к компьютеру или пользователю или целому организационному подразделению. Мы рассмотрим все этапы, через которые проходит происходит взаимодействие с GPO. Разберем утилиты, которыми должен владеть системный администратор в задачи которого входит создание и назначение политик. Уверен, что данный пост будет вам полезен и интересен.
За, что Active Directory от Microsoft получила такую популярность? Одним из ответов на данный вопрос, будет функционал групповой политики. Все администраторы, как и большинство современных людей, существа очень ленивые и любят, когда все централизованно управляется и по возможности автоматизированно.
Именно объекты GPO, позволяют производить настройки десятков, сотен и тысяч компьютеров, из одного места и практически по всем направлениям, например добавление принтеров, скриптов входа, профилей WiFi и многое другое.
Очень частые ситуации, что системный администратор создал новую групповую политику, применил ее на нужный ему объект, но эффекта это не дало и нужно понять почему она не применилась и вот тут начинающие системные администраторы попадают в просак, не понимая, где и что нужно искать. Ниже мы с вами разберем алгоритм действий, который поможет вам найти причину и восстановить работу применения групповой политики на нужный объект.
К чему применяется групповая политика (GPO)
Первое, на что я хочу обратить внимание, это ответить, что делает групповая политика. Все мы прекрасно знаем, что операционная система Windows, это набор служб и ключей реестра. Все настройки, которые вы видите и меняете в графическом режиме, по сути меняют ключи реестра. Понимая, это сразу можно сделать вывод:
- что реестр есть как для объекта компьютер
- и реестр есть для объекта пользователь
Именно эту две сущности являются конечными объектами в политике GPO.
В Active Directory объекты пользователей и компьютеров не лежат просто так, а располагаются в двух видах папок:
- Это контейнер — по сути простая папка, важно, что к ней нельзя применять объекты групповой политики.
- Второй тип, это организационные подразделения (OU) — это специальные папки для объединения объектов AD по принципам. Именно с OU связываются объекты групповой политики, для применения их к компьютерам и пользователям. Внешне контейнер отличается от организационной утилитой, тем что у OU, есть дополнительная лычка на значке, это показано на скриншоте.
Алгоритм устранения проблем с GPO
Предположим, что у меня есть групповая политика, которая применяется на организационное подразделение «Client Computers«. Политика называется «Управление UIPI». По какой-то причине пользователь жалуется, что она у него не применилась.
Из информации, об области действия групповой политики, первое на что нужно обратить свое внимание, это находится ли объект пользователя или компьютера по нужному пути.
Сделать, это просто в оснастке «Управление групповой политикой» найдите вашу политику и посмотрите к каким OU она применяется, это видно на вкладке «Область (Scope)», ее еще называют областью действия политики. В моем случае, это путь root.pyatilistnik.org/Client Computers.
Так как Active Directory, это иерархическая структура, то одна OU можете быть часть дерева из других и сама включать в себя большое количество организационных подразделений. Поэтому если у вас есть вложенность, то просто зайдя в нужную OU вы можете сразу не найти нужный объект. В таком случае воспользуйтесь поиском по Active Directory. Например у меня есть рабочая станция с которой идут жалобы на применение объекта GPO. В поиске выбираем в поле «Найти» компьютеры и в имени указываем w10-cl01, после чего нажимаем «Найти». В результатах поиска вы получите выдачу. Щелкаем по нужному объекту и переходим в нем на вкладку «Объект», где смотрим «Каноническое имя объекта«, по сути это его путь расположения в Active Directory.
Сравниваем его с тем, что получили из области применения групповой политики и делаем вывод, попадает объект под действие или нет.
Далее убедитесь, что у вас элементарно включена связь объекта групповой политики с нужным организационным подразделением. Для этого в оснастке управления GPO, щелкните правым кликом по нужной политике и в контекстном меню проверьте, что установлена галка «Связь включена«, ее так же можно проверить на вкладке «Область» в столбце «Связь задействована», должно стоять значение «да».
Следующим моментом необходимо проверить, что политика не отключена на определенный объект. Для этого перейдите на вкладку «Сведения» на нужной GPO. Нас интересует строка «Состояние GPO». По умолчанию там стоит значение «Включено«, означающее, что политика будет пытаться примениться заданные в ней настройки к обоим типам объектов (Пользователю и компьютеру). Но может быть выставлено значение:
- Параметры конфигурации компьютера отключены (Computer configuration settings disabled)
- Параметры конфигурации пользователя отключены (User configuration settings disabled)
- Все параметры отключены (All setting disabled) — запретит применение политики для любого объекта
Сделано, это для ускорения применения политики к объекты.
