none
Не изменяется порядок применения групповых политик!!! RRS feed

  • Вопрос

  • День добрый. Вот такая ситуация.
    Имеется политика (назовем ее "политика 1"), распространяемая на все компьютеры домена. Она удаляет всех имеющихся участников из группы Локальные администраторы и добавляет в неё те группы, которые должны иметь эти привилегии.

    Стоит задача: на определенном компьютере добавить в локальные администраторы конкретного пользователя.  

    Добавлять его напрямую на рабочей станции нельзя, поскольку все изменения будут отменены политикой 1. Тогда создается политика (политика 2), распространяемая только на определенный компьютер (устанавливается соответствующий фильтр безопасности). Она добавляет в группу локальных администраторов конкретного пользователя. Политика 2 результата не дает, поскольку политика 1 её перекрывает. Причем изменение ее очередности стрелками на вкладке связанных с OU GPO не дает результата. Политика 2 с успехом применяется, если только Политика 1 отключена.

    Что я не учитываю, делаю не правильно?

     P.S. Можно запретить применятся Политике 1 на том конкретном компьютере, но не красиво это как то.           
    9 декабря 2014 г. 9:57

Ответы

  • Вообще говоря некрасиво как раз ваш случай - получать конфликт настроек restircted groups (вы ведь через resticted groups делаете?) на одной машине. Стоит посмотреть в rsop применена ли политика 2 на проблемной машине, что она пишет по поводу применения - не отвергнута ли из-за конфликта. Во вкладке "Наследование групповой политики" убедиться что Политика 2 стоит выше Политики 1. Можно попробовать сделать "Принудительно" для Политики 2, в таком случае она будет иметь наивысший приоритет.

    Я бы сделал по-другому:

    1. если не хотите уходить от restricted groups - я бы поправил область действия политик. Политика 2 - на конкретную машину, Политика 1 - на группу машин, в которую не входит ваш проблемный компьютер.

    2. А лучше использовать GPP "Локальные пользователи и группы", которое позволяет и удалить прежних членов группы и добавить новых, и сделать нацеливание на уровень элемента вида "применять к машинам если они не ИМЯ_МАШИНЫ" и "применять к машине ИМЯ_МАШИНЫ", соответственно можно управиться 2мя предпочтениями в одном объекте групповой политики.

    Оба этих способа сделают проще жизнь в будущем, если придется делать это еще для каких-то машин. Я бы выбрал предпочтения.


    9 декабря 2014 г. 13:37