none
GPO Access Denied (Security Filtering) RRS feed

  • Вопрос

  • Доброго времени суток

    Помогите разобраться

    Есть пользовательская политика с логон скриптом, которая распространяется на 2 OU (DC, Serv)

    Установлено замыкание политики (MERGE) что бы она отрабатывала только на нужных серверах

    На одной OU все прекрасно отрабатывает, а на второй ни в какую

    В RSOP все без ошибок но политики нужной нет

    В GPResult нашел что эта политика находится в статусе Access Denied (Security Filtering)

    Но тоже самое на второй OU отрабатывает

    По правам: Authenticated Users (Read); Domain Admins (Full + Aplly); Все остальные дефолтные

    Если это важно неотрабатывает на DC

    19 сентября 2014 г. 6:54
    Модератор

Ответы

  • Доброго времени суток

    Помогите разобраться

    Есть пользовательская политика с логон скриптом, которая распространяется на 2 OU (DC, Serv)

    Установлено замыкание политики (MERGE) что бы она отрабатывала только на нужных серверах

    На одной OU все прекрасно отрабатывает, а на второй ни в какую

    В RSOP все без ошибок но политики нужной нет

    В GPResult нашел что эта политика находится в статусе Access Denied (Security Filtering)

    Но тоже самое на второй OU отрабатывает

    По правам: Authenticated Users (Read); Domain Admins (Full + Aplly); Все остальные дефолтные

    Если это важно неотрабатывает на DC

    Есть подозрение, что это из-за UAC: он удаляет из маркера процесса группу Domain Admins, а при локальном обращении на КД к хранилищу политик используется именно этот локальный маркер.

    Проверить просто: зайдите под встроеным администратором домена (к нему UAC не применяется) и посмотрите, применятся ли политики.

    Если дело в этом, и если предложенное _osr решение вас не устраивает (т.е. политика должна применяться не ко всем, а только к администраторам домена), то попробуйте включить группу Domain admins в другую глобальную группу единственным её членом и дать разрешение на применение политике этой группе.


    Слава России!


    22 сентября 2014 г. 12:29

Все ответы

  • Help me please
    22 сентября 2014 г. 7:06
    Модератор
  • Установите следующие разрешения:

    Authenticated Users (Read , Apply Group Policy),
    Domain Admins (Read, Write, Create all child objects, Delete all child objects, сбросить флажок Apply Group Policy),
    System (Read, Write, Create all child objects, Delete all child objects, сбросить флажок Apply Group Policy)
    Enterprise Domain Controllers (Read)


    22 сентября 2014 г. 7:45
    Модератор
  • Доброго времени суток

    Помогите разобраться

    Есть пользовательская политика с логон скриптом, которая распространяется на 2 OU (DC, Serv)

    Установлено замыкание политики (MERGE) что бы она отрабатывала только на нужных серверах

    На одной OU все прекрасно отрабатывает, а на второй ни в какую

    В RSOP все без ошибок но политики нужной нет

    В GPResult нашел что эта политика находится в статусе Access Denied (Security Filtering)

    Но тоже самое на второй OU отрабатывает

    По правам: Authenticated Users (Read); Domain Admins (Full + Aplly); Все остальные дефолтные

    Если это важно неотрабатывает на DC

    Есть подозрение, что это из-за UAC: он удаляет из маркера процесса группу Domain Admins, а при локальном обращении на КД к хранилищу политик используется именно этот локальный маркер.

    Проверить просто: зайдите под встроеным администратором домена (к нему UAC не применяется) и посмотрите, применятся ли политики.

    Если дело в этом, и если предложенное _osr решение вас не устраивает (т.е. политика должна применяться не ко всем, а только к администраторам домена), то попробуйте включить группу Domain admins в другую глобальную группу единственным её членом и дать разрешение на применение политике этой группе.


    Слава России!


    22 сентября 2014 г. 12:29
  • Установите следующие разрешения:

    Authenticated Users (Read , Apply Group Policy),
    Domain Admins (Read, Write, Create all child objects, Delete all child objects, сбросить флажок Apply Group Policy),
    System (Read, Write, Create all child objects, Delete all child objects, сбросить флажок Apply Group Policy)
    Enterprise Domain Controllers (Read)


    то что установлено так установлено осознанно

    политика применяется на несколько OU и мне нужно что бы только несколько групп пользователей получали скрипту из этой политики

    Добавлены домен админы, и одна группа сверху, а вот всем пользователям это не к чему

    писать 2 групповые политики одинаковые как то излишне +

    первоначально все было настроено именно так и так же скрипт не отрабатывал

    22 сентября 2014 г. 12:37
    Модератор
  • Мой ответ выше выдели?


    Слава России!

    22 сентября 2014 г. 12:58
  • Видел пока не попробовал

    Обязательно отпишусь о результатах

    Есть только вопрос группа должна быть глобальной?

    22 сентября 2014 г. 13:01
    Модератор