none
Не применяются групповые политики ... RRS feed

  • Общие обсуждения

  • Домен на Winsrv2008r2, клиентов недавно перевели на с Win7Pro на Win10Pro. Заметил, что перестали применяться групповые политики. Думал, дело в новом Windows 10. Скачал новые ADMX для Win10 1607, установил (пока, правда, только на английском). Создал новые политики со стандартными значениями, создал группу пользователей Simple Users в AD, в настройках поставил применять политику на эту группу. Не работает. Gpresult на клиентах выдаёт, что Default Group Policy применено, а новая политика - нет. Почитал, что нужно удалить обновление KB3159398 на DC. Удалил, перезагрузил. Всё равно не применяется новая политика, хоть ты тресни. Dcdiag в норме, даже /fix сделал на всякий случай.

    Что интересно - если скопировать новую политику со старой Default Group Policy - всё работает нормально и применяется. Новая политика - ни в какую не хочет.


    =STAS=

    30 марта 2017 г. 14:24

Все ответы

  • Возможно, речь об этом. Добавьте в вашу политику Domain Computers право на Read.

    MCSAnykey

    30 марта 2017 г. 14:34
  • Добавил - не работает всё равно. По статье, ссылку на которую вы мне предоставили, не делал - слишком большие изменения - страшновато.

    =STAS=

    30 марта 2017 г. 15:30
  • С первой попытки не заметил, что вы сами пишете про KB3159398. Ну, в таком случае, по ссылке выше именно ваша проблема.
    Если у вас не работает политика после делегирования ей полномочий на чтение для группы доменных компьютеров, то вы или не делегировали эти права, или не дождались репликации изменений\не выполнили gpupdate на клиенте\не перезагрузили компьютер.
    Обновления предназначены не для того, чтобы их удалять) но если проблему решать не хочется, то удалите обновление с клиента, контроллер домена тут не при чем.

    MCSAnykey

    30 марта 2017 г. 16:08
  • Почитал, что нужно удалить обновление KB3159398 на DC. Удалил, перезагрузил.

    Обновление уже стоит у Вас на клиентах, и поэтому они политики не применяют. Удалением обновления с контроллера делу не помочь , верните его обратно и поправьте делегирование, как советует коллега выше.

    30 марта 2017 г. 17:03
    Отвечающий
  • Дело в том, что по ссылке, которую коллега предоставил, надо не только компьютеры домена на чтение добавить в делегирование, но и также внести изменения в схему AD, чего не хотелось бы делать.

    =STAS=

    30 марта 2017 г. 17:20
  • Ну так не вносите изменения) но в таком случае, в каждый новый создаваемый объект групповой политики придется вручную добавлять делегирование на чтение для доменных компьютеров. Изменения в схеме всего лишь устанавливают дефолные пермишены для гпо, и новые политики будут создаваться с 'правильными' разрешениями.

    MCSAnykey

    30 марта 2017 г. 17:24
  • Переведу, зачем это изменение делают- для того, чтобы вновь созданные объекты политик уже имели измененные разрешения. Боитесь- создавайте гпо, и вносите изменения в них вручную (автоматически через Powershell). Так что с изменениями в схеме можете погодить и подкопить смелости, и спробовать в тестовой среде. 
    30 марта 2017 г. 17:25
    Отвечающий
  • Дело в том, что по ссылке, которую коллега предоставил, надо не только компьютеры домена на чтение добавить в делегирование, но и также внести изменения в схему AD, чего не хотелось бы делать.

    =STAS=

    Я вот тоже не стал бы делать изменения в схеме. Особенно - вручную, как предлагает автор статьи на Хабре ( а не с помощью заранее подготовленных и протестированных LDIF-файлов, как это делают средства типа adprep).  Очень уж непросто откатывать эти изменения обратно в случае ошибки.

    А политики с фильтрацией по группе безопасности - они совсем нечасто создаются, можно потратить лишнее время на выдачу разрешений.


    Слава России!


