none
Применить новый объект групповой политики. RRS feed

  • Вопрос

  • Подскажите, пожалуйста. Нужно создать новый (дополнительный) объект групповой политики в домене и применить его к некоторым компьютерам. но эти компьютеры так же должны применять основную политику домена. Что я сделал:

    Я создал новый объект ГП. Сделал нужные изменения в конфигурации компьютера. В фильтре безопасности удалил все и добавил только нужные компьютеры.  В делегировании объекта гп все повторил. Связал этот объект с доменом. Связь включена но политика не применяется. Подскажите, где ошибка? 

    31 января 2017 г. 13:33

Ответы

  • я бы это сделал следующим шагом. у меня пока целью было и есть, сделать новую политику и применить ее на определенные компьютеры. 

    Да Test. Но компьютер ее НЕ ПРИМЕНИЛ. Изменение что было сделано в политике TEST отсутствует на этом компьютере. 


    Вы идёте каким-то странным путём: именно с целью применения политики на определённые компьютеры эти компьютеры как раз и выделяют в отдельное OU,  которое связывают с нужной политикой. Ну, да ладно, не критично.

    Политика у вас, если смотреть с точки  зрения службы групповой политики, применилась. И если какие-то настройки не подействовали, то разбираться нужно не с фильтрацией политики а с настройками.

    Для начала скажите, не пытаетесь ли вы перекрыть этой политикой настройки, сделанные в Default Domain Policy? Если да, то вы своим странным путём осложняете себе жизнь: если бы не он, то у вас автоматически предпочтительной была бы политика, связанная с OU, а когда политики привязаны на одном уровне, нужно не забыть передвинуть политику в списке присоединённых выше, чтобы у неё был меньший порядковый номер, чем у тех, которые она должна перекрыть, в вашем случае - Default Domain Policy.


    Слава России!

    • Помечено в качестве ответа ivldenis1 2 февраля 2017 г. 6:53
    1 февраля 2017 г. 19:15

Все ответы

  • 1 "В фильтре безопасности удалил все и добавил только нужные компьютеры" верните все на родину

    2 С группы Authenticated Users снимите одну галку "Применять политику"

    3 Политики применяются сверху вглубь. Исходя из этого те настроки которые прилинкованы на более глубокий уровень затрут те настройки которые настроены на уровне домена, если вы настроите одни и те же настройки на одном уровне, то огребете непонятное поведение.


    The opinion expressed by me is not an official position of Microsoft


    31 января 2017 г. 13:41
    Модератор
  • а как тогда политика распространится только на нужные пк, а не на все?

    ++2 С группы Authenticated Users снимите одну галку "Применять политику"

    Это где?

    • Изменено ivldenis1 31 января 2017 г. 13:48
    31 января 2017 г. 13:46
  • а как тогда политика распространится только на нужные пк, а не на все?

    в пункте 2 показано как отключать применение ко всем, при этом вам для машин нужно будет проставить 2 галки: "Чтение", "Применение"

    если нужно проверить политику, то создаете тестовую OU, линкуете политику на эту OU и запихиваете в нее нужные вам машины, в таком случае даже фильтеринг настраивать не нужно


    The opinion expressed by me is not an official position of Microsoft

    31 января 2017 г. 13:54
    Модератор
  •  если вы настроите одни и те же настройки на одном уровне, то огребете непонятное поведение.

    вектор, это вот чо ито было?

    или тебе лень полностью про порядок применения политик рассказывать?

    1 февраля 2017 г. 9:35
  •  если вы настроите одни и те же настройки на одном уровне, то огребете непонятное поведение.

    вектор, это вот чо ито было?

    или тебе лень полностью про порядок применения политик рассказывать?

    Про порядок применения политик лучше читать в литературе. Иногда наступаю на грабли когда применяется несколько однотипных политик на одном уровне и удивительным образом применяются не та политика которую ожидаем. Gpresult суть проблемы раскрывает быстро, но лучше в ногу не стрелять.


    The opinion expressed by me is not an official position of Microsoft

    1 февраля 2017 г. 9:54
    Модератор
  • а у меня вопрос так и остался открытым.

     1. "С группы Authenticated Users снимите одну галку "Применять политику""

    У меня нет такой группы. Где она должна быть?