Согласитесь, что если у вас в GPO настроены изменения только для пользователя, то нет смысла проверять политику для компьютера. Поэтому системные администраторы могут отключать это, но могут и ошибиться, выключив не тот объект
Выше я вам писал, что структура OU иерархическая, а это означает, что политика прилинкованная с вышестоящего организационного подразделения применяется на нижестоящее. Но вот если у нижестоящей OU отключено наследование сверху, то он не сможет применить данную политику. Проверяется очень просто, найдите нужную вам OU, щелкните по ней правым кликом и удостоверьтесь, что не стоит пункт «Блокировать наследование».
Он кстати будет иметь характерный значок с восклицательным знаком. Данный механизм создан специально, чтобы изолировать данную OU от ненужных политик GPO.
Проверка прав на политику
Объекты групповой политики, так же имеют свой ACL (лист доступа), это означает, что вы можете более тонко настраивать к каким объектам применяется данная политика.
В редакторе «Управление групповой политикой» выберите ваш GPO. На вкладке «Область» найдите раздел «Фильтры безопасности«, он отображает к каким объектам применяется политика. Данный фильтр безопасности может включать объекты:
- Пользователь
- Компьютер
- Группа безопасности
По умолчанию тут прописана группа безопасности «Прошедшие проверку (Authenticated Users)». По умолчанию в данную группу входят все доменные пользователи и доменные компьютеры
Если у вас тут выставлена другая группа или отдельные записи, то убедитесь, что нужный объект состоит в данном ACL. Хочу отметить, что если даже нужный объект присутствует в списке фильтра безопасности, то это не означает, что политика к нему применяется и тут дело все в том, что в 2014 году Microsoft изменила принцип чтения политики, таким образом, что у вас в делегированном фильтре безопасности обязательно должна присутствовать группа «Компьютеры домена» или «Прошедшие проверку» у которой должны быть прав на чтение политики.
Вся соль в том, что когда вы удаляете группу «Прошедшие проверку» из фильтра безопасности, она удаляется и из вкладки делегирование.
Чтобы параметры групповой политики для пользователя успешно применялись, она требует наличия у каждой учетной записи компьютера разрешения на считывание данных GPO из контроллера домена. Удаление группы «Прошедшие проверку» может предотвратить обработку групповых политик для пользователя. добавьте группу безопасности «Пользователи, прошедшие проверку подлинности» или «Компьютеры домена», у которой есть по крайней мере разрешение только для чтения (https://support.microsoft.com/en-us/kb/316622)
Поэтому перейдите на вкладку «Делегирование» и проверьте наличие любой из групп «Прошедшие проверку» или «Компьютеры домена» и, что есть права на чтение. Если групп нет, то добавьте любую из них. Для этого нажмите кнопку «Дополнительно», далее добавить и выберите «Прошедшие проверку».
Удостоверьтесь, что выставлена галка «Чтение».
Тут же убедитесь, что нет запретов на нужный вам объект, в моем примере, это W10-CL03.
Если есть снимите.
Обратите внимание на группу «КОНТРОЛЛЕРЫ ДОМЕНА ПРЕДПРИЯТИЯ (Enterprise Domain Controllers)» данная группа определяет, будет ли происходить репликация данной политики на другие контроллеры или нет, так что если политика отсутствует в папке SYSVOL на других контроллерах, то проверьте права у данной группы.
Еще одним механизмом фильтрации групповой политики, может выступать WMI фильтры. Если они есть и ваш объект не соответствует его требованиям, то вы не сможете применить политику. Посмотреть, это можно в соответствующем разделе. В моем примере есть WMI фильтр для ноутбуков, который не даст применения политики на стационарные компьютеры. Подробнее, о создании WMI фильтров и механизме проверки WMI фильтров, читайте по ссылкам. Ниже я покажу, как на конечном компьютере увидеть, что он не подошел из-за фильтрации GPO по WMI.
Инструменты диагностики групповой политики
Выше мы разобрали возможные места, где могла быть проблема, но по мимо них еще есть несколько инструментов, которые могут дать системному администратору информацию, о причинах, которые мешают применению GPO к нужному объекту.
