none
Проблемы с групповыми политиками на домене 2008 r2. RRS feed

  • Вопрос

  • Здравствуйте.

    У нас живет домен на базе двух DC 2008R2, ему уже несколько лет и проблем никогда не возникало. Единственное, что в нем происходит - это добавление пользователей и смена им паролей. Недавно начались странности с групповыми политиками. Берется одна учетка и к ней, скажем, прикрепляем принтер через GPO. Теперь берем несколько компьютеров и входим на них с этой учеткой. На одном компьютере политика применяется, а на другом нет, при этом RSOP на компьютерах где политика не применилась показывает какие-то странности, а именно, что к пользователю применилась политика рассчитанная на рабочие станции. В данном случае в фильтрах безопасности мы применяем группы. 

    А вот что на показывает мастер результатов групповых политик. Политики Printer должны примениться, а политика EXCHCert вообще принадлежит компьютеру. 

    Самое интересное, что в журналах нет ошибок вообще. На клиентах пишет, что все политики отработали замечательно, а на контроллерах и в Системе  и в DFSR и в Group Policy никаких отклонений. Dcdiag без ошибок. В общем понятия не имею что делать. Помогите пожалуйста.

    28 июня 2016 г. 9:20

Ответы

  • Не эта проблема у вас http://winitpro.ru/index.php/2016/06/20/pochemu-perestali-rabotat-nekotorye-gpo-posle-ustanovki-ms16-072/

    Все что вы делаете, вы делаете на свой страх и риск. Делайте Backup правильно.

    • Помечено в качестве ответа Denis Kotik 28 июня 2016 г. 12:59
    28 июня 2016 г. 12:55

Все ответы

  • rsop равно как и gpresult покарывает результирующую политику для данного ПК и пользователя, в связи с чем нет ничего удивительного что вы видите политики машины которые применяются на машину

    подробнее опишите что настроено в политике + куда она (политика) прилинкована, и на кого распространяется

     попробуйте принтер подключить руками от имени этого пользователя. возможно увидите проблему

    The opinion expressed by me is not an official position of Microsoft


    28 июня 2016 г. 9:38
    Модератор
  • Вопрос не конкретно в принтере. Так происходит со всеми политиками, которые работали до этого несколько лет. Скажем, есть OU и к ней прилинкована политика с любыми (на наш выбор) параметрами в этой OU лежат пользователи и группа их объединяющая. Соответственно это группа является фильтром в этой политике. И при непонятных обстоятельствах у этих пользователей, которые, например, уже год работают перестали работать эти политики. При этом вот, что интересно - зайди любым пользователем на машину где эти политики перестали работать и на этих пользователях эти политики так же не будут работать. Мы уже начали на касперский с девайс локом грешить, но все это удалив с машины - не добились никакого результата. Это вдруг стало массово и никак не можем понять куда копать.

    Теперь отдельно по скриншоту. Если взять RSOP от "здоровой" машины на которой все выполняется, то  политики EXCHCERT нет у пользователя - она лежит в правильном месте у компьютера.


    • Изменено Denis Kotik 28 июня 2016 г. 11:28
    28 июня 2016 г. 11:27
  • вы про лупбак процессинг (замыкание политики на себя) чо нить слышали?
    может это оно?
    28 июня 2016 г. 11:48
  • Да, конечно слышал, но мы никогда подобным не пользовались. 
    28 июня 2016 г. 12:09
  • а политика EXCHCert применяется на другие машинки где все работает?
    28 июня 2016 г. 12:36
  • Да, она на все машины в домене. Там просто распространяется сертификат и все.
    • Изменено Denis Kotik 28 июня 2016 г. 12:39
    28 июня 2016 г. 12:38
  • Не эта проблема у вас http://winitpro.ru/index.php/2016/06/20/pochemu-perestali-rabotat-nekotorye-gpo-posle-ustanovki-ms16-072/

    Все что вы делаете, вы делаете на свой страх и риск. Делайте Backup правильно.

    • Помечено в качестве ответа Denis Kotik 28 июня 2016 г. 12:59
    28 июня 2016 г. 12:55
  • Не эта проблема у вас http://winitpro.ru/index.php/2016/06/20/pochemu-perestali-rabotat-nekotorye-gpo-posle-ustanovki-ms16-072/

    Все что вы делаете, вы делаете на свой страх и риск. Делайте Backup правильно.

    Спасибо огромное. Вы пролили свет на этот бред от майкрософт. Самое интересное, что за минуту до вашего сообщения мы с помощью GPO логера сами дошли до того, что надо машину добавлять, а вот почему было не понятно!

    28 июня 2016 г. 13:14
  • Не эта проблема у вас http://winitpro.ru/index.php/2016/06/20/pochemu-perestali-rabotat-nekotorye-gpo-posle-ustanovki-ms16-072/


    Все что вы делаете, вы делаете на свой страх и риск. Делайте Backup правильно.

    Спасибо огромное. Вы пролили свет на этот бред от майкрософт. Самое интересное, что за минуту до вашего сообщения мы с помощью GPO логера сами дошли до того, что надо машину добавлять, а вот почему было не понятно!


    Да не за что=)

    Все что вы делаете, вы делаете на свой страх и риск. Делайте Backup правильно.

    28 июня 2016 г. 13:23
  • бггг... последние 5 лет настоятельно рекомедовал студентам убирать лишь аплай с аутентикейтед юзеров и не в коем случае не трогать рид. теперь рекомендация превратилась в правило :-)

    но спасибо, бум знать

    28 июня 2016 г. 13:31