none
GPO не применяется к пользователям группы RRS feed

  • Вопрос

  • Добрый день.

    Есть политика распространения ярлыков, настройки лежат в User Configuration. Она закреплена за OU Центр, в ней есть глобальная группа Users, в которую входят разные пользователи, которые лежат в другой OU. Ярлыки из политики у этих пользователей не появляются. В результирующей политике этой политики нет. На пользователей, которые лежат не в группах, все применяется без проблем. Фильтров нет. Если этих же пользователей положить ту да же, то все применяется корректно.

    Почему так может происходить? Пытался найти информацию по действию политик на группы, но вроде все должно работать нормально.





Ответы

Все ответы

  • Добрый день.

    Есть политика распространения ярлыков, настройки лежат в User Configuration. Она закреплена за OU Центр, в ней есть глобальная группа Users, в которую входят разные пользователи, которые лежат в другой OU. Ярлыки из политики у этих пользователей не появляются. В результирующей политики этой политики нет. На пользователей, которые лежат не в группах, все применяется без проблем. Фильтров нет. Если этих же пользователей положить ту да же, то все применяется корректно.

    Почему так может происходить? Пытался найти информацию по действию политик на группы, но вроде все должно работать нормально.




    Скорее всего тема стара как мир.

    Если используете фильтрацию по группе, необходимо, добавить группу "Прошедшие проверку" на чтение в делегировании

  • Скорее всего тема стара как мир.

    Если используете фильтрацию по группе, необходимо, добавить группу "Прошедшие проверку" на чтение в делегировании

    Так там по умолчанию у authenticated users есть read & apply. Она переносится из фильтра безопасности.
  • Тогда, покажите 2 скриншота:

    - вкладку области , где фигурируют связи и фильтр безопасности

    - вкладку делегирования прав

  • Тогда, покажите 2 скриншота:

    - вкладку области , где фигурируют связи и фильтр безопасности

    - вкладку делегирования прав

    Сейчас еще поискал этот вопрос на англоязычных форумах, нашел информацию о том, что GPO применяются только к юзерам и компьютерам. Если у вас есть возможность, попробуйте у себя протестировать такое применение политик.

  • Вот еще тема с технета по тому же вопросу:

    https://social.technet.microsoft.com/Forums/windowsserver/en-US/0ff8eafc-d6ef-473e-8b4f-c52361c7c2f5/how-to-apply-group-policy-on-security-groups?forum=winserverGP

    As you know, GPO can only be linked to Site, Domain and OU. In addition, GPO will also not applied to the Group objects by design. It only can be applied to User and Computer objects.

    To apply the Group Policy on the User and Computer objects based on Security Groups, you will need to use Security Filtering as mentioned above.

    For more information, please also read the following Microsoft TechNet article:

    Security filtering using GPMC
    http://technet.microsoft.com/en-us/library/cc781988(v=WS.10).aspx

    Regards,

    Получается так действительно нельзя сделать. Я раньше этого не замечал потому что обычно группы, в которые добавлен юзер, лежат в той же OU, что и сам юзер.


    • Изменено Валера2 23 мая 2019 г. 8:51
    • Предложено в качестве ответа Svolotch 23 мая 2019 г. 13:15
    • Помечено в качестве ответа Валера2 24 мая 2019 г. 5:31
  • Я тогда не понимаю, Ваша формулировка разнится с данными на скриншотах

    Из формулировки я думал, что вы применяете политику согласно фильтрации по какой-то группе безопаности.

    У вас же, стоят прошедшие проверку, которые само собой фигурируют на чтение и выполнение политики. Т.е. исходя из этих соображений, всё нормально.Остаётся только одно, вы походу линкуете политику на OU, где нет пользователя, на котором делаете проверку


    • Изменено DmitryG_ 23 мая 2019 г. 8:54
  • Остаётся только одно, вы походу линкуете политику на OU, где нет пользователя, на котором делаете проверку


    Да, все так. Наверно я просто не очень понятно описал ситуацию в первом посте. Под фильтров нет я имел ввиду что настройки фильтрации стоят по умолчанию.
  • Если фильтрация по умолчанию, если политика включена и если она прилинкована к OU с пользователем (а политика для пользователя в вашем случае), то она 100% должна в gpresult быть. Вопрос с ошибками или без них, второй.

    Пните принудительно ваш комп тестовый gpupdate /force и выполните gpresult

    Так же посмотрите логи GroupPolicy на клиенте, нет ли там ошибок

    Ну и надеюсь, что политика рассинхронизировалась на все DC и комп, на котором проходит авторизация видит эти политики

    Посмотреть авторизацию можно через set logon

  • мля...

    Валера2, емнр, ПОЛИТИКИ НА ГРУППЫ НЕ ПРИМЕНЯЮТСЯ!

    вешайте политику на корень(или на ту OU гду у вас сидят все пользователи) и затем фильтруйте применение политик конкретно на группу этих пользователей(не забудьте про фильтр рид(чтение) для аутенфикейтед юзверей или просто для всех компов)

    • Предложено в качестве ответа Vector BCOModerator 23 мая 2019 г. 12:28
    • Помечено в качестве ответа Vector BCOModerator 24 мая 2019 г. 5:55
  • мля...

    Валера2, емнр, ПОЛИТИКИ НА ГРУППЫ НЕ ПРИМЕНЯЮТСЯ!

    вешайте политику на корень(или на ту OU гду у вас сидят все пользователи) и затем фильтруйте применение политик конкретно на группу этих пользователей(не забудьте про фильтр рид(чтение) для аутенфикейтед юзверей или просто для всех компов)


    Так он на корень и вешает, и не фильтрует по группе. И про чтение и прошедших я ему уже писал
  • Так он на корень и вешает, и не фильтрует по группе. И про чтение и прошедших я ему уже писал

    если не сложно, приведи цитату от ТС, где он так сказал.
  • мля...

    Валера2, емнр, ПОЛИТИКИ НА ГРУППЫ НЕ ПРИМЕНЯЮТСЯ!

    вешайте политику на корень(или на ту OU гду у вас сидят все пользователи) и затем фильтруйте применение политик конкретно на группу этих пользователей(не забудьте про фильтр рид(чтение) для аутенфикейтед юзверей или просто для всех компов)

    Да, спасибо, уже разобрался. Я как раз об этом и написал в сообщении выше с указанием ссылок на официальное описание от MS.