Существуют три инструмента, которые вам покажут информацию, о применяемых политиках на объекты:
- Утилита командной строки gpresult
- Утилита rsop
- Моделирование групповой политики в оснастке gpmc.msc
- Результаты групповой политики
Диагностика GPO через gpresult
Gpresult первое средство, которое позволит системному администратору определить на каком этапе есть проблемы с выполнением GPO. Откройте на клиентском компьютере или ноутбуке командную строку от имени администратора и введите команду:
gpresult /r /scope:user (Для пользователя)
gpresult /r /scope:computer (Для компьютера)
Gpresult /r /z (Полный отчет)
Gpresult /r /z > c:\gpresult.txt (Экспорт в файл)
В моем примере у меня есть политика для компьютера «Управление UIPI», поэтому я воспользуюсь gpresult для компьютера. Выполнив gpresult /r /scope:computer я вижу, что моя политика не применилась и числится в списке «Следующие политики GPO не были применены, так как они отфильтрованы».
Фильтрация отказано в доступе (Безопасность). Из этого видно, что у компьютера просто нет прав на чтение политики.
Так же в логах Windows вы можете обнаружить событие с кодом ID 5313:
Код 5313: Следующие объекты групповой политики не были применены, так как они были отфильтрованы:
Local Group Policy
Не применяется (пусто)
Управление UIPI
Отказано (безопасность)
А вот пример 5313, но с уже WMI фильтром:
Следующие объекты групповой политики не были применены, так как они были отфильтрованы:
Local Group Policy
Не применяется (пусто)
Управление UIPI
Отказано (фильтр WMI)
Я для исключаю его из запрета применения и пробую новую попытку применения политики. Я делаю для начала обновление групповой политики через gpupdate /force и затем снова выполняю команду gpresult /r /scope:computer, где теперь вижу, что политика не применилась из-за WMI фильтра.
Теперь уже понятно куда копать.
Получение данных GPResult с удаленного компьютера GPResult /s server01 /r, поможет администратору или технической поддержке собрать диагностические данные. Аналогичные действия вы можете выполнять и для пользователя, тут все аналогично. Теперь воспользуемся утилитой RSOP. Откройте окно выполнить и введите rsop.msc.
Начнется сбор применяемых политик.
По результатам, у вас откроется окно результирующей политики. Похожее на то, где вы редактируете политику GPO. Тут вы можете перемещаться по веткам и смотреть текущие значения.
Но это не удобно и мы можем совместить две утилиты gpresult и Resultant Set of Policies (RSoP), получив выгодный симбиоз. В командной строке введите:
GPResult /h c:\report.html /f
На выходе вы получите удобный html отчет, о всех примененных или отфильтрованных политиках. Открыв отчет, вы легко поймете ,какие политики были применены, а какие нет и можете сразу посмотреть значения настроек.
Результаты групповой политики
В оснастке GPMC есть возможность посмотреть какие политики применяются к нужному объекту групповой политики. Данный мастер называется «Результат моделирования групповой политики». Щелкаем по нему правым кликом и открываем мастер.
Выбираем нужный компьютер, к которому мы хотим проверить применение политики.
Если в момент добавления компьютера у вас выскочит ошибка «Сервер RPC-недоступен», то проверьте, что у вас запущена на нем служба WMI и в брандмауэре открыты порты для подключения к ней.
Так как я проверяю GPO для компьютера, то мне нет смысла отображать политику для пользователей.
Нажимаем далее. У вас появится отчет. Раскрыв его на вкладке «Сведения» вы увидите, какие политики применены, а какие нет.
Раскрыв подробнее политику, которая не смогла примениться, я вижу, что причиной всему был WMI фильтр.
Последним удобным инструментом диагностики и моделирования групповой политики, выступает функционал GPMC, под названием «Моделирование групповой политики«.
В задачи которого входит проверка применения политики в существующей ситуации, так и просто тест без реальной прилинковки к OU, указав нужный объект. В оснастке GPMC выберите пункт «Моделирование групповой политикой» и щелкните по нему правым кликом, выбрав «Мастер моделирования групповой политики».
На первом шаге мастера моделирования групповой политики, будет простое уведомление, что к чему, нажимаем далее.
Далее вам будет предложен выбор, дабы указать нужный контроллер домена.
