none
GPO - Фильтры безопасности RRS feed

  • Вопрос

  •  

    Добрый день!

     

    Ни как не пойму в чем я ошибаюсь, подскажите?

     

    Создал политику, из фильтра удалил "Прошедшие проверку".

    В фильтр безопасности добавил группу безопасности, в которую входит три учетных записи пользователей.

    Привязал политику к домену.

     

    Политика НЕ ПРИМЕНИЛАСЬ к пользователям. Проверял долго. Перегружал компьютеры пользователей, делал GPUPDATE - никак.

     

    Потом в филтр безопасности добавил учетную запись этих пользователей (не в группе, а сами записи)

    Всё сразу после первого GPUPDATE применилось к пользователям.

     

    Почему не работало с группой?

Ответы

  • Применение политики на клиенте проверяется командой gpresult: она пишет какие политики не применились и по какой причине. На основе причины можно определить в чем проблема.

    Модератор

Все ответы

  • Может вы создали не Security, а Distributed группу? Проверьте это в свойствах группы.

     

    Модератор
  • Именно Security

  • Применение политики на клиенте проверяется командой gpresult: она пишет какие политики не применились и по какой причине. На основе причины можно определить в чем проблема.

    Модератор
  •  Lorder написано:

     Создал политику, из фильтра удалил "Прошедшие проверку".

    В фильтр безопасности добавил группу безопасности, в которую входит три учетных записи пользователей.

    Привязал политику к домену.

     Политика НЕ ПРИМЕНИЛАСЬ к пользователям. Проверял долго. Перегружал компьютеры пользователей, делал GPUPDATE - никак.

     Потом в филтр безопасности добавил учетную запись этих пользователей (не в группе, а сами записи)

    Всё сразу после первого GPUPDATE применилось к пользователям.

     

    Почему не работало с группой?


    Думаю что проблема просто в перекрытии разрешений между группами.
    А смотрели эффективные разрешения данной группы относительно созданной политики?
  • 1) Точно ли политика привязана к домену?

    2) Есть ли вообще в политике User Policy? А то бывает только часть Computer задействуют и удивляются потом.

    Что вообще в этой GPO прописано? Ну и результаты gpresult & RSoP в студию.

  •  Alexander Trofimov написано:

    1) Точно ли политика привязана к домену?

    Абсолютно точно

     

    2) Есть ли вообще в политике User Policy? А то бывает только часть Computer задействуют и удивляются потом.

    Что вообще в этой GPO прописано? Ну и результаты gpresult & RSoP в студию.

    Есть

     

    Моделировал действие групповой политики: Взял еще одного юзера, и смоделировал. Сначал без изменений, потом включил в список групп безопасности ту, которая указана в фильтре. Моделирует всё как надо. В первом случае ГП не применилась, во втором применилась.

     

    Потом реально на этого юзера применял политику. Вот тут непонятки какие-то. Сама политика применяется (в списке примененных политик она есть), а те изменения которые она делает - отсутствуют.

    Вообще я этой политикой заставку на рабочем столе пользователя указывал.

    Если пользователь в группе безопасности - то картинки нет. Если он прамо указан в фильтре - то картинка есть и изменения заблокированы.

     

    Затем вместо картинки решил испытать на другом параметре. Удалил вкладку настройки скринсейвера. Работает независимо от того в группе или прямо указан пользователь.

     

    Сейчас на выходных не могу больше опытов провести, после праздников только. Но пологаю глючу всё-таки я а не политики... если у кого есть возможность с картинкой на рабочем столе провести такой опыт - проведите?

  • Полностью удалил тестовую политику. Перегрузил клиента. Создал новую политику. Перегрузил клиента - изменения применились. gpresult-ом раньше не пользовался, упустил из виду, а зря, удобная вещь. Помогло решить другие вопросы (точнее понять). Всем спасибо.