none
Не применяются групповые политики RRS feed

  • Вопрос

  • Здравствуйте!

    Несколько дней назад накатил обновления Windows на DC. По глупости не сделал бакап. Предположительно после обновления перестали работать групповые политики.

    Все пользователи в стандартном подразделении Users.

    Права назначаются через группы.

    В групповой политике в корне созданы объекты групповой политики, в фильтрах безопасности удалена группа "Прошедшие проверку" и добавлена соответствующая группа безопасности, в закладке "Делегирование" права на чтение и применение. Всё замечательно работало много лет, но вот, несколько дней назад, политики перестали применяться.

    Если запустить моделирование групповой политики на сервере, то результат выглядит так (на мой взгляд, всё верно):

    ************************************************

    Пользователь CORP\vryabko 
    Контейнер пользователя corp.fdstudio.kz 
    Домен corp.fdstudio.kz 
    Обработка медленного канала связи Нет 
    Обработка замыкания на себя Нет 

    Объекты групповой политики
    Примененные объекты групповой политики
    Имя Ссылка Редакция 
    FD_GPO_DEFAULT corp.fdstudio.kz AD (1), Sysvol (65535) 
    FD_GPO_PROFSTROY corp.fdstudio.kz AD (1), Sysvol (65535) 
    FD_GPO_ENGINEER corp.fdstudio.kz AD (1), Sysvol (65535) 
    FD_GPO_DOC corp.fdstudio.kz AD (1), Sysvol (65535) 
    FD_GPO_BOSS corp.fdstudio.kz AD (1), Sysvol (65535) 
    FD_GPO_ACC corp.fdstudio.kz AD (1), Sysvol (65535) 
    FD_GPO_TEST corp.fdstudio.kz AD (1), Sysvol (65535) 
    Default Domain Policy corp.fdstudio.kz AD (0), Sysvol (65535) 

    Отклоненные объекты групповой политики
    Имя Ссылка Причина отказа 
    FD_GPO_WSUS corp.fdstudio.kz Отказано в доступе (фильтрация ограничений безопасности) 

    Имитация членства в группе безопасности
    CORP\vryabko
    BUILTIN\Пользователи
    CORP\Пользователи домена
    Все
    BUILTIN\Доступ DCOM службы сертификации
    BUILTIN\Пред-Windows 2000 доступ
    NT AUTHORITY\Прошедшие проверку
    NT AUTHORITY\Данная организация
    CORP\FD_PROFSTROY
    CORP\FD_DOC
    CORP\FD_ACC
    CORP\UPDATE_P4_USER
    CORP\FD_ENGINEER
    CORP\P4_RDP
    CORP\FD_TEST
    CORP\FD_DEFAULT
    CORP\FD_DOC_DEL_FILES
    CORP\FD_WORKSHOP
    CORP\FD_BOSS
    Обязательная метка\Средний обязательный уровень
    Фильтры WMIскрыть
    Имя Значение Ссылающиеся объекты групповой политики 
    Отсутствует 

    Состояние компонента
    Имя компонента Состояние 
    Инфраструктура групповой политики Успешно 
    Group Policy Drive Maps Успешно 
    Group Policy Environment Успешно 
    Group Policy Files Успешно 
    Group Policy Folders Успешно 
    Group Policy Printers Успешно 
    Group Policy Registry Успешно 
    Group Policy Shortcuts Успешно 
    Реестр Успешно 

    ************************************************

    А на клиенте вот так

    ************************************************

    Конфигурация ОС:            Рядовая рабочая станция
    Версия ОС:                  6.1.7601
    Имя сайта:                  Н/Д
    Перемещаемый профиль:                     Н/Д
    Локальный профиль:          C:\Users\vryabko
    Подключение по медленному каналу: Нет


    Конфигурация пользователя
    --------------------------
        CN=Vladimir Ryabko,CN=Users,DC=corp,DC=fdstudio,DC=kz
        Последнее применение групповой политики:  17.11.2016 в 14:18:50
        Групповая политика была применена с:      DS.corp.fdstudio.kz
        Порог медленного канала для групповой политики: 500 kbps
        Имя домена:                        CORP
        Тип домена:                        Windows 2000

        Примененные объекты групповой политики
        ---------------------------------------
            Default Domain Policy
            Local Group Policy

        Следующие политики GPO не были приняты, поскольку они отфильтрованы
        --------------------------------------------------------------------
            FD_GPO_WSUS
                Фильтрация:  Отказано (безопасность)

