none
Не применяется групповая политика для пользователя RRS feed

  • Вопрос

  • Добрый день.

    Контроллер домена на Windows Server 2008R2, настроена групповая политика для группы пользователей в отдельном OU. Обнаружил, что политика не применяется если в фильтре безопасности явно указаны пользователи вместо "Прошедшие проверку". Нашёл статью на  habrahabr.ru (https://habrahabr.ru/post/304202/) что обновление MS16-072 ломает групповые политики. Добавил "Доменные компьютеры" с доступом на чтение и политика начала замечательно применяться. Каким образом можно добавить группу "Доменные компьютеры" к уже созданным групповым политикам и изменить схему AD чтобы созданные новые политики были уже с требуемыми разрешениями? Статья на хабре насколько я понимаю применима только к Windows Server 2012R2.

    Заранее спасибо.

Ответы

  • Для того что бы политики применились на группу пользователей Вам нужно снять одну галку - "Применять групповую политику" у  Auth. users (по умолчанию галок 2, вторая галка называется "Читать ГП")

    The opinion expressed by me is not an official position of Microsoft

    Модератор

Все ответы

  • Для того что бы политики применились на группу пользователей Вам нужно снять одну галку - "Применять групповую политику" у  Auth. users (по умолчанию галок 2, вторая галка называется "Читать ГП")

    The opinion expressed by me is not an official position of Microsoft

    Модератор
  • Т.е. для применения политики к OU нужны разрешения "Применять групповую политику" и "Чтение", а для доменных пользователей в отдельности только "Чтение"? Я правильно понимаю?
  • Т.е. для применения политики к OU нужны разрешения "Применять групповую политику" и "Чтение", а для доменных пользователей в отдельности только "Чтение"? Я правильно понимаю?

    Т.е. для применения политики к Пользователям нужны права Чтение у Auth. users (в которую как вы сами подметили входят в том числе и доменные машины) и Чтение & Применение у кастомной группы безопасности в которой находятся ваши пользователи.

    Проще говоря если Вы создадите политику и ничего менять не будете в Security Filterring, то все применится, а если хотите кастомизировать снимаете одну галку и кастомизируете


    The opinion expressed by me is not an official position of Microsoft

    Модератор
  • Всё понял. Спасибо!
  • Если раньше для того чтобы пользовательские политики применялись для пользователя, необходимым и достаточным условием для этого было право пользователя  читатать и применять. Сейчас для того же самого, нужно чтобы и клиентский компьютер мог прочитать эту политику. Если в вашей политике раньше в секурити фильтеринге был настроены какието конкретные группы или пользователи(обычно это достигалось тем что удаляли группу аутентикейтед юзерс и вместо нее прописывали нужных пользователей\группы, что не является правильным путем, однако по идее было не смертельной ошибкой), то сейчас нужно также добавить право чтения либо всем доменным компьютерам, либо если вы хотите жестко ограничить область применения этой политики на каких то конкретных компах - добавить право чтения этим самым компам или группе оных.

    статья, насколько мне известно, применима и к 2016й... однако я бы не стал вносить изменения в схему. 

  • Насчет изменения схемы соглашусь, ничего делать не буду. Просто возьму на заметку порядок применения политик.