none
GPP/Create Shotcuts/ for Targeting Group/ Не отрабатывает нацеливание на группу RRS feed

  • Вопрос

  • Добрый день, проблема заключается в следующем.

    Объект GPO лежит в OU с пользователями.

    В GPO user configuration\preferences\windows setting\shortcuts создается правило на распространение ярлыка на рабочий стол с нацеливанием на группу безопасности.

    У клиентов ярлык не появляется

    Заранее спасибо за дельный совет!!

    18 января 2016 г. 11:00

Ответы

  • Насколько я понимаю, Вам не нужно обязательное выполнение всех условий ОДНОВРЕМЕННО для каждого пользователя (т.е. членство его и в группе1, и в группе2 и т.д.).

    В правилах нацеливания Вам нужно использовать не "AND", а "OR".

    • Изменено Evgenii Alekseev 19 января 2016 г. 18:01
    • Помечено в качестве ответа Pavel Bulkin 20 января 2016 г. 8:09
    19 января 2016 г. 17:57
  • Насколько я понимаю, Вам не нужно обязательное выполнение всех условий ОДНОВРЕМЕННО для каждого пользователя (т.е. членство его и в группе1, и в группе2 и т.д.).

    В правилах нацеливания Вам нужно использовать не "AND", а "OR".

    Да все правильно.

    Наверное по логике должно быть "AND".

    В случае "OR" работает, спасибо! Как всегда все оказалось проще.

    • Помечено в качестве ответа Pavel Bulkin 20 января 2016 г. 8:26
    20 января 2016 г. 8:08

Все ответы

  • У вас политика вообще применяется к соответствующим ПК? RSOP.MSC на ПК что показывает в части этой настройки? В журнале системы есть связанные с обработкой политик сообщения об ошибках?

    Что означает "Объект GPO лежит в OU с пользователями"? Что он туда прилинкован? Какие политики при этом применяются к объекту ПК? Включен ли там loopback processing?

    Вот хорошее объяснение, как пользователькие политики применяются и перекрываются в окружении AD: http://blogs.technet.com/b/askds/archive/2013/02/08/circle-back-to-loopback.aspx


    Evgeniy Lotosh // MCSE: Server infrastructure, MCSE: Messaging


    18 января 2016 г. 12:46
  • run in logged on user's security context
    18 января 2016 г. 13:06
  • У вас политика вообще применяется к соответствующим ПК? RSOP.MSC на ПК что показывает в части этой настройки? В журнале системы есть связанные с обработкой политик сообщения об ошибках?

    Что означает "Объект GPO лежит в OU с пользователями"? Что он туда прилинкован? Какие политики при этом применяются к объекту ПК? Включен ли там loopback processing?

    Вот хорошее объяснение, как пользователькие политики применяются и перекрываются в окружении AD: http://blogs.technet.com/b/askds/archive/2013/02/08/circle-back-to-loopback.aspx


    Evgeniy Lotosh // MCSE: Server infrastructure, MCSE: Messaging


    Да, применяется.

    18 января 2016 г. 13:20
  • run in logged on user's security context

    Пробовал, не помогает.

    При нацеливании на *пользователя* задание отрабатывает.

    18 января 2016 г. 13:25
  • поставьте галку

    run in logged on user's security context

    и уберите галку с Primary group

    (и не трогайте галки по умолчанию, если не знаете их назначение)

    з.ы. а картинки лучше в пнг сохранять, раз вы даже окончание фамилии зачеркнули :)

    • Изменено Svolotch 18 января 2016 г. 13:49
    18 января 2016 г. 13:42
  • поставьте галку

    run in logged on user's security context

    и уберите галку с Primary group

    (и не трогайте галки по умолчанию, если не знаете их назначение)

    з.ы. а картинки лучше в пнг сохранять, раз вы даже окончание фамилии зачеркнули :)

    Галочка стоит, *Primary group* убрал. Для экспериментов все перепробовал.

    При нацеливании на пользователя политика отрабатывает.

    При нацеливании на группу безопасности политика не отрабатывает.


    • Изменено Pavel Bulkin 19 января 2016 г. 7:55
    19 января 2016 г. 7:17
  • поставьте галку

    run in logged on user's security context

    и уберите галку с Primary group

    (и не трогайте галки по умолчанию, если не знаете их назначение)

    з.ы. а картинки лучше в пнг сохранять, раз вы даже окончание фамилии зачеркнули :)

    Галочка стоит, *Primary group* убрал. Для экспериментов все перепробовал.

    При нацеливании на пользователя политика отрабатывает.

    При нацеливании на группу безопасности политика не отрабатывает.


    http://blogs.technet.com/b/askds/archive/2011/06/13/target-group-policy-preferences-by-container-not-but-group.aspx

    Security Group User Targeting

    User Security Group targeting is not as bad as computer Security Group targeting. During user Security Group targeting, the Group Policy Preferences extension determines group membership from the user's authentication token. This process if more efficient and does not require round trips to the domain controller. One caveat with depending on group membership is the risk of the computer or user's group membership containing too many groups. Huh- too many Groups? Yes, this happens more often than many realize. Windows creates an authentication token from information in the Kerberos TGT. The Kerberos TGT has a finite amount of storage for this information. User and computers with large group memberships (groups nested with groups…) can maximize the finite storage available in the TGT. When this happens, the remaining groups memberships are truncated, which creates the effect that the user is not a member of that group. Groups truncated from the authentication token results in the computer or user not receiving a particular Group Policy preference item.