    • Изменено M.V.V. _ 30 марта 2017 г. 17:33
    30 марта 2017 г. 17:32
  • А всё равно - вернул обновления обратно и на DC и на компьютеры, добавил Компьютеры домена в Делегации с разрешением только на чтение и Прошедшие проверку тоже только на чтение - не работает и всё тут ! Старая Default Domain работает, любые новые - нет. Уже всё перепробовал, даже не знаю. Сделал копию старой Default Domain как заготовку, почистил всё внутри - итог - для юзеров применяется, для компов - нет. Загадка какая-то ...

    =STAS=

    31 марта 2017 г. 18:29
  • Если честно, я вообще не понял, что вы сделали и что у вас не заработало. Было бы неплохо с вашей стороны описать подробно, какие действия вы сделали: какие параметры гпо редактировали, пользовательского контекста или компьютерного или оба сразу, на какую ou'шку с какими объектами (юзеры там или пк или все вместе) назначили, на какую группу назначили фильтрацию (юзеры в ней или компы)?

    MCSAnykey

    1 апреля 2017 г. 14:51
  • Делаю в AD - Группу безопасности - Глобальная "Simple Users", вношу туда пользователей. Потом иду в Управление групповой политикой - создаю Новый объект групповой политики, в фильтрах безопасности удаляю "Прошедшие проверку" и добавляю "Simple Users", потом иду на вкладку Делегирование - там добавляю "Компьютеры домена" только на чтение, потом связываю эти групповые политики с доменом. НЕ РАБОТАЕТ !

    =STAS=

    • Изменено -STAS- 1 апреля 2017 г. 17:37
    1 апреля 2017 г. 17:37
  • То есть вы удивляетесь, что в данном случае политика успешно отрабатывает и устанавливает пользовательские параметры, но не устанавливает компьютерные? Ну ведь вы сами в security filtering внесли пользователей, вы ведь в курсе, что пользовательские настройки применяются к объектам пользователям, а компьютерные к объектам компьютеров, которых вы сами выгнали из этой политики, воткнув туда Simple users?:)
    Удалите компьютерные параметры из вашей пользовательской политики и перенесите их в отдельную политику для компов, и если нужно фильтровать ее применение к отдельным пк, так же фильтруйте, но на основании учетных записей компьютеров в security filtering.

    А добавление доменных компов в делегирование это из другой оперы, это чтоб при установленном обновлении у вас "корректно работал" security filtering. К тому же, вы делегировали права на чтение, но не на применение политик. Можно добавить делегирование на apply policy или просто добавить доменные компутеры в секурити фильтеринг, только вы потом сами задолбаетесь искать, откуда какие параметры применяются, сделайте очевидно: для фильтрации пользователей одна политика, для компов другая.

    MCSAnykey


    1 апреля 2017 г. 18:07
  • Спасибо за ответ - не знал, что компьютерные политики применяются к группам компьютеров (хотя это логично, но, видимо, что-то в голове у меня не так сработало :).

    НО: у меня фишка в другом - всё это работает только на старых политиках - действующих или вынутых из старых архивов. При создании новой политики - вообще ноль. Вот в чём проблема у меня. Я просто хотел создать новую, чистую политику и редактировать её с чистого листа, ан никак не хочет работать :(


    =STAS=

    • Изменено -STAS- 3 апреля 2017 г. 20:11
    1 апреля 2017 г. 18:23
  • Короче, не работают GP всё равно.

    =STAS=

    5 апреля 2017 г. 8:57
  • У кого как. У многих работает без проблем.

    Вообще ни к каким клиентам ничего не применяется, 7,8, 10, или есть у каких-то эффект целебный?

    5 апреля 2017 г. 9:05
    Отвечающий
  • Win10Prox64 везде стоят, домен на WinSrv2008R2. Дефолтные политики работают, вновь созданные - нет. Вообще, интересно, когда создаётся новая политика, откуда она настройки берёт ? Может, там собака зарыта ?

    =STAS=

    5 апреля 2017 г. 10:35
  • как проблему то решили?
    2 октября 2018 г. 9:10