Теперь выбираем нужную OU, для которой мы будем тестировать групповую политику. Делается все через кнопку «Обзор». Я выбрал «Client Computers»
Нажимаем далее.
На следующем шаге мастера моделирования групповой политики, вам предоставят сэмулировать таки параметры:
- Медленное сетевое подключение, меньше 500 кб/с
- Обработка петлевого адреса (Замыкание групповой политики — loopbacl policy) — это опция когда вы применяете для OU в которой находятся компьютеры, например терминальные сервера, политики для пользователя.
Делается это для того, чтобы политики применяемые к пользователю на его рабочей станции или другом сервере от тех, что в данной OU. Можете подробно почитать, что такое замыкание групповой политики. - Выбор сайта.
Делается это для того, чтобы политики применяемые к пользователю на его рабочей станции или другом сервере от тех, что в данной OU. Можете подробно почитать, что такое замыкание групповой политики.Указываем в какой группе находится наш объект, к которому будет применяться политика.
далее вы можете применить любой из фильтров WMI, который вы хотите тестировать.
Нажимаем далее.
В итоге мы получаем результат моделирования групповой политики, тут можно посмотреть, что применилось, что нет.
На этом у меня все. С вами был Иван Семин, автор и создатель IT портала Pyatilistnik.org. Надеюсь, что статья оказалась полезной.
GPO на win2008r2
Смоляницкий Никита Владимирович
LOCAL SERVICE
NETWORK SERVICE
Администраторы
SQLAgent$SQLEXPRESS
NK\SQLServer2005MSSQLUser$WIN2008-S1$MICROSOFT##SSEE
GPO: Default Domain Controllers Policy
Политика: ProfileSingleProcessPrivilege
Параметры компьютера: Администраторы
GPO: Default Domain Controllers Policy
Политика: AssignPrimaryTokenPrivilege
Параметры компьютера: NK\SQLServer2005MSSQLUser$WIN2008-S1$MICROSOFT##SSEE
DefaultAppPool
ASP.
NET v4.0
Web NKR
Classic .NET AppPool
MSSQL$SQLEXPRESS
LOCAL SERVICE
NETWORK SERVICE
SQLAgent$SQLEXPRESS
Параметры безопасности
———————-
GPO: Default Domain Policy
Политика: PasswordComplexity
Параметры компьютера: Не включено
GPO: Default Domain Policy
Параметры компьютера: Не включено
GPO: Default Domain Policy
Политика: ForceLogoffWhenHourExpire
Параметры компьютера: Не включено
GPO: Default Domain Policy
Политика: RequireLogonToChangePassword
Параметры компьютера: Не включено
GPO: Default Domain Policy
Политика: LSAAnonymousNameLookup
Параметры компьютера: Не включено
GPO: Default Domain Policy
Политика: TicketValidateClient
Параметры компьютера: Включено
GPO: Default Domain Controllers Policy
Политика: @wsecedit.dll,-59013
Параметр: MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\LDAPServerIntegrity
Параметры компьютера: 1
GPO: Default Domain Controllers Policy
Политика: @wsecedit.
dll,-59043
Параметр: MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\RequireSecuritySign
Параметры компьютера: 1
GPO: Default Domain Controllers Policy
Политика: @wsecedit.dll,-59044
Параметр: MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySigna
ture
Параметры компьютера: 1
GPO: Default Domain Policy
Политика: @wsecedit.dll,-59058
Параметр: MACHINE\System\CurrentControlSet\Control\Lsa\NoLMHash
Параметры компьютера: 1
GPO: Default Domain Controllers Policy
Политика: @wsecedit.dll,-59018
Параметр: MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters\RequireSignOrSeal
Параметры компьютера: 1
Параметры журнала событий
————————-
Н/Д
Группы с ограниченным доступом
——————————
Н/Д
Системные службы
—————-
Н/Д
Параметры реестра
——————
Н/Д
Параметры файловой системы
—————————
Н/Д
Политики открытого ключа
————————
Административные шаблоны
————————
Н/Д
Конфигурация пользователя
—————————
CN=admin02,CN=Users,DC=NK,DC=R
Последнее применение групповой политики: 05.