    Самое интересное

    Одно предостережение с в зависимости от членства в группе риск компьютера или группового членства пользователя, содержащей слишком много groups.Huh- слишком много групп? Да, это случается чаще, чем многие realize.Windows создает маркер аутентификации на основе информации в Kerberos TGT. Kerberos можно TGT имеет ограниченное количество памяти для этого information.User и компьютеров с большими членство в группах (группы вложенных с группами ...) может максимизировать конечную хранения, доступные в TGT.

    Подскажите как увеличить хранение групп доступных в TGT?

    Может не правильно выразился, поправьте.

    Проблема еще актуальна



    • Изменено Pavel Bulkin 19 января 2016 г. 9:23
    19 января 2016 г. 9:23
  • На закладке Common поставьте галку Run in logged-on user's security context

    Сазонов Илья

    https://isazonov.wordpress.com/

    19 января 2016 г. 9:31
    Модератор
  • Увеличение предельного размера TGT: на одиночном компьютере - https://support.microsoft.com/ru-ru/kb/327825 , политикой на многих/всех компьютерах - например, https://support.microsoft.com/ru-ru/kb/938118 или через предпочтения/реестр


    Слава России!

    19 января 2016 г. 9:31
  • На закладке Common поставьте галку Run in logged-on user's security context

    Сазонов Илья

    https://isazonov.wordpress.com/

    Галка стоит.

    19 января 2016 г. 9:53
  • Увеличение предельного размера TGT: на одиночном компьютере - https://support.microsoft.com/ru-ru/kb/327825 , политикой на многих/всех компьютерах - например, https://support.microsoft.com/ru-ru/kb/938118 или через предпочтения/реестр


    Слава России!

    http://windowsitpro.com/security/q-what-improvements-has-microsoft-made-windows-8-and-windows-server-2012-reduce-number-kerb

    По RSOP.MSC политика применена.

    ___________

    http://winitpro.ru/index.php/2015/05/14/razmer-bileta-kerberos-i-problemy-ego-rosta/#h2_2

    На клиенте

    **********************************
    User's domain is domain.
    Total estimated token size is 3304.
    For access to DCs and delegatable resources the total estimated token delegation size is 6608.
    Effective MaxTokenSize value is: 48000
    Problem not detected.
    
    *Token Details for pevel.bulkin*
    There are 36 groups in the token.
    There are 0 SIDs in the users SIDHistory.
    There are 4 SIDs in the users groups SIDHistory attributes.
    There are 4 total SIDHistories for user and groups user is a member of.
    17 are domain global scope security groups.
    6 are domain local security groups.
    1 are universal security groups inside of the users domain.
    0 are universal security groups outside of the users domain.
    There are 39 total claims for the user in the token.
    Claim Details included in output file at C:\Windows\temp\TokenSizeDetails.txt
    Group Details included in output file at C:\Windows\temp\TokenSizeDetails.txt
    SIDHistory details included in output file at C:\Windows\temp\TokenSizeDetails.txt
    PS C:\install\ps>

    ______

    Правило не отрабатывает.

    ______

    Если добавить в нацеливание USER в независимости от расположения, правило не отрабатывает.

    Если в правиле только один USER, правило отрабатывает.

    Если в правиле только более 1 USER, правило не отрабатывает.

    Прошу прощения, другого скрина не осталось, мучаю правила.


    • Изменено Pavel Bulkin 19 января 2016 г. 10:47
    19 января 2016 г. 10:03
  • создайте НОВУЮ группу. киньте тудой какой нить тестовый акк и проверьте.

    З.Ы. а для переполнения тгт билета это очень надо постараться. на практике встречал такое только 1 раз.

    • Изменено Svolotch 19 января 2016 г. 12:14
    19 января 2016 г. 12:06
  • Насколько я понимаю, Вам не нужно обязательное выполнение всех условий ОДНОВРЕМЕННО для каждого пользователя (т.е. членство его и в группе1, и в группе2 и т.д.).

    В правилах нацеливания Вам нужно использовать не "AND", а "OR".

    • Изменено Evgenii Alekseev 19 января 2016 г. 18:01
    • Помечено в качестве ответа Pavel Bulkin 20 января 2016 г. 8:09
    19 января 2016 г. 17:57
  • создайте НОВУЮ группу. киньте тудой какой нить тестовый акк и проверьте.

    З.Ы. а для переполнения тгт билета это очень надо постараться. на практике встречал такое только 1 раз.

    Развернул новую ОС, создал двух пользователей, группы.

    В старом варианте политика отработала только в случае нахождения одной группы в *targeting*


    • Изменено Pavel Bulkin 20 января 2016 г. 8:08
    20 января 2016 г. 7:58
  • Насколько я понимаю, Вам не нужно обязательное выполнение всех условий ОДНОВРЕМЕННО для каждого пользователя (т.е. членство его и в группе1, и в группе2 и т.д.).

    В правилах нацеливания Вам нужно использовать не "AND", а "OR".

    Да все правильно.

    Наверное по логике должно быть "AND".

    В случае "OR" работает, спасибо! Как всегда все оказалось проще.

    • Помечено в качестве ответа Pavel Bulkin 20 января 2016 г. 8:26
    20 января 2016 г. 8:08