none
Не применяются GPO для группы компьютеров RRS feed

  • Вопрос

  • Есть политика установки некой программы.  В фильтре применения стоит группа, в которую добавлены нужные компьютеры.  Политика не срабатывает ни после нескольких перезагрузок, ни после /force...но!.... если вместе с группой в фильтр я добавлю конкретные компьютеры, то на них все отрабатывается без проблем. Почему не видит компы в группе? Добавлять компы по одному мягко говоря неудобно.

    область группы-глобальная, тип- безопасность

    6 августа 2014 г. 7:18

Ответы

  • не уверен, но все ж. Пересоздайте группу в Локальную-Безопасность. У меня так собраны компьютеры для фильтрации гпо.
    • Помечено в качестве ответа NebelIgel 9 августа 2014 г. 7:12
    7 августа 2014 г. 8:09

Все ответы

  • Должно работать и так и так. Права на чтение msi есть у группы или у отдельных компьютеров?

    6 августа 2014 г. 7:33
  • права на доступ к папке, где лежит msi программы? Если да, то там доступ для "все" открыт. Я использовал общедоступную папку на одном из КД , а также папку на NAS.
    6 августа 2014 г. 13:15
  • Если добавить группу в безопасность политики, что говорит gpresult на клиентской машине?
    6 августа 2014 г. 13:18
  • в журналах должно быть что-то или gpresult /z
    6 августа 2014 г. 13:20
  • Скорее всего вы недавно создали эту группу. Компьютер будет считать себя членом группы после перезагрузки.

    Для проверки можете запустить на компьютере gpresult /r /scope:computer

    и посмотреть членство компьютера в группах


    Microsoft Certified Doing Nothing Expert

    6 августа 2014 г. 13:55
  • пока нет возможности  на боевом железе глянуть, но ситуация точно повторяется на виртуальном стенде.

    кусочек gpresult /z :

     Примененные объекты групповой политики
     ---------------------------------------
         Default Domain Policy
         go_msi_go

     Следующие политики GPO не были приняты, поскольку они отфильтрованы
     --------------------------------------------------------------------
         Local Group Policy
             Фильтрация:  Не применяется (пусто)

     Компьютер является членом следующих групп безопасности
     ------------------------------------------------------
         Администраторы
         Все
         Пользователи
         СЕТЬ
         Прошедшие проверку
         Данная организация
         RABBIT$
         Компьютеры домена
         йцу
         Обязательный уровень системы

     Результирующий набор политик для компьютера
     --------------------------------------------

         Установка программ
         ------------------
             GPO: go_msi_go
                 Имя:               OCSAgent3
                 Версия:            1.0
                 Статус развертывания: Назначено
                 Источник:          \\192.168.10.51\share\OCSAgent3.msi
                 Автоматическая установка: Истина
                 Исходная папка:           Примененное приложение

    ЗЫ: go_msi_go - та самая политика, йцу - группа в фильтре этой политики, комп в нее входит

    ЗЫЫ: это результат после 3х перезагрузок клиента и gpupdate /force


    • Изменено NebelIgel 6 августа 2014 г. 18:26
    6 августа 2014 г. 18:10
  • йцу, это что реальное имя группы? =))
    6 августа 2014 г. 19:38
  • ну, это же виртуальный стенд для экспериментов) там и клиент- RABBIT потому, что подопытный)  Завтра получу данные с реальных машин
    6 августа 2014 г. 20:01
  • а не считает ли ocs уже установленным на этой машине? а политика отработавшей?

    это уже в журналах нужно смотреть, что происходит при установке. а она запускается политикой.

    • Изменено Alex McTerry 7 августа 2014 г. 4:59
    7 августа 2014 г. 4:58
  • в журналах не нахожу ни одного упоминания об установке программ или о OCS, ошибок вообще нет. Также в папке с установщиком обычно появляется лог, а тут ничего. Никакие папки на клиентской машине не создаются, при ручном запуске установщика он предлагает  установить, а не  изменить/восстановить/удалить как если бы он нашел хвосты от установленной программы. Будто вообще не пытается даже ставить.

    посмотрел разрешения на msi в политике -  у группы  есть права на все "чтение", точно также как и у конкретного компа.

    • Изменено NebelIgel 7 августа 2014 г. 6:32
    7 августа 2014 г. 6:22
  • Возможно это


    Вкратце, отработав единожды на компе, политика установки повторно выполняться не будет.

    7 августа 2014 г. 6:48
  • Но ведь она не отработала ни разу. Уже несколько дней висит политика с группой в фильтре и если я сегодня добавлю конкретный комп, то завтра уже вижу его примененным в OCS, а те что в группе так и висят пустые.
    7 августа 2014 г. 7:38
  • не уверен, но все ж. Пересоздайте группу в Локальную-Безопасность. У меня так собраны компьютеры для фильтрации гпо.
    • Помечено в качестве ответа NebelIgel 9 августа 2014 г. 7:12
    7 августа 2014 г. 8:09
  • не уверен, но все ж. Пересоздайте группу в Локальную-Безопасность. У меня так собраны компьютеры для фильтрации гпо.

    Сделал. Кажется прогресс есть). Пара компов из этой группы появились сегодня. Нужен еще день  чтобы удостовериться.

    ЗЫ: компы продолжают появляться, похоже группа работает. Разве что медленно, в день появляется 2-3 машины, хотя в сети их больше 100

    • Изменено NebelIgel 9 августа 2014 г. 7:11
    8 августа 2014 г. 5:37