none
Новые способы фильтрации ГПО RRS feed

  • Вопрос

  • После недавних обновлений связанных с тем, что теперь в меню "Фильтры безопасности" нужно обязательно добавлять группу Domain Computers не очень ясно, для меня чайника как разделять влияние политик на группы.

    Например. Есть политика скажем "install" в которой определены политики установки приложений. Эта настройка не имеет функций "нацеливания". Ее можно применить только на группу, да еще и на ПК а не пользователя. Если в настройках этой ГПО в меню фильтры безопасности оставить только группу пользователей или ПК, то политика не применяется. Если добавить туда группу Domain Computers как рекомендует Microsoft то пропадает смысл фильтрации.

    Если в меню "делегирование" поставить галочку "применить групповую политику" - разрешить для нужной мне группы. А на группе Domain Computers галочку поставить в режим "запретить", политика так же перестает работать.

    Каким образом можно применять теперь политики на группы машин или пользователей?

    22 июня 2017 г. 6:16

Ответы

  • После недавних обновлений связанных с тем, что теперь в меню "Фильтры безопасности" нужно обязательно добавлять группу Domain Computers не очень ясно, для меня чайника как разделять влияние политик на группы.

    Например. Есть политика скажем "install" в которой определены политики установки приложений. Эта настройка не имеет функций "нацеливания". Ее можно применить только на группу, да еще и на ПК а не пользователя. Если в настройках этой ГПО в меню фильтры безопасности оставить только группу пользователей или ПК, то политика не применяется. Если добавить туда группу Domain Computers как рекомендует Microsoft то пропадает смысл фильтрации.

    Если в меню "делегирование" поставить галочку "применить групповую политику" - разрешить для нужной мне группы. А на группе Domain Computers галочку поставить в режим "запретить", политика так же перестает работать.

    Каким образом можно применять теперь политики на группы машин или пользователей?

    Путаете святое с праведным.

    1 Если вам нужно применить настройки компьютера вам не нужно по 2 раза добавлять группы компьютеров - одной вашей кастомной группы install будет достаточно

    2 Добавлять в новые политики группу "Domain computers" нет нужды, достаточно снять галку "Применять групповую политику" у псевдогруппы "Authenticated Users".

    3 Если вы на 2 группы с одинаковыми машинами применяете диаметрально разные права (кастомной группе применять, Domain computers - не применять) вы получите тот результат который получаете, так как в результирующих правах будет запрет (что логично)

    P.S. Нужно помнить о том что пользователи и машины узнают о пренадлежности к группе не с потолка, и не ежесекундно а в момент входа. Для пользователей нужно перезайти что бы получить новый список групп, а для машин нужна перезагрузка


    The opinion expressed by me is not an official position of Microsoft

    22 июня 2017 г. 6:45
    Модератор

Все ответы

  • После недавних обновлений связанных с тем, что теперь в меню "Фильтры безопасности" нужно обязательно добавлять группу Domain Computers не очень ясно, для меня чайника как разделять влияние политик на группы.

    Например. Есть политика скажем "install" в которой определены политики установки приложений. Эта настройка не имеет функций "нацеливания". Ее можно применить только на группу, да еще и на ПК а не пользователя. Если в настройках этой ГПО в меню фильтры безопасности оставить только группу пользователей или ПК, то политика не применяется. Если добавить туда группу Domain Computers как рекомендует Microsoft то пропадает смысл фильтрации.

    Если в меню "делегирование" поставить галочку "применить групповую политику" - разрешить для нужной мне группы. А на группе Domain Computers галочку поставить в режим "запретить", политика так же перестает работать.

    Каким образом можно применять теперь политики на группы машин или пользователей?

    Путаете святое с праведным.

    1 Если вам нужно применить настройки компьютера вам не нужно по 2 раза добавлять группы компьютеров - одной вашей кастомной группы install будет достаточно

    2 Добавлять в новые политики группу "Domain computers" нет нужды, достаточно снять галку "Применять групповую политику" у псевдогруппы "Authenticated Users".