06.2012 в 11:25:17
Групповая политика была применена с: WIN2008-S1.NK.R
Порог медленного канала для групповой политики: 500 kbps
Имя домена: NK
Тип домена: Windows 2000
Примененные объекты групповой политики
—————————————
Default Domain Policy
WSUSik
Следующие политики GPO не были приняты, поскольку они отфильтрованы
———————————————————————
Local Group Policy
Фильтрация: Не применяется (пусто)
Пользователь является членом следующих групп безопасности
———————————————————
Все
Пользователи
Пред-Windows 2000 доступ
Администраторы
REMOTE INTERACTIVE LOGON
ИНТЕРАКТИВНЫЕ
Прошедшие проверку
Данная организация
ЛОКАЛЬНЫЕ
Montag
Администраторы домена
NKR
Группа с запрещением репликации паролей RODC
IT
Высокий обязательный уровень
Привилегии безопасности данного пользователя
———————————————
Обход перекрестной проверки
Увеличение рабочего набора процесса
Управление аудитом и журналом безопасности
Архивация файлов и каталогов
Восстановление файлов и каталогов
Изменение системного времени
Завершение работы системы
Принудительное удаленное завершение работы
Смена владельцев файлов и других объектов
Отладка программ
Изменение параметров среды изготовителя
Профилирование производительности системы
Профилирование одного процесса
Увеличение приоритета выполнения
Загрузка и выгрузка драйверов устройств
Настройка квот памяти для процесса
Отключение компьютера от стыковочного узла
Выполнение задач по обслуживанию томов
Имитация клиента после проверки подлинности
Создание глобальных объектов
Изменение часового пояса
Создание символических ссылок
Разрешение доверия к учетным записям компьютеров и пользователей при делегировании
Добавление рабочих станций к домену
Результирующий набор политик для пользователя
———————————————-
Установка программ
——————
Н/Д
Сценарии входа
—————
Н/Д
Сценарии выхода
—————
Н/Д
Политики открытого ключа
————————
Н/Д
Административные шаблоны
————————
GPO: WSUSik
Ключ: Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\ForceActiveDesktopOn
Значение: 1, 0, 0, 0
Состояние: Включено
GPO: WSUSik
Значение: 92, 0, 92, 0, 68, 0, 83, 0, 83, 0, 92, 0, 84, 0, 101, 0, 109, 0, 112, 0, 92, 0, 102, 0, 111
, 0, 114, 0, 32, 0, 78, 0, 105, 0, 107, 0, 92, 0, 119, 0, 97, 0, 108, 0, 108, 0, 46, 0, 106, 0, 112, 0, 103, 0, 0, 0
Состояние: Включено
GPO: WSUSik
Ключ: Software\Microsoft\Windows\CurrentVersion\Policies\System\WallpaperStyle
Значение: 51, 0, 0, 0
Состояние: Включено
Перенаправление папок
———————
Н/Д
Пользовательский интерфейс браузера Internet Explorer
——————————————————
GPO: WSUSik
Имя крупного анимированного рисунка: Н/Д
Имя файла крупной эмблемы: Н/Д
Текст заголовка: Н/Д
Текст агента пользователя: Н/Д
Удалить существующие кнопки на панели: Нет
Подключения Internet Explorer
——————————
Прокси-сервер HTTP: 192.
Прокси-сервер Secure: 192.168.8.65:3128
Прокси-сервер FTP: 192.168.8.65:3128
Прокси-сервер Gopher: 192.168.8.65:3128
Прокси-сервер Socks: 192.168.8.65:3128
Разрешить автоматическую настройку: Нет
Разрешить использование прокси: Да
Использовать один прокси-сервер: Да
URL-адреса Internet Explorer
—————————-
GPO: WSUSik
Домашняя страница: Н/Д
Адрес страницы поиска: Н/Д
Адрес страницы поддержки: Н/Д
Безопасность Internet Explorer
——————————
Всегда отображаемые сервера: Н/Д
Разрешить перекрытие пароля: Ложь
GPO: WSUSik
Импортировать текущие параметры оценки содержимого: Нет
Импортировать текущие параметры зон безопасности: Нет
Импортировать текущую информацию безопасности Authenticode: Нет
Зафиксировать список доверенных издателей: Нет
Программы Internet Explorer
GPO: WSUSik
Импортировать текущие параметры программ: Нет
групповая политика — объект групповой политики применяется и отфильтровывается
На протяжении многих лет я видел, как эта, по общему признанию, редкая проблема поднималась на нескольких дискуссионных форумах групповой политики.