    2. "в пункте 2 показано как отключать применение ко всем, при этом вам для машин нужно будет проставить 2 галки: "Чтение", "Применение" "

    В каком месте мне нужно указывать компы и поставить им галки? 

    "1 "В фильтре безопасности удалил все и добавил только нужные компьютеры" - верните все на родину"

    Пользователей и компьютеры домены?

    +++++++++++++

    а вообще более развернут ответ жду по первому посту.


    • Изменено ivldenis1 1 февраля 2017 г. 17:04
    1 февраля 2017 г. 17:01
  • Подскажите, пожалуйста. Нужно создать новый (дополнительный) объект групповой политики в домене и применить его к некоторым компьютерам. но эти компьютеры так же должны применять основную политику домена. Что я сделал:

    Я создал новый объект ГП. Сделал нужные изменения в конфигурации компьютера. В фильтре безопасности удалил все и добавил только нужные компьютеры.  В делегировании объекта гп все повторил. Связал этот объект с доменом. Связь включена но политика не применяется. Подскажите, где ошибка? 

    Чтобы больше тут не гадать, сообщите имя политики, в каком разделе находятся  применяемые параметры (конфигурация компьютера или пользователя), примените вручную командой gpupdate политику на том компьютере, где она должна применяться и покажите сводку применения по команде gpresult /r.

    PS Галки ставить - это в редакторе разрешений для объекта групповой политики: вызывается кнопкой Advanced - которая самая правая - на вкладке Delegation в окне просмотра групповой политики в консоли управления политиками, а также доступен в редакторе групповой политики на вкладке Security свойств политики. Группа (точнее, это - псевдогруппа, т.к. членство в ней не прописано в AD, а определяется системой) Authenticated Users в русской версии называется "Прошедшие проверку".


    Слава России!

    1 февраля 2017 г. 17:37
  • В данные момент я ее связал с доменом и она под политикой default domain policy.

    Параметры новой политики применяются только на компьютер, т.е. параметры конфигурации компьютера

    На данный момент в фильтрах те компьютеры к которым ее нужно применить. Просто я подумал, что как было предложено выше, вернуть назад что было - пользователей и компьютеры домена ни к чему не приведет. Но поменять можно без проблем. 

    C:\Windows\system32>gpresult /r

    Программа формирования отчета групповой политики операционной системы
    Microsoft (R) Windows (R) версии 2.0
    c Корпорация Майкрософт (Microsoft Corporation), 2013. Все права защищены.

    Создано 01.02.2017 в 20:58:29


    Данные RSOP для DOMAIN\denis на NUJDIN : Режим ведения журнала
    ---------------------------------------------------------------

    Конфигурация ОС:            Рядовая рабочая станция
    Версия ОС:                  6.3.9600
    Имя сайта:                  Default-First-Site-Name
    Перемещаемый профиль:                     Н/Д
    Локальный профиль:          C:\Users\denis.DOMAIN
    Подключение по медленному каналу: Нет


    Конфигурация компьютера
    ------------------------
        CN=NUJDIN,CN=Computers,DC=DOMAIN,DC=METIZ,DC=RU
        Последнее применение групповой политики:  01.02.2017 в 20:57:36
        Групповая политика была применена с:      DC.DOMAIN.METIZ.RU
        Порог медленного канала для групповой политики: 500 kbps
        Имя домена:                        DOMAIN
        Тип домена:                        Windows 2008 или более поздняя версия

        Примененные объекты групповой политики
        ---------------------------------------
            default domain policy
            Test

        Следующие политики GPO не были применены, так как они отфильтрованы
        --------------------------------------------------------------------
            Local Group Policy
                Фильтрация:  Не применяется (пусто)

        Компьютер является членом следующих групп безопасности
        ------------------------------------------------------
            Администраторы
            Все
            Пользователи
            СЕТЬ
            Прошедшие проверку
            Данная организация
            NUJDIN$
            Компьютеры домена
            Подтвержденное центром проверки подлинности удостоверение
            Обязательный уровень системы