    3 Если вы на 2 группы с одинаковыми машинами применяете диаметрально разные права (кастомной группе применять, Domain computers - не применять) вы получите тот результат который получаете, так как в результирующих правах будет запрет (что логично)

    P.S. Нужно помнить о том что пользователи и машины узнают о пренадлежности к группе не с потолка, и не ежесекундно а в момент входа. Для пользователей нужно перезайти что бы получить новый список групп, а для машин нужна перезагрузка


    The opinion expressed by me is not an official position of Microsoft

    22 июня 2017 г. 6:45
    Модератор
  • Полагаю я путано объяснил. Мой косяк.

    Мне нужно инсталлировать приложения для группы ПК.

    Я создал группу. Добавил туда группу ПК. Создал политику. Через фильтры назначил эту политику на группу этих ПК и ничего не произошло. После я добавил в фильтр группу Domain computers как теперь нужно делать после обновления MS16-072 или я не прав?

    Далее, чтобы как-то отфильтровать применение политики, я согласно разным советам, пошел во вкладку Делегирование. Разрешил применение политик для нужной мне группы. И запретил применение политики для группы Domain computers.

    И да, я в курсе, что политика ПК применяется в момент загрузки. Несколько раз протестировал момент с удалением и добавлением групп в фильтры, чтобы убедится. Только добавление группы Domain Computers заставляет политику работать.

    В меню Делегирование у меня вообще нет группы Authenticated Users или "прошедшие проверку"


    • Изменено BUOMEX 22 июня 2017 г. 7:14
    22 июня 2017 г. 7:10
  • Полагаю я путано объяснил. Мой косяк.

    Мне нужно инсталлировать приложения для группы ПК.

    1) Я создал группу. Добавил туда группу ПК. Создал политику. Через фильтры назначил эту политику на группу этих ПК и ничего не произошло. После я добавил в фильтр группу Domain computers как теперь нужно делать после обновления MS16-072 или я не прав?

    2) Далее, чтобы как-то отфильтровать применение политики, я согласно разным советам, пошел во вкладку Делегирование. Разрешил применение политик для нужной мне группы. И запретил применение политики для группы Domain computers.

    3) И да, я в курсе, что политика ПК применяется в момент загрузки. Несколько раз протестировал момент с удалением и добавлением групп в фильтры, чтобы убедится. Только добавление группы Domain Computers заставляет политику работать.

    Во первых перечитайте мой ответ выше, там есть ответы на все Ваши уточнения. Разжуем еще раз по порядку:

    1 Вы не правы. Ничего не произошло потому что ваши ПК не в курсе что вы их куда-то добавили. См. п.3 этого ответа

    2 Вы одному и тому же ПК разрешили применять политику И запретили применять ее же. ПК как можно просто догадаться применять политику не стали.

    3 Про то что политика ПК применяется при загрузке - это прекрасно, но во первых я про это ничего не говорил, а во вторых это не всегда так... ПК узнает про принадлежность к новой группе при перезагрузке


    The opinion expressed by me is not an official position of Microsoft

    22 июня 2017 г. 7:18
    Модератор
  • Я прочитал несколько раз, ваш ответ и первый и второй. 

    Манипуляции с делегированием я начал в попытке решить проблему а не просто так. И я вижу что они не работают. Потому и задал вопрос.

    Изначально и до обновления ms16-072 я просто добавлял в фильтр безопасности группу пользователей или группу ПК и все работало. Повторюсь. Добавлял одну созданной мною же группу, с нужными мне в ней объектами.

    Теперь так не работает. Теперь нужно рядом с моей кастомной группой добавить еще и группу Domain computers.

    Вот у меня и вопрос, как сделать так, чтобы политика применялась ТОЛЬКО на мою кастомную группу. 


    22 июня 2017 г. 7:35
  • Я прочитал несколько раз, ваш ответ и первый и второй. 

