none
GPO если в Scope указан пользователь, не применяется если указана группа RRS feed

  • Вопрос

  • Здравствуйте.

    Никак не могу понять, где же я ошибся.

    Имеем следующую структуру в АД:

    domain.local\

                        OU\

                               test - user account

                               testPC - computer account

                               ou_group - group (пользователь test член группы ou_group)

    Линкую политику к OU, называю "testGPO"

    GPO:

     - Scope - "ou_group"

    - Settings: UserConf\WindowsSetting\Shortcuts\Create Shortcut

    применяем политику на компьютере testPC под пользователем test, gpresult показывает:

    testGPO

       Filtering: Denied (Security)

    Ярлык не появляется , если же я в Scope добавляю user "test"  вместо группы "ou_group" GPO применяется, ярлык у пользователя на раб столе появляется.

    Что я делаю не так?

    24 ноября 2012 г. 11:08

Ответы

  • Я упустил из вида момент с перезагрузкой компьютера.

    Т.е. я делал пользователя test членом группы ou_group, на тестовой машине делал пользователю логофф/логон и политика не применялась... А после перезагрузки - применилась... Видимо в этом и была моя ошибка, нужно было делать рестарт....

    • Помечено в качестве ответа osr_MVP, Moderator 26 ноября 2012 г. 7:42
    26 ноября 2012 г. 7:38

Все ответы

  • - проверьте свойства безопасности, у данного пользователя должны быть права на чтение этой политики

    - зайдите в папку с политикой под этим пользователем (/sysvol/) все файлы дает прочитать?

    24 ноября 2012 г. 13:34
  • У пользователя есть права на чтение этой политики, политики применяется, если я в Scope указываю пользователя, как только вместо пользователя указываю группу - Filterinfg: Denied (Security). Также под этим пользователем я могу смотреть содержимое папки Sysvol.
    26 ноября 2012 г. 2:16
  • тогда включайте журналы на стороне клиента, и выкладываете здесь

    Enable Logging for Core Group Policy
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]

    UserEnvDebugLevel REG_DWORD 0x30002

    The log file is written to the %Systemroot%\Debug\UserMode\Userenv.log

    и журнал сопоставления дисков (с уровнем ВСЕ сообщения)


    26 ноября 2012 г. 6:47
  • Я упустил из вида момент с перезагрузкой компьютера.

    Т.е. я делал пользователя test членом группы ou_group, на тестовой машине делал пользователю логофф/логон и политика не применялась... А после перезагрузки - применилась... Видимо в этом и была моя ошибка, нужно было делать рестарт....

    • Помечено в качестве ответа osr_MVP, Moderator 26 ноября 2012 г. 7:42
    26 ноября 2012 г. 7:38
  • перезагрузка не обязательна,

    применение GPP на диск, происходит при LogOn пользователя

    26 ноября 2012 г. 7:50