none
Проблема фильтрации в групповых политиках RRS feed

  • Вопрос

  • Добрый день.

    У меня несколько необычная проблема, постараюсь описать максимально подробно.

    Есть несколько OU, на которые я хочу применить две групповых политики. Применяться они должны на основании членства в группах:

    Политика №1 - В фильтрах безопасности находится только Группа №1

    Политика №2 - В фильтрах безопасности Authenticated users, на вкладке делегирования у группы №1 стоит запрет на чтение и применении политики.

    Если на OU действует только одна политика, например  №1, то фильтрация срабатывает правильно. Политика действует только на членов группы. Но при этом в результирующей политике на остальных компьютерах политика №1 не указана в отклоненных, она в них вообще не фигурирует. 

    А вот если действуют обе политики, то почему то применяется №2. А №1 при этом нет в отклоненных.

    Подскажите пожалуйста, в чем может быть проблема?

    25 февраля 2019 г. 6:11

Ответы

  • Так билеты kerberos имеют срок действия (вроде 10 часов по умолчанию), после обновляются.

    А по фильтрацию - да, через ключи реестра. Если нужно сразу несколько параметров по одной группе фильтрации, то создаёте сначала коллекцию, на неё натравливаете фильтрацию, а в коллекции уже ключи реестра. 

    • Помечено в качестве ответа Валера2 28 февраля 2019 г. 8:05
    27 февраля 2019 г. 7:38

Все ответы

  • Спрошу первым делом - для обеих политик вы выдали Domain Computers = Read?

    В политиках есть одинаковые параметры или они независимы?

    25 февраля 2019 г. 6:17
  • Да. Все параметры делегирования стандартные, за исключением тех, про которые я написал.

    В обоих политиках указаны параметры центра обновлений. В первой автоматическая загрузка и установка и одна группа на wsus, во второй автоматическая загрузка и ручная установка и другая группа.

    Но разница в параметрах не должна же влиять на применение политики, если явно задана фильтрация?

    25 февраля 2019 г. 6:32
  • Да. Все параметры делегирования стандартные, за исключением тех, про которые я написал.

    В обоих политиках указаны параметры центра обновлений. В первой автоматическая загрузка и установка и одна группа на wsus, во второй автоматическая загрузка и ручная установка и другая группа.

    Но разница в параметрах не должна же влиять на применение политики, если явно задана фильтрация?

    стандартные параметры это группа Auth. users которую вы удалили

    кто находится в ou и в группах? покажите скрины политик и их закладок безопасности, а так же ou и групп (конф. инфу можно замазать)


    The opinion expressed by me is not an official position of Microsoft

    25 февраля 2019 г. 6:38
    Модератор
  • Политика №1

    Политика № 2

    Теперь результирующая политика сервера, на который действует только первая политика.

    А вот результирующая политика с сервера из OU HQServers

    25 февраля 2019 г. 7:03
  • Спросил вас про Domain Computers = Read. Вы ответили - да. И где оно в первой политике?
    25 февраля 2019 г. 7:05
  • Факап. Хорошо, но ведь обе политики применяются и без этой группы. По умолчанию её не было.

    В первой политике добавлена группа, в которую входят только те компьютеры, на которые она должна действовать.

    25 февраля 2019 г. 7:16
  • Прошло два дня и все компьютеры получили ту политику, которая должна быть на них. Старая теперь числится в отклоненных.

    Вроде бы всё хорошо, но странно что на обработку ушло так много времени. Возможно стоит на что-то обратить внимание? DCDIAG, Repadmin ошибок на контроллерах не выдали.

    27 февраля 2019 г. 5:56
  • Добрый день,

    Если вы ожидали что политика применится сразу же после включения компа в группу - это не так, требуется перезагрузка компа (либо сброс тикетов - ищите по обновлению членства в группе без перезагрузки через klist). 

    P.S.: Вообще отдельные параметры политики WSUS, если требуется разделить по группам, на разные WSUS-сервера, или ещё что либо, можно запихнуть и в одну политику, только через GPP и реестр с фильтрацией по группам доступа или по OU (да там вообще много вариантов )). Т.е.  общие для всех параметры настроить через templates, а различия через GPP. 

    27 февраля 2019 г. 6:32
  • Перезагрузка требуется только для политик, которые срабатывают при включении компьютера. В моем случае перезагрузка компа не обязательна. Сейчас аптайм 7 дней, соответственно ребута не было. Если что, gpupdate делал несколько раз.

    GPP хорошая вещь, возможно воспользуюсь ей позднее. Я правильно понимаю что та конфигурация, про которую вы написали, возможна только через ключи реестра и фильтрацию на них по группам?

    27 февраля 2019 г. 7:30
  • Так билеты kerberos имеют срок действия (вроде 10 часов по умолчанию), после обновляются.

    А по фильтрацию - да, через ключи реестра. Если нужно сразу несколько параметров по одной группе фильтрации, то создаёте сначала коллекцию, на неё натравливаете фильтрацию, а в коллекции уже ключи реестра. 

    • Помечено в качестве ответа Валера2 28 февраля 2019 г. 8:05
    27 февраля 2019 г. 7:38