none
Не применяются GPO в AD уровня Windows 2016 при фильтрации по группам пользователей RRS feed

  • Вопрос

  • Недавно подняли уровень AD до Windows 2016 и с GPO произошел странный глюк:

    Есть несколько GPO, настроенных на применение только к определенным группам компьютеров или пользователей. Политики, которые настроены на группы в которых только компьютеры - применяются, а вот политики, которые настроены на группы с пользователями - нет. Политики применяются на уровне домена, не к OU, так как пользователи могут находиться в разных подразделениях.

    Раньше, когда уровень домена был 2003, все политики работали корректно.

    Привожу примеры скриншотов:

    1. Вот gpresult для пользователя. Зеленым подчеркнул GPO которые применяются для групп компьютеров, красным обвел политики, которые должны применяться к пользователю, так как он входит в группы, для которых эти политики и были созданы, но они не применяются

    2. Для примера политика "Папка для кладовщиков ГП". Пользователь входит в группу "Кладовщики складов ГП". Группу создавали и глобальную, и локальную, это никак не влияло на результат. Пробовал применить политику к конкретному пользователю, а не к группе - всё нормально, применяется.


    3. Вот параметры делегирования к политике. Пробовал сюда добавлять "Прошедшие проверку" с правами чтения - не помогло.


    Что можно было настроить неправильно? Может что-то изменилось в параметрах применения фильтрации GPO?




    23 марта 2018 г. 7:38

Ответы

  • Делегировать мало. Грубо говоря - делегированием вы даете права на политику: чтение/изменение и тд., и к области применения не имеет никакого отношения.

    Нужно задать область действия политики, она должна быть применяться помимо пользователей еще и на компьютер. Вы можете добавить отдельно те компьютеры, что должны получать эту политику, но не думаю, что это очень удобно.

    В вашем случае на всех

    • Помечено в качестве ответа Yakov Stepanov 23 марта 2018 г. 10:31
    23 марта 2018 г. 9:23

Все ответы

  • Добрый день!

    Добавьте в фильтр Domain Computers

    23 марта 2018 г. 8:37
  • Сергей, вы уверены что надо добавить в фильтр, а не в Делегирование? Ведь получиться, что все компьютеры домена применять эту политику, а мне не надо применять политику на всех компьютерах домена, а только у пользователей из группы "Кладовщики складов ГП".

    Да, и в "Делегировании" права на чтение политики группе "Компьютеры домена" (Domain Computers) уже даны.



    23 марта 2018 г. 8:46
  • Делегировать мало. Грубо говоря - делегированием вы даете права на политику: чтение/изменение и тд., и к области применения не имеет никакого отношения.

    Нужно задать область действия политики, она должна быть применяться помимо пользователей еще и на компьютер. Вы можете добавить отдельно те компьютеры, что должны получать эту политику, но не думаю, что это очень удобно.

    В вашем случае на всех

    • Помечено в качестве ответа Yakov Stepanov 23 марта 2018 г. 10:31
    23 марта 2018 г. 9:23
  • Вам могу лишь посоветовать как-то структурировать ваши OU'шки дабы в дальнейшем не было такого геморроя.

    У меня это выглядит вот так:

    23 марта 2018 г. 9:26
  • Что можно было настроить неправильно? Может что-то изменилось в параметрах применения фильтрации GPO?

    MS16-072 Обновление безопасности для групповой политики: 14 июня 2016 г.

    Решение

    Чтобы устранить эту проблему, используйте консоль управления групповой политикой (GPMC. MSC) и выполните одно из следующих действий:
    • Добавление группы Прошедших проверку пользователей с разрешениями на чтение для объекта групповой политики (GPO).
    • При использовании фильтрации безопасности добавьте группу « Компьютеры домена » с разрешением на чтение.
    Sergey Ya в фильтрах нельзя указать какие разрешения применять (хотя фильтр по-умолчанию назначает "чтение"). И да, разрешение "чтение" имет отношение к применению политики: разрешено читать = разрешено применить, а кто будет применять - определено в связке "организацонная еденица" + "фильтр".
    23 марта 2018 г. 9:44
  • Что можно было настроить неправильно? Может что-то изменилось в параметрах применения фильтрации GPO?

