none
GPO se neaplikují na W10 a W2012 R2

    Dotaz

  • Dobrý den,

    po dopoledni promarněném řešením níže uvedeného problému, obracím se na vás o radu.

    GPO, které se v pohodě aplikují na W7, W2008 R2 se na W10 a W2012 R2 neaplikují.

    Zkoušel jsem i doporučované změny v registrech, ale bez výsledku.

    Díky

    Josef

    středa 5. října 2016 12:29

Odpovědi

  • Odpověď od Jana Nábělka. Díky!!!

    V KB https://support.microsoft.com/en-us/kb/3163622 je popsan duvod tohoto chovani.

    Podle clanku na Technet blogu

    (htps://blogs.technet.microsoft.com/askds/2016/06/22/deploying-group-policy-security-update-ms16-072-kb3163622)

    by melo stacit kdyz skupinam Authenticated users odeberes v nastavenich pravo "Apply Group Policy". Tedy nebudes tyto skupiny pridavat do Security Filteringu na zalozce "Scope" ale pridas je na zalozce Delegation. Potom si zkontroluj (klikem na Advanced) jak vypadaji prava na Authenticated users.

    Na rozdil od skupiny pridane do Security Filteringu na zalozce Scope, tam nebude pravo Apply Group policy (pokud bude, tak je odeberes ponechas jenom

    Read) Podobne by to melo byt pro skupinu Domain Computers.

    Josef K.

    středa 9. listopadu 2016 12:42

Všechny reakce

  • 1. Co eventlogy na Win10 a Srv2012R2?

    2. Zkusil jsi modelovani GPO?

    3. Nemáš tam WMI filtry na verzi OS?


    BB


    středa 5. října 2016 12:47
  • Vyzkoušel jsem vše, co uvádíte, ale problém nevyřešil. Pak jsem narazil na diskuzi na http://m.zive.cz/poradna/ve-win-10-nefunguji-gpo/sc-20-cq-584297/?consultanswers=1#3310007 V závěru diskuze se uvádí, že u W10 a W2012 musí být filtr v security filtering nastaven na Authenticated users, jinak se politiky neaplikují. Ale jak, mám postupovat, když potřebuji politiky aplikovat pouze na skupinu uživatelů z nějaké OU? Poradí mi někdo prosím? Jde to nějak nastavit, obejít?

    Díky Josef K.


    pátek 7. října 2016 10:51
  • No tak to je pěkný bug, pokud je to pravda. Musím otestovat . . .

    Ale jinak sis odpověděl sám. :o) Pokud potřebuješ nějakou politiku definovat jen pro skupinu uživatelů z určité OU, tak ji přiřadíš právě jen této OU a nastavíš správně prioritu.


    BB

    pátek 7. října 2016 10:56
  • Testoval jsem a přesně to odpovídá popisu.

    Ale nemám ještě jasno, v tom co navrhuješ.

    Mám OU=IT a v ní 3 uživatele. Politiku potřebuji aplikovat pouze na dva z nich. Jak mám postupovat, prosím? Když dám do filtru Authenticated users, tak se bude aplikovat na všechny tři a když dám filtr na skupinu, která obsahuje pouze ty dva dotyčné, tak se politika neaplikuje vůbec :-(

    Díky Josef

    pátek 7. října 2016 11:14
  • Aha, já jsem to pochopil tak, že máš nějakou skupinu uživatelů v nějaké OU a na ty (všechny) potřebuješ aplikovat politiku.

    Pokud to je tak, že se má politika aplikovat jen na některé uživatele v konkrétní OU, pak asi nezbývá nic jiného než vytvořit další (např. podřízenou) OU, do této přesunout příslušné uživatele a politiku aplikovat na tuto nově vytvořenou OU.

    Obávám se, že nic lepšího nevymyslíme.


    BB

    pátek 7. října 2016 11:21
  • Přesně tak. Jinou cestu taky nevidím. Zatím tedy budu aplikovat pouze na jednotlivé OU s Authenticated users.

    Díky Josef

    pátek 7. října 2016 13:19
  • Testoval jsem a přesně to odpovídá popisu.

    Ale nemám ještě jasno, v tom co navrhuješ.

    Mám OU=IT a v ní 3 uživatele. Politiku potřebuji aplikovat pouze na dva z nich. Jak mám postupovat, prosím? Když dám do filtru Authenticated users, tak se bude aplikovat na všechny tři a když dám filtr na skupinu, která obsahuje pouze ty dva dotyčné, tak se politika neaplikuje vůbec :-(

    Díky Josef

    Dobrý den,

    a když ty 2 uživatelé v security filtering označíte jmenovitě, tak se ta politika na ně neaplikuje? ...Musí...

    Popřípadě ta skupina s jmenovanými uživateli je Domain local security group?

    Samozřejmě politiky pro počítač nelze aplikovat na uživatele... Ale to není tento případ, že?

    Radek

    pátek 7. října 2016 13:40
  • Jaka je verze W 10, 1511 nebo 1607?

    M.

    pondělí 10. října 2016 0:02
    Moderátor
  • PS: MS sliboval fix.

    .... jinak se doporucuje

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\NetworkProvider\HardenedPaths
    “\\*\SYSVOL”
    “RequireMutualAuthentication=0”

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\NetworkProvider\HardenedPaths “\\*\NETLOGON”
    “RequireMutualAuthentication=0”

    M.

    pondělí 10. října 2016 0:05
    Moderátor
  • Tady je popis příčiny včetně řešení:

    https://support.microsoft.com/en-us/kb/3163622


    BB

    pondělí 10. října 2016 9:24
  • Řešení je jednoduché. Vytvoř skupinu, do ní dej ty dva uživatele. GPO objekt aplikuj na tu skupinu a v "delegování" -> "upřesnit" přidej domain computers nebo authenticated s právem read. 

    Problém je v tom, že MS změnil chování. Nejedná se o BUG, ale o funkci. :-) Nyní GPO nejdřív přečte počítač a následně ho zpracovává uživatel na kterého je aplikován. Pokud k tomu GPO objektu nemá počítač právo, tak pak ani uživatel ho nezpracuje. Uživatel tedy již nebude přistupovat na přímo ke GPO objektům.

    https://support.microsoft.com/en-us/kb/3163622

    H.


    • Navržen jako odpověď Jan Řežab pondělí 10. října 2016 9:29
    pondělí 10. října 2016 9:29
  • Jaky je stav reseni problemu?

    M

    středa 19. října 2016 13:03
    Moderátor
  • Odpověď od Jana Nábělka. Díky!!!

    V KB https://support.microsoft.com/en-us/kb/3163622 je popsan duvod tohoto chovani.

    Podle clanku na Technet blogu

    (htps://blogs.technet.microsoft.com/askds/2016/06/22/deploying-group-policy-security-update-ms16-072-kb3163622)

    by melo stacit kdyz skupinam Authenticated users odeberes v nastavenich pravo "Apply Group Policy". Tedy nebudes tyto skupiny pridavat do Security Filteringu na zalozce "Scope" ale pridas je na zalozce Delegation. Potom si zkontroluj (klikem na Advanced) jak vypadaji prava na Authenticated users.

    Na rozdil od skupiny pridane do Security Filteringu na zalozce Scope, tam nebude pravo Apply Group policy (pokud bude, tak je odeberes ponechas jenom

    Read) Podobne by to melo byt pro skupinu Domain Computers.

    Josef K.

    středa 9. listopadu 2016 12:42