    Конфигурация пользователя
    --------------------------
        CN=denis,CN=Users,DC=DOMAIN,DC=METIZ,DC=RU
        Последнее применение групповой политики:  01.02.2017 в 20:57:37
        Групповая политика была применена с:      DC.DOMAIN.METIZ.RU
        Порог медленного канала для групповой политики: 500 kbps
        Имя домена:                        DOMAIN
        Тип домена:                        Windows 2008 или более поздняя версия

        Примененные объекты групповой политики
        ---------------------------------------
            default domain policy

        Следующие политики GPO не были применены, так как они отфильтрованы
        --------------------------------------------------------------------
            Local Group Policy
                Фильтрация:  Не применяется (пусто)

        Пользователь является членом следующих групп безопасности
        ---------------------------------------------------------
            Пользователи домена
            Все
            Пользователи
            Администраторы
            ИНТЕРАКТИВНЫЕ
            КОНСОЛЬНЫЙ ВХОД
            Прошедшие проверку
            Данная организация
            ЛОКАЛЬНЫЕ
            citrix_admins
            1С_Орто-Сервис
            Орто-Сервис
            citrix_global
            Citrix_papki
            Администраторы домена
            citrix_local
            Администраторы схемы
            Администраторы предприятия
            Подтвержденное центром проверки подлинности удостоверение
            SQLServer2005ReportServerUser$DC$MSSQLSERVER
            SQLServer2005SQLBrowserUser$DC
            SQLServer2005SQLAgentUser$DC$MSSQLSERVER
            SQLServer2005NotificationServicesUser$DC
            SQLServer2005ReportingServicesWebServiceUser$DC$MSSQLSERVER
            SQLServer2005MSFTEUser$DC$MSSQLSERVER
            IIS_WPG
            Группа с запрещением репликации паролей RODC
            SQLServer2005MSSQLServerADHelperUser$DC
            SQLServer2005MSOLAPUser$DC$MSSQLSERVER
            dc $ Acronis Remote Users
            SQLServer2005MSSQLUser$DC$MSSQLSERVER
            Высокий обязательный уровень


    • Изменено ivldenis1 1 февраля 2017 г. 18:15
    1 февраля 2017 г. 18:03

  • C:\Windows\system32>gpresult /r

    Программа формирования отчета групповой политики операционной системы
    Microsoft (R) Windows (R) версии 2.0
    c Корпорация Майкрософт (Microsoft Corporation), 2013. Все права защищены.

    Создано 01.02.2017 в 20:58:29


    Данные RSOP для DOMAIN\denis на NUJDIN : Режим ведения журнала
    ---------------------------------------------------------------

    Конфигурация ОС:            Рядовая рабочая станция
    Версия ОС:                  6.3.9600
    Имя сайта:                  Default-First-Site-Name
    Перемещаемый профиль:                     Н/Д
    Локальный профиль:          C:\Users\denis.DOMAIN
    Подключение по медленному каналу: Нет


    Конфигурация компьютера
    ------------------------
        CN=NUJDIN,CN=Computers,DC=DOMAIN,DC=METIZ,DC=RU
        Последнее применение групповой политики:  01.02.2017 в 20:57:36
        Групповая политика была применена с:      DC.DOMAIN.METIZ.RU
        Порог медленного канала для групповой политики: 500 kbps
        Имя домена:                        DOMAIN
        Тип домена:                        Windows 2008 или более поздняя версия

        Примененные объекты групповой политики
        ---------------------------------------
            default domain policy
            Test

        Следующие политики GPO не были применены, так как они отфильтрованы
        --------------------------------------------------------------------
            Local Group Policy
                Фильтрация:  Не применяется (пусто)

        Компьютер является членом следующих групп безопасности
        ------------------------------------------------------
            Администраторы
            Все
            Пользователи
            СЕТЬ
            Прошедшие проверку
            Данная организация
            NUJDIN$
            Компьютеры домена
            Подтвержденное центром проверки подлинности удостоверение
            Обязательный уровень системы

    Судя по тому что политика присутствует в списке политик она таки применяется, но "некоторые настройки" вы применили неправильно

    Попробуйте раскрыть вопрос, дабы не приходилось угадывать что вы делаете и что же все таки у вас не работает.

    Попробуйте так же почитать как работают групповые политики, велика вероятность что вопрос будет раскрыт после прочтения мат части

    1 февраля 2017 г. 18:47
    Модератор
  • В данные момент я ее связал с доменом и она под политикой default domain policy.