        Пользователь является членом следующих групп безопасности
        ---------------------------------------------------------
            Пользователи домена
            Все
            Пользователи удаленного рабочего стола
            Пользователи
            ИНТЕРАКТИВНЫЕ
            КОНСОЛЬНЫЙ ВХОД
            Прошедшие проверку
            Данная организация
            ЛОКАЛЬНЫЕ
            FD_PROFSTROY
            FD_DOC
            FD_ACC
            UPDATE_P4_USER
            FD_ENGINEER
            P4_RDP
            FD_TEST
            FD_DEFAULT
            FD_DOC_DEL_FILES
            FD_WORKSHOP
            FD_BOSS
            Средний обязательный уровень

    ************************************************

    Помогите, пожалуйста, разобраться.

    17 ноября 2016 г. 8:30

Ответы

  • После обновления из бюллетеня безопасности MS16-072 политики пользователя считываются в контексте учётной записи компьютера, а не пользователя. Подозреваю, именно это стало причиной вашей проблемы.

    Елси так, то дайте права на чтение для всех политик для учётных записей компьютеров (лучше всего - вернуть существовавшее по умолчанию разрешение на чтение для Прошедших проверку). Фильтрацию политики по пользователям и группам регулируйте разрешением Применить политику


    Слава России!

    17 ноября 2016 г. 8:54
  • Как добавить "Прошедшие проверку" не нашёл.


    Странно, что не нашли - вариантов много: через вкладку Details в панели просмотра политики в косноли управления групповой политикой; через редактирование соответствующей политики в свойствах этой политики: там есть вкладка Безопасность; можно и с помощью Powershell.

    Слава России!

    17 ноября 2016 г. 14:45

Все ответы

  • После обновления из бюллетеня безопасности MS16-072 политики пользователя считываются в контексте учётной записи компьютера, а не пользователя. Подозреваю, именно это стало причиной вашей проблемы.

    Елси так, то дайте права на чтение для всех политик для учётных записей компьютеров (лучше всего - вернуть существовавшее по умолчанию разрешение на чтение для Прошедших проверку). Фильтрацию политики по пользователям и группам регулируйте разрешением Применить политику


    Слава России!

    17 ноября 2016 г. 8:54
  • Как добавить "Прошедшие проверку" не нашёл.

    Политик немного, удалил и заново добавил.

    Сделал как рекомендовано - права группы безопасности "Чтение и применение", права "прошедшие проверку" "чтение".

    Компьютеры в стандартном подразделении Computesr, их отдельно не добавлял. 

    Проверил на трёх пользователях, всё работает, огромное спасибо! Буду ещё наблюдать.

    17 ноября 2016 г. 13:18
  • Как добавить "Прошедшие проверку" не нашёл.


    Странно, что не нашли - вариантов много: через вкладку Details в панели просмотра политики в косноли управления групповой политикой; через редактирование соответствующей политики в свойствах этой политики: там есть вкладка Безопасность; можно и с помощью Powershell.

    Слава России!

    17 ноября 2016 г. 14:45
  • Здравствуйте!

    Снова борюсь с GPO. Прошу помощи.

    Создал новую группу, добавил пользователей. Однако gpresult не показывает, что пользователи в этой группе. Ждал сутки, перегружал DC.

    То же самое при удалении пользователя из группы - gpresult выдаёт, что пользователь до сих пор член группы.

    Вот пример - пользователь в группах FD_SCHUECO и FD_SCHUECAL:

    C:\Windows\System32>dsquery user -samid vryabko | dsget user -memberof -expand
    "CN=FD_SCHUECO,CN=Users,DC=corp,DC=fdstudio,DC=kz"
    "CN=FD_SCHUECAL,CN=Users,DC=corp,DC=fdstudio,DC=kz"
    "CN=P4_INSIDE_RDP_USERS,OU=TS,DC=corp,DC=fdstudio,DC=kz"
    "CN=FD_ACC,CN=Users,DC=corp,DC=fdstudio,DC=kz"
    "CN=FD_DOC_DEL_FILES,CN=Users,DC=corp,DC=fdstudio,DC=kz"
    "CN=UPDATE_P4_USER,CN=Users,DC=corp,DC=fdstudio,DC=kz"
    "CN=FD_DOC,CN=Users,DC=corp,DC=fdstudio,DC=kz"
    "CN=FD_WORKSHOP,CN=Users,DC=corp,DC=fdstudio,DC=kz"
    "CN=FD_PROFSTROY,CN=Users,DC=corp,DC=fdstudio,DC=kz"
    "CN=FD_ENGINEER,CN=Users,DC=corp,DC=fdstudio,DC=kz"
    "CN=FD_BOSS,CN=Users,DC=corp,DC=fdstudio,DC=kz"
    "CN=FD_DEFAULT,CN=Users,DC=corp,DC=fdstudio,DC=kz"
    "CN=Пользователи домена,CN=Users,DC=corp,DC=fdstudio,DC=kz"
    "CN=Пользователи,CN=Builtin,DC=corp,DC=fdstudio,DC=kz"

