Лучший отвечающий
Не применяются GPO в AD уровня Windows 2016 при фильтрации по группам пользователей

Вопрос
-
Недавно подняли уровень AD до Windows 2016 и с GPO произошел странный глюк:
Есть несколько GPO, настроенных на применение только к определенным группам компьютеров или пользователей. Политики, которые настроены на группы в которых только компьютеры - применяются, а вот политики, которые настроены на группы с пользователями - нет. Политики применяются на уровне домена, не к OU, так как пользователи могут находиться в разных подразделениях.
Раньше, когда уровень домена был 2003, все политики работали корректно.
Привожу примеры скриншотов:
1. Вот gpresult для пользователя. Зеленым подчеркнул GPO которые применяются для групп компьютеров, красным обвел политики, которые должны применяться к пользователю, так как он входит в группы, для которых эти политики и были созданы, но они не применяются
2. Для примера политика "Папка для кладовщиков ГП". Пользователь входит в группу "Кладовщики складов ГП". Группу создавали и глобальную, и локальную, это никак не влияло на результат. Пробовал применить политику к конкретному пользователю, а не к группе - всё нормально, применяется.
3. Вот параметры делегирования к политике. Пробовал сюда добавлять "Прошедшие проверку" с правами чтения - не помогло.
Что можно было настроить неправильно? Может что-то изменилось в параметрах применения фильтрации GPO?
- Изменено Yakov Stepanov 23 марта 2018 г. 8:42
23 марта 2018 г. 7:38
Ответы
-
Делегировать мало. Грубо говоря - делегированием вы даете права на политику: чтение/изменение и тд., и к области применения не имеет никакого отношения.
Нужно задать область действия политики, она должна быть применяться помимо пользователей еще и на компьютер. Вы можете добавить отдельно те компьютеры, что должны получать эту политику, но не думаю, что это очень удобно.
В вашем случае на всех
- Помечено в качестве ответа Yakov Stepanov 23 марта 2018 г. 10:31
23 марта 2018 г. 9:23
Все ответы
-
Добрый день!
Добавьте в фильтр Domain Computers
23 марта 2018 г. 8:37 -
Сергей, вы уверены что надо добавить в фильтр, а не в Делегирование? Ведь получиться, что все компьютеры домена применять эту политику, а мне не надо применять политику на всех компьютерах домена, а только у пользователей из группы "Кладовщики складов ГП".
Да, и в "Делегировании" права на чтение политики группе "Компьютеры домена" (Domain Computers) уже даны.
- Изменено Yakov Stepanov 23 марта 2018 г. 8:49
23 марта 2018 г. 8:46 -
Делегировать мало. Грубо говоря - делегированием вы даете права на политику: чтение/изменение и тд., и к области применения не имеет никакого отношения.
Нужно задать область действия политики, она должна быть применяться помимо пользователей еще и на компьютер. Вы можете добавить отдельно те компьютеры, что должны получать эту политику, но не думаю, что это очень удобно.
В вашем случае на всех
- Помечено в качестве ответа Yakov Stepanov 23 марта 2018 г. 10:31
23 марта 2018 г. 9:23 -
Вам могу лишь посоветовать как-то структурировать ваши OU'шки дабы в дальнейшем не было такого геморроя.
У меня это выглядит вот так:
23 марта 2018 г. 9:26 -
Что можно было настроить неправильно? Может что-то изменилось в параметрах применения фильтрации GPO?
MS16-072 Обновление безопасности для групповой политики: 14 июня 2016 г.
Решение
Чтобы устранить эту проблему, используйте консоль управления групповой политикой (GPMC. MSC) и выполните одно из следующих действий:- Добавление группы Прошедших проверку пользователей с разрешениями на чтение для объекта групповой политики (GPO).
- При использовании фильтрации безопасности добавьте группу « Компьютеры домена » с разрешением на чтение.
23 марта 2018 г. 9:44Модератор -
Что можно было настроить неправильно? Может что-то изменилось в параметрах применения фильтрации GPO?
MS16-072 Обновление безопасности для групповой политики: 14 июня 2016 г.
Решение
Чтобы устранить эту проблему, используйте консоль управления групповой политикой (GPMC. MSC) и выполните одно из следующих действий:- Добавление группы Прошедших проверку пользователей с разрешениями на чтение для объекта групповой политики (GPO).
- При использовании фильтрации безопасности добавьте группу « Компьютеры домена » с разрешением на чтение.
Мне кажется, я все так и описал, только другими словами)
Чтение политики != применять политику, но то есть Apply Group Policy, но это так - к слову.
23 марта 2018 г. 9:57 -
Чтение политики != применять политику
а я и не утверждал обратного.
Мне кажется, я все так и описал, только другими словами)
в данной статье описывается настройка разрешений.
Добавьте в фильтр Domain Computers
в фильтрах нельзя настраивать разрешения. У Автора не применяются политики потому, что они не читаются. Поэтому, настроить делегирование чтения - достаточно. В фильтрах будет достаточно иметь только группу пользователей.
- Изменено AnahaymModerator 23 марта 2018 г. 10:17
23 марта 2018 г. 10:16Модератор -
Сергей, ну если "Компьютеры домена" на чтение не указаны, политика вообще не прочитается, будет вместо имени GUID GPO показывать и статус "недоступна".
"Прошедшие проверку" на чтение - никак не влияет на применение политики к пользователю из группы.
Разделить по OU компьютеры-пользователей не представляется возможным, так как у нас разные площадки, а на них одинаковые службы и приоритет применения политик по площадкам намного выше применения политик по службам. Поэтому службы и объединены в группы безопасности.
Теперь результат: добавил в фильтр "Компьютеры домена" и всё заработало.
Получается, что политика применяется сперва к компьютеру, а затем уже к пользователю, если он попадает под условие фильтра. Я правильно понял?
- Изменено Yakov Stepanov 23 марта 2018 г. 10:31
23 марта 2018 г. 10:22 -
Получается, что политика применяется сперва к компьютеру, а затем уже к пользователю, если попадает под условие фильтра. Я правильно понял?
1 - если компьютеру делегировано право прочитать политику - то он её прочитает
2 - если пользователю назначено политику применить - то он её применит, при выполнении первого условияно у Вас почему-то без фильтра не заработало. У меня работает только с делегированием компьютерам и пользовательскими группами в фильтрах:
- Изменено AnahaymModerator 23 марта 2018 г. 10:30
23 марта 2018 г. 10:29Модератор -
Anahaym, у нас также раньше работало: компьютеры делегированы на чтение, группа пользователей на чтение+выполнение. Но в одно прекрасное морозное утро AD решил, что мало теперь одного чтения для компов, им теперь еще и выполнение подавай. В принципе, мне монопенесуально, будет ли еще один фильтр нет, просто логику M$ изменил, а я откуда должен был об этом узнать?
А, кстати, какой уровень леса у вас? Мне просто интересно, связано ли это с переходом на Windows 2016
- Изменено Yakov Stepanov 23 марта 2018 г. 10:55
23 марта 2018 г. 10:48 -
А, кстати, какой уровень леса у вас? Мне просто интересно, связано ли это с переходом на Windows 2016
2012 R2, но есть один КД 2016. Надо будет проверить на досуге только уровень леса 201623 марта 2018 г. 10:58Модератор