    Вам трудно было назвать имя политики и вы мне предлагаете её угадать, да? Test - угадал?

    Тогда сейчас она у вас применяется. Что вам сейчас не нравится? Или сейчас всё в порядке?

    PS Судя по тому, что другие политики, применяемые к этим компьютерам, у вас отсутствуют, куда проще было бы не возиться с фильтарцией по безопасности, а выделить все нужные компьютеры в отдельное OU (Подразделение) и сделать ссылку на политику с этого OU. Что-то помешало так сделать?


    Слава России!


    • Изменено M.V.V. _ 1 февраля 2017 г. 18:52
    1 февраля 2017 г. 18:51

  • PS Судя по тому, что другие политики, применяемые к этим компьютерам, у вас отсутствуют, куда проще было бы не возиться с фильтарцией по безопасности, а выделить все нужные компьютеры в отдельное OU (Подразделение) и сделать ссылку на политику с этого OU. Что-то помешало так сделать?


    Слава России!


    я бы это сделал следующим шагом. у меня пока целью было и есть, сделать новую политику и применить ее на определенные компьютеры. 

    Да Test. Но компьютер ее НЕ ПРИМЕНИЛ. Изменение что было сделано в политике TEST отсутствует на этом компьютере. 

    ----------

    В политике TEST изменил следующее:

    Кнф.компьютера\ Политики\Административные шаблоны...\Система\доступ к съемным запоминающим устройствам. Тут поменял некоторые настройки. У пользователя этих настроек в политике не оказалось. 



    • Изменено ivldenis1 1 февраля 2017 г. 19:09
    1 февраля 2017 г. 19:00
  • я бы это сделал следующим шагом. у меня пока целью было и есть, сделать новую политику и применить ее на определенные компьютеры. 

    Да Test. Но компьютер ее НЕ ПРИМЕНИЛ. Изменение что было сделано в политике TEST отсутствует на этом компьютере. 


    Вы идёте каким-то странным путём: именно с целью применения политики на определённые компьютеры эти компьютеры как раз и выделяют в отдельное OU,  которое связывают с нужной политикой. Ну, да ладно, не критично.

    Политика у вас, если смотреть с точки  зрения службы групповой политики, применилась. И если какие-то настройки не подействовали, то разбираться нужно не с фильтрацией политики а с настройками.

    Для начала скажите, не пытаетесь ли вы перекрыть этой политикой настройки, сделанные в Default Domain Policy? Если да, то вы своим странным путём осложняете себе жизнь: если бы не он, то у вас автоматически предпочтительной была бы политика, связанная с OU, а когда политики привязаны на одном уровне, нужно не забыть передвинуть политику в списке присоединённых выше, чтобы у неё был меньший порядковый номер, чем у тех, которые она должна перекрыть, в вашем случае - Default Domain Policy.


    Слава России!

    • Помечено в качестве ответа ivldenis1 2 февраля 2017 г. 6:53
    1 февраля 2017 г. 19:15
  • Все заработало. Спасибо.
    2 февраля 2017 г. 6:54
  • Только распространяется на всех. Независимо в списке компьютер или нет.
    2 февраля 2017 г. 14:38
  • Значит, те, другие компьютеры получают разрешение на применение за счёт какой-то другой записи в списке доступа. Войдите в редактор разрешения групповой политики (см. мой самый первый ответ) и смотрите, для каких групп, в которые входит компьютер, у вас стоит разрешение применять политику. Имейте в виду, что в группе Прошедших проверку этот компьютер состоит обязательно.


    Слава России!


    • Изменено M.V.V. _ 2 февраля 2017 г. 14:46
    2 февраля 2017 г. 14:45
  • "Имейте в виду, что в группе Прошедших проверку этот компьютер состоит обязательно." - спасибо. тут была проблема. 
    2 февраля 2017 г. 15:00
  • "Имейте в виду, что в группе Прошедших проверку этот компьютер состоит обязательно." - спасибо. тут была проблема. 

    А про это была первая моя запись

    The opinion expressed by me is not an official position of Microsoft

    2 февраля 2017 г. 15:41
    Модератор