    MS16-072 Обновление безопасности для групповой политики: 14 июня 2016 г.

    Решение

    Чтобы устранить эту проблему, используйте консоль управления групповой политикой (GPMC. MSC) и выполните одно из следующих действий:
    • Добавление группы Прошедших проверку пользователей с разрешениями на чтение для объекта групповой политики (GPO).
    • При использовании фильтрации безопасности добавьте группу « Компьютеры домена » с разрешением на чтение.
    Sergey Ya в фильтрах нельзя указать какие разрешения применять (хотя фильтр по-умолчанию назначает "чтение"). И да, разрешение "чтение" имет отношение к применению политики: разрешено читать = разрешено применить, а кто будет применять - определено в связке "организацонная еденица" + "фильтр".

    Мне кажется, я все так и описал, только другими словами)

    Чтение политики != применять политику, но то есть Apply Group Policy, но это так - к слову.

    23 марта 2018 г. 9:57
  • Чтение политики != применять политику
    а я и не утверждал обратного.
    Мне кажется, я все так и описал, только другими словами)
    в данной статье описывается настройка разрешений.
    Добавьте в фильтр Domain Computers
    в фильтрах нельзя настраивать разрешения. У Автора не применяются политики потому, что они не читаются. Поэтому, настроить делегирование чтения - достаточно. В фильтрах будет достаточно иметь только группу пользователей.

    • Изменено Anahaym 23 марта 2018 г. 10:17
    23 марта 2018 г. 10:16
  • Сергей, ну если "Компьютеры домена" на чтение не указаны, политика вообще не прочитается, будет вместо имени GUID GPO показывать и статус "недоступна".

    "Прошедшие проверку" на чтение - никак не влияет на применение политики к пользователю из группы.

    Разделить по OU компьютеры-пользователей не представляется возможным, так как у нас разные площадки, а на них одинаковые службы и приоритет применения политик по площадкам намного выше применения политик по службам. Поэтому службы и объединены в группы безопасности.

    Теперь результат: добавил в фильтр "Компьютеры домена" и всё заработало.

    Получается, что политика применяется сперва к компьютеру, а затем уже к пользователю, если он попадает под условие фильтра. Я правильно понял?


    23 марта 2018 г. 10:22

  • Получается, что политика применяется сперва к компьютеру, а затем уже к пользователю, если попадает под условие фильтра. Я правильно понял?

    1 - если компьютеру делегировано право прочитать политику - то он её прочитает
    2 - если пользователю назначено политику применить - то он её применит, при выполнении первого условия

    но у Вас почему-то без фильтра не заработало. У меня работает только с делегированием компьютерам и пользовательскими группами в фильтрах:



    • Изменено Anahaym 23 марта 2018 г. 10:30
    23 марта 2018 г. 10:29
  • Anahaym, у нас также раньше работало: компьютеры делегированы на чтение, группа пользователей на чтение+выполнение. Но в одно прекрасное морозное утро AD решил, что мало теперь одного чтения для компов, им теперь еще и выполнение подавай. В принципе, мне монопенесуально, будет ли еще один фильтр нет, просто логику M$ изменил, а я откуда должен был об этом узнать?

    А, кстати, какой уровень леса у вас? Мне просто интересно, связано ли это с переходом на Windows 2016




    23 марта 2018 г. 10:48
  • А, кстати, какой уровень леса у вас? Мне просто интересно, связано ли это с переходом на Windows 2016
    2012 R2, но есть один КД 2016. Надо будет проверить на досуге только уровень леса 2016
    23 марта 2018 г. 10:58