none
Разрешение в политике имеет приоритет перед запретом ? RRS feed

  • Вопрос

  • Есть политика в домене, которая разрешает только доменным пользователям заходить на компьютеры (локальным нельзя). Также можно локальным администраторам и domain admins. Всё работает, реализация Allow log on locally (на рис).

    Теперь нужно другой группе пользователей, которые съехали от нас, запретить заходить в наш домен. Просто отключить их учетки нельзя,  так как они используются для доступа к другим службам. Для этого я создал политику Deny log on locally на группу с этими пользователями. Так вот, при работе сразу двух политик, Allow log on locally берет приоритет перед Deny log on locally, но если отключаю политику Allow log on localy то политика запрета работает. Что за странности? И как это побороть?

    Что уже пробовал - сперва всё реализовал в одной политике Allow и Deny - не помогло, Allow берет приоритет. Потом создал отдельную политику для Deny - то же самое, пока Allow работает - она берет приоритет.

    вложил рис 2 с запретом











    • Изменено user00431 15 февраля 2021 г. 16:01
    15 февраля 2021 г. 12:29

Ответы

  • И так, выяснилось. Нельзя тестировать политику на виртуальной машине, что я делаю часто наверное как и все. Политика прекрасно работает на физической машине, причем -всё в одной политике как и хотел ранее. Не знаю, как работал эксперимент, когда на вирт машине то работало с отключенной то с включенной, последнее время политика запрета не работала вообще на вирт машине, даже в единств числе, это меня и навело на мысль протестировать на физич машине. Короче, надо предупреждать майрософту как то, а может даже "дырку" нашел, так что считаю своё исследование как ответ. Всем спасибо за участие.
    • Помечено в качестве ответа user00431 17 февраля 2021 г. 7:33
    17 февраля 2021 г. 7:33

Все ответы

  • Привет,

    Компьютеры на которые не должны заходить являются серверами или просто компьютерами?

    Политика у Вас применяется через GPO или у Вас локально все настроенно?

    Если смотреть порядок применения политик, то:

    1. Сначало применяестя локальная политка
    2. Потом политика Сайта
    3. Доменная политика
    4. OU политика

    Тоесть, всегда будут применяться настройки последней политики, а именно, если у Вас локальная что-то запрещает, а доменная разрешает, то будут применены настройки доменной. Вам нужно создать политику запрещающая определенным пользователям заходить и применить ее к OU с компьютерами.


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий. Не забывайте помечать сообщения как ответы и полезные, если они Вам помогли.


    16 февраля 2021 г. 8:51
    Модератор
  • Все, что ближе в иерархии к вашему конечному объекту, имеет приоритет над вышестоящими. Вы можете посмотреть порядок на вкладке наследование GPO
    16 февраля 2021 г. 9:10
  • -Компьютеры являются простыми рабочими станциями (ноутбуки)

    - Политики все применяется через GPO (локальных нет)

    Возможно дело в иерархии политик, перепроверю. Но, если у меня первоначально было всё в одной политике Allow log on и Deny log on то почему Allow берет верх.

    Кстати, проверял - Allow на домен, Deny на OU (ниже). и Allow переопределяет.


    • Изменено user00431 16 февраля 2021 г. 13:42
    16 февраля 2021 г. 13:40
  • Делайте gpresult /scope:computer /r и проверяйте применились обе или нет
    16 февраля 2021 г. 13:45
  • Просто отключить их учетки нельзя,  так как они используются для доступа к другим службам.
    вам срочно надо менять политику использования учётных записей, и не использовать пользовательские персональные записи для запуска служб. Рассмотрите к примеру gMSA - ссылка.
    16 февраля 2021 г. 14:00
  • Делайте gpresult /scope:computer /r и проверяйте применились обе или нет
    применились однозначно. первым делом смотрел.
    16 февраля 2021 г. 20:17
  • Просто отключить их учетки нельзя,  так как они используются для доступа к другим службам.

    вам срочно надо менять политику использования учётных записей, и не использовать пользовательские персональные записи для запуска служб. Рассмотрите к примеру gMSA - ссылка.
    нет, наверно вы не поняли. не для запуска служб используются уч записи, а для аутентификации в сторонних сайтах сервисах завязанных на наш домен, переделывать сейчас 200+ пользователей на другие сущности нет возможности.
    16 февраля 2021 г. 20:21
  • Все, что ближе в иерархии к вашему конечному объекту, имеет приоритет над вышестоящими. Вы можете посмотреть порядок на вкладке наследование GPO
    разумеется. не помогло.

    • Изменено user00431 16 февраля 2021 г. 20:22
    16 февраля 2021 г. 20:21
  • И так, выяснилось. Нельзя тестировать политику на виртуальной машине, что я делаю часто наверное как и все. Политика прекрасно работает на физической машине, причем -всё в одной политике как и хотел ранее. Не знаю, как работал эксперимент, когда на вирт машине то работало с отключенной то с включенной, последнее время политика запрета не работала вообще на вирт машине, даже в единств числе, это меня и навело на мысль протестировать на физич машине. Короче, надо предупреждать майрософту как то, а может даже "дырку" нашел, так что считаю своё исследование как ответ. Всем спасибо за участие.
    • Помечено в качестве ответа user00431 17 февраля 2021 г. 7:33
    17 февраля 2021 г. 7:33
  • а на чём у вас виртуальные машины?
    17 февраля 2021 г. 7:55
  • тестировал на своем ноутбуке с гипервизором, на котором лабораторн вирт машина (естеств со своим именем  в домене, на которую действует политика).
    17 февраля 2021 г. 7:58
  • перефразирую вопрос: какая программа/служба используется для реализации и управления виртуальными машинами?
    17 февраля 2021 г. 8:02
  • так, если под гипервизором имелось ввиду Hyper-V, то убедитесь, что когда вы тестируете эту политику, то у вас не включена "enhanced session", ибо при включенной "enhanced session" вы логинетесь не локально, а через RDP, и соответвенно политика для локального входа не применяется.

    17 февраля 2021 г. 8:28