none
Фильтр GPO отказывает в доступе учетной записи компьютера RRS feed

  • Вопрос

  • Изучаю AD (на Windows Server 2008 R2) по книге Дэна Холме, не удается выполнить одно из упражнений. Суть упражнения:

    1. Ввести в домен ноутбук c именем Laptop103, добавить его в группу "Ноутбуки отдела продаж", группу добавить в OU "Клиенты";
    2. Создать новый GPO (Конфигурация ноутбуков отдела продаж), который будет задавать фоновый рисунок рабочего стола;
    3. Включить в этом GPO Режим обработки замыканий пользовательской групповой политики (Слияние);
    4. В фильтре безопасности GPO удалить объект прошедшие проверку, добавить группу "Ноутбуки отдела продаж"
    5. Связать GPO c UO "Клиенты"
    6. Залогиниться с Laptop103 и увидеть, что используется заданное в шаге 2 фоновое изображение рабочего стола.

    Выполнив шаг 6 я увидел, что фоновое изображение не изменилось.  Я сформировал результат групповой политики для Laptop103,  оказалось, что GPO (Конфигурация ноутбуков отдела продаж) отклонен, причина отказа "Отказано в доступе (фильтрация ограничений безопасности)".

    Мне не удалось найти объяснения почему это работает так, обычно администраторы просто используют WMI, но мне это не подходит.

    Что пробовал:

    • Добавил в группу "Ноутбуки отдела продаж" пользователя который логинится на Laptop103 - в этом случае политика применяется;
    • На вкладке Делегирование в GPO (Конфигурация ноутбуков отдела продаж) дал полные права учетной записи ноутбука Laptop103 - "Отказано в доступе (фильтрация ограничений безопасности)";
    • Связал политику не с отдельным OU, а со всем доменом, добавил в группу "Ноутбуки отдела продаж" контроллер домена - результат тот же, "Отказано в доступе (фильтрация ограничений безопасности)";

    Насколько я понял, фильтр безопасности по какой-то причине отказывает в применении политики учетным записям компьютеров.


    16 февраля 2019 г. 7:55

Ответы

  • Чрез пару глав в этой же книге нашел вот такое примечание:

    При объединении обработки замыкания с фильтрацией групп безопасности для применения параметров пользователя во время обновления политики используются учетные данные компьютера, чтобы определить объекты GPO в обработке замыкания, однако для успешного применения GPO вошедший пользователь также должен обладать разрешением на применение групповой политики.

    На вкладке делегирование GPO (Конфигурация ноутбуков отдела продаж) я дал права на применение политике группе Пользователи домена, это не помогло, тогда я так же дал права на чтение, после этого политика заработала.

    • Помечено в качестве ответа EducationAccount 16 февраля 2019 г. 9:01
    16 февраля 2019 г. 9:01

Все ответы

  • Вставать ссылку на отчет по  результату групповой политики нет прав

    16 февраля 2019 г. 8:01
  • Чрез пару глав в этой же книге нашел вот такое примечание:

    При объединении обработки замыкания с фильтрацией групп безопасности для применения параметров пользователя во время обновления политики используются учетные данные компьютера, чтобы определить объекты GPO в обработке замыкания, однако для успешного применения GPO вошедший пользователь также должен обладать разрешением на применение групповой политики.

    На вкладке делегирование GPO (Конфигурация ноутбуков отдела продаж) я дал права на применение политике группе Пользователи домена, это не помогло, тогда я так же дал права на чтение, после этого политика заработала.

    • Помечено в качестве ответа EducationAccount 16 февраля 2019 г. 9:01
    16 февраля 2019 г. 9:01