Меня, как поклонника групповой политики, это заинтриговало, однако до недавнего времени у меня никогда не было возможности решить проблему напрямую. Однако на прошлой неделе я стал свидетелем того, как это произошло в моем окружении, и имел возможность продолжить расследование. Мне удалось решить проблему, хотя я точно не знаю, как, поэтому я опубликую свои выводы в надежде, что они помогут следующему человеку, который столкнется с этой проблемой.
В этом случае один объект политики продемонстрировал такое поведение и только на одной рабочей станции. Рассматриваемая политика использует карты дисков GPP и сопоставляет сетевые диски для всех пользователей в моей среде и внезапно перестала сопоставлять их для одного пользователя. Политика не претерпела никаких изменений в течение как минимум года, а рабочая станция не претерпела никаких изменений, о которых я знаю, около месяца. Других недавних изменений, которые, как мне кажется, были связаны с этой проблемой, не было.
Эта конкретная проблема вызывает ряд симптомов.
А именно:
- Политика не вступает в силу: диски не сопоставляются, записи реестра не применяются и т. д.
- GPResult выдает противоречивые выходные данные: объект политики указан как примененный и отфильтрованный.
Вывод GPResult:
Примененные объекты групповой политики
-----------------------------
[Имя объекта политики]
Следующие объекты групповой политики не были применены, поскольку они были отфильтрованы.
-------------------------------------------------- ------------------
[Имя объекта политики]
Фильтрация: не применяется (неизвестная причина)
- Журналы системы и приложений не показывают проблем с обработкой политик. Все разделы сообщают об успешном применении. В моем случае каждая карта дисков в политике сообщала об успешном завершении.
- Предпочтения групповой политики Ведение журнала отладки (вы должны включить это), однако, не показывает никаких записей политики, успеха, ошибки или чего-то еще.
- Журнал событий Operational в Applications and Services\Microsoft\Windows\Group Policy (вы знаете, та часть средства просмотра событий, на которую никто никогда не смотрит) показывает, что объект извлечен и добавлен в список объектов, подлежащих применению. Следующее событие с идентификатором 5313 должно представлять собой список отфильтрованных событий. Рассматриваемая политика НЕ появляется там.
После этих событий в рабочем журнале должно быть указано каждое расширение GPP (карты дисков, реестр, файлы и т. д.) и все объекты, содержащие любую политику этого класса. В этом случае для Drive Maps просто не было записи, как будто расширение вообще не выполнялось. Моя теория состоит в том, что само расширение сталкивается с какими-то проблемами. Если бы возникла проблема с получением объектов, они не были бы успешно загружены. Если в объекте было что-то, что приводило к сбою расширения, это было бы зарегистрировано в журналах отладки GPP. Если бы возникла общая проблема с расширениями GPP, ни одно из других не заработало бы успешно.
Оно записано в выходных данных GPResult как примененное, потому что оно назначено расширению для обработки, но отфильтровано по «Неизвестной причине», поскольку расширение либо никогда не запускается, либо сразу после запуска аварийно завершает работу. У меня такое ощущение, что если бы у меня было больше объектов политики, содержащих карты дисков, они бы тоже потерпели неудачу, однако у меня не было возможности проверить это.
Эта проблема, похоже, разрешилась сама собой, когда я очистил журнал событий GPP Operational. Я не уверен, было ли это фактическим решением, или это было просто совпадение. Если это кому-то поможет, пожалуйста, дайте мне знать.
Windows Server 2003 — Почему групповая политика отфильтрована?
спросил
Изменено 7 лет назад
Просмотрено 15 тысяч раз
У меня есть тестовый компьютер, на котором я пытаюсь создать новый объект групповой политики.
Объект групповой политики — это перенаправление папок, хотя для него установлено значение — Фильтр безопасности: авторизованные пользователи — Он связан с тестовой OU
Запустив gpresult я получаю следующее:
Настройки компьютера
Следующие объекты групповой политики не были применены, поскольку они были отфильтрованы.