    А вот gpresult. Пользователь не входит в эти группы, мало того, входит в группу FD_TEST, хотя я его оттуда удалил.

    C:\Users\vryabko>gpresult /user vryabko /r
    Программа формирования отчета групповой политики операционной системы
    Microsoft (R) Windows (R) версии 2.0
    (С) Корпорация Майкрософт, 1981-2001
    Создано на 07.01.2017 в 12:19:22

    Данные RSOP для CORP\vryabko на PC-VRYABKO : Режим ведения журнала
    -------------------------------------------------------------------
    Конфигурация ОС:            Рядовая рабочая станция
    Версия ОС:                  6.1.7601
    Имя сайта:                  Н/Д
    Перемещаемый профиль:                     Н/Д
    Локальный профиль:          C:\Users\vryabko
    Подключение по медленному каналу: Нет

    Конфигурация пользователя
    --------------------------
        CN=Vladimir Ryabko,CN=Users,DC=corp,DC=fdstudio,DC=kz
        Последнее применение групповой политики:  07.01.2017 в 11:19:04
        Групповая политика была применена с:      DS.corp.fdstudio.kz
        Порог медленного канала для групповой политики: 500 kbps
        Имя домена:                        CORP
        Тип домена:                        Windows 2000

        Примененные объекты групповой политики
        ---------------------------------------
            Default Domain Policy
            FD_GPO_ACC
            FD_GPO_BOSS
            FD_GPO_DEFAULT
            FD_GPO_DOC
            FD_GPO_ENGINEER
            FD_GPO_PROFSTROY
            FD_GPO_WSUS
            FD_GPO_UPDATE_P4_ADMIN_EXE_FILES
            Local Group Policy

        Следующие политики GPO не были приняты, поскольку они отфильтрованы
        --------------------------------------------------------------------
            FD_GPO_SCHUECAL
                Фильтрация:  Отказано (безопасность)

        Пользователь является членом следующих групп безопасности
        ---------------------------------------------------------
            Пользователи домена
            Все
            Пользователи удаленного рабочего стола
            Пользователи
            ИНТЕРАКТИВНЫЕ
            КОНСОЛЬНЫЙ ВХОД
            Прошедшие проверку
            Данная организация
            ЛОКАЛЬНЫЕ
            FD_PROFSTROY
            FD_DOC
            FD_ACC
            UPDATE_P4_USER
            FD_ENGINEER
            FD_TEST
            FD_DEFAULT
            FD_DOC_DEL_FILES
            P4_INSIDE_RDP_USERS
            FD_WORKSHOP
            FD_BOSS
            Средний обязательный уровень

    7 января 2017 г. 6:38
  • Интересная вещь.

    Добавляю в политику права на применение любой созданной ранее группы, в которую входит пользователь - политика начинает работать.

    Добавляю напрямую пользователя с правами на применение - политика начинает работать.

    Свежесозданную группу упорно игнорирует. : ( Все пользователи и группы в основном контейнере USERS, права на чтение "Прошедшим проверку" а так же всем компьютерам домена есть...

    "Моделирование групповой политики" работает как надо.

    А вот в закладке "Результаты групповой политики" всё то же Отказано в доступе (фильтрация ограничений безопасности)


    • Изменено FD studio 7 января 2017 г. 12:21
    7 января 2017 г. 12:05
  • Членство пользователя в группах фиксируется на рабочей станции в его маркере безопасности, который создаётся при входе в систему. То есть, до повторного входа в систему оно не обновится.


    Слава России!

    7 января 2017 г. 12:17
  • Так просто... А я DC мучил... Благодарю!

    Перезагрузил станцию - заработало, ярлычки появились...

    Подскажите, а давно такие правила? Раньше мне кажется gpupdate /force всегда всё новое подхватывал...


    • Изменено FD studio 7 января 2017 г. 12:28
    7 января 2017 г. 12:28