    Манипуляции с делегированием я начал в попытке решить проблему а не просто так. И я вижу что они не работают. Потому и задал вопрос.

    Изначально и до обновления ms16-072 я просто добавлял в фильтр безопасности группу пользователей или группу ПК и все работало. Повторюсь. Добавлял одну созданной мною же группу, с нужными мне в ней объектами.

    Теперь так не работает. Теперь нужно рядом с моей кастомной группой добавить еще и группу Domain computers.

    Вот у меня и вопрос, как сделать так, чтобы политика применялась ТОЛЬКО на мою кастомную группу. 

    1 Создаете StartUP.bat со строчками вида:

    date /T >> C:\GPO.log
    time /T >> C:\GPO.log

    2 Создаем доменную группу с именем "StartUP_Grp", добавляем машину (компьютер или сервер) в эту группу, для примера ПК назовем TESTPC1. Ждем 5 минут пока пройдет реплика между КД.

    3 Перезагружаем TESTPC1. После перезагрузки TESTPC1 узнает о том что он (ПК) входит в группу StartUP_Grp.

    4 Создаем Новую групповую политику с именем TESTPC_Policy, в которой в области действия "Комьютер" настраиваем StartUp Script из п.1

    5 Закрываем политику, открываем делегирование в этой политике, жмакаем кнопку Advanced (снизу справа)

    6 В открывшемся окне находим псевдогруппу "Authenticated users" и снимаем галку "Apply group policy" (вторая галка READ должна остаться).

    7 Добавляем группу StartUP_Grp с двумя галками Apply group policy и READ

    8 Линкуем политику TESTPC_Policy на OU в которой находится несколько машин, в том числе и TESTPC1

    9 На нескольких машинах в том числе TESTPC1 запускаем CMD и выполняем

    gpupdate /force

    10 Перезагружаем 2 тестовые машины, одна из которых TESTPC1

    11 Заходим и смотрим наличие файла C:\GPO.log

    С пользователями тоже самое, никаких дополнительных групп добавлять не нужно.


    The opinion expressed by me is not an official position of Microsoft


    22 июня 2017 г. 8:53
    Модератор
  • Как раз хотел ответить сам себе. 

    Почитал вот тут https://habrahabr.ru/post/304202/ и проверил на себе.

    Только группу Прошедшие проверку не трогал, не добавлял. В итоге имею в разделе фильтры безопасности одну группу - мою. А в разделе Делегирование мою группу и группу domain computers с разрешением только на чтение (одна галочка).

    Ваш пример получается основан на группе прошедшие проверку, о чем на хабре как раз шел спор.

    Спасибо за помощь и терпение!

    Какой из вариантов считать решением не могу сказать. Я за добавление группы Domain Computers. Мне помогло.

    22 июня 2017 г. 9:18
  • Как раз хотел ответить сам себе. 

    Почитал вот тут https://habrahabr.ru/post/304202/ и проверил на себе.

    Только группу Прошедшие проверку не трогал, не добавлял. В итоге имею в разделе фильтры безопасности одну группу - мою. А в разделе Делегирование мою группу и группу domain computers с разрешением только на чтение (одна галочка).

    Ваш пример получается основан на группе прошедшие проверку, о чем на хабре как раз шел спор.

    Спасибо за помощь и терпение!

    Какой из вариантов считать решением не могу сказать. Я за добавление группы Domain Computers. Мне помогло.

    Споры спорами, а про одну галку написано в пункте 2 моего первого ответа который вы перечитывали по несколько раз. Те компании которые настраивали политики изначально правильно в том числе и МС не заметили выход обновления описанного в ms16-072.

    Добавлять группу "Прошедшие проверку" в политики нет нужды, так как по умолчанию она там есть, и нужно всего лишь снять одну галку


    The opinion expressed by me is not an official position of Microsoft

    22 июня 2017 г. 9:24
    Модератор