-------------------------------------------------- ------------------
Локальная групповая политика
Фильтрация: не применяется (пусто)
Мои документы - перенаправление
Фильтрация: не применяется (пусто)
Это отчет GPO
Мои документы - перенаправление
Данные собраны: 04.09.2011 15:04:18
Общий
Подробности
Домен оптитекс
Владелец OPTITEX\Администраторы домена
Создано 31.08.2011 16:45:20
Изменено 04.09.2011 14:44:56
Пользовательские версии 3 (AD), 3 (sysvol)
Компьютерные версии 0 (AD), 0 (sysvol)
Уникальный идентификатор {C8B51C9A-04B3-43CE-8BCA-C1FF4574}
Статус объекта групповой политики включен
Ссылки
Путь статуса принудительной ссылки местоположения
Настольные компьютеры Да Включено optitex/OptiTex Computers/Default/Desktops
IT Test Да Включено optitex/OptiTex Computers/IT Test
Этот список включает только ссылки в домене объекта групповой политики.
Фильтрация безопасности
Параметры этого объекта групповой политики могут применяться только к следующим группам, пользователям и компьютерам: Имя
NT AUTHORITY\Аутентифицированные пользователи
Фильтрация WMI
Имя фильтра WMI Нет
Описание Не применимо
Делегация
Эти группы и пользователи имеют указанные разрешения для этого GPOName Разрешенные разрешения Унаследованы
NT AUTHORITY\Authenticated Users Read (из Security Filtering) Нет
NT AUTHORITY\ENTERPRISE КОНТРОЛЛЕРЫ ДОМЕНА Чтение Нет
NT AUTHORITY\SYSTEM Редактировать настройки, удалять, изменять безопасность Нет
OPTITEX\Администраторы домена Редактировать настройки, удалять, изменять безопасность Нет
OPTITEX\Enterprise Admins Редактировать настройки, удалять, изменять безопасность Нет
Конфигурация компьютера (включено)
Настройки не определены.
Конфигурация пользователя (включено)
Параметры Windows
Перенаправление папок
Мои документы
Настройка: базовая (перенаправление всех папок в одно и то же место)
Путь: \\privatenas\%username%
Опции
Предоставление пользователю исключительных прав на Мои документы включено
Переместить содержимое Моих документов в новое место Отключено
Действия при удалении политики Восстановить содержимое
Фильтрация безопасности
Параметры этого объекта групповой политики могут применяться только к следующим группам, пользователям и компьютерам: Имя
NT AUTHORITY\Аутентифицированные пользователи
Фильтрация WMI
Имя фильтра WMI Нет
Описание Не применимо
Делегация
Эти группы и пользователи имеют указанные разрешения для этого GPOName Разрешенные разрешения Унаследованы
NT AUTHORITY\Authenticated Users Read (из Security Filtering) Нет
NT AUTHORITY\ENTERPRISE КОНТРОЛЛЕРЫ ДОМЕНА Чтение Нет
NT AUTHORITY\SYSTEM Редактировать настройки, удалять, изменять безопасность Нет
OPTITEX\Администраторы домена Редактировать настройки, удалять, изменять безопасность Нет
OPTITEX\Enterprise Admins Редактировать настройки, удалять, изменять безопасность Нет
Конфигурация компьютера (включено)
Настройки не определены.
Конфигурация пользователя (включено)
Параметры Windows
Перенаправление папок
Мои документы
Настройка: базовая (перенаправление всех папок в одно и то же место)
Путь: \\privatenas\%username%
Опции
Предоставление пользователю исключительных прав на Мои документы включено
Переместить содержимое Моих документов в новое место Отключено
Действия при удалении политики Восстановить содержимое
Могу ли я узнать, почему это было отфильтровано?
- windows-server-2003
- active-directory
- group-policy
Похоже, вы определили параметры объектов групповой политики в дереве «Пользователь», но пытаетесь применить их к OU, содержит компьютерные объекты.
Объекты групповой политики не будут работать таким образом.
См. часть отчета GPO, в которой говорится следующее:
Конфигурация компьютера (включено)
Настройки не определены.
Только пользовательская часть объекта групповой политики может применяться к пользователям, точно так же только компьютерная часть объекта групповой политики может применяться к компьютерам. Если вы создадите объект групповой политики с некоторыми настройками пользователя, а затем присоедините его к OU, содержащей компьютеры, он ничего не сделает, потому что ни один из его параметров не считается релевантным.
Существует одно исключение из этого правила — циклическая обработка. Но его следует применять только в нескольких конкретных обстоятельствах.
2
Как сказал Крис в своем ответе, настройки GPO для пользователей должны быть связаны с OU, в которой находится пользовательский объект.