none
Не на всех клиентах применяется GPO RRS feed

 > 

  • Вопрос

  • Question
    Нужно войти
    0
    Нужно войти

    Добрый день!

    Создал GPO, добавил группу для которой нужно что бы она отрабатывалась, но не на всех компьютерах из этой группы она отрабатывается, даже после перезагрузки, приходиться gpupdate вводить руками в cmd, и перезагружаться, только после этого отрабатывается, почему так происходит, и как это решить?

    28 сентября 2014 г. 7:36
    |

Ответы

  • Question
    Нужно войти
    0
    Нужно войти
    Все заработало, и всего то надо было 2 раза перезагрузиться, как я понял после первого раза пользователь добавился в группу, а после второго, к нему уже применилась политика, я конечно не считаю это нормальным, но это так, проверено на 18 компьютерах!
    • Помечено в качестве ответа osr_MVP, Moderator 29 сентября 2014 г. 20:53
    29 сентября 2014 г. 20:34
    |

Все ответы

  • Question
    Нужно войти
    0
    Нужно войти

    Добрый день!

    gpresult

    смотрели для этих клиентов?

    Политика может применяться от 90-120 минут при background'e для клиентов и 5 минут для КД, насколько помню.  при gpupdate /force - форсируете эти интервалы

    Roman Levchenko, MCSA, MCITP, MCTS http://www.rlevchenko.com

    28 сентября 2014 г. 7:42
    |
  • Question
    Нужно войти
    0
    Нужно войти
    С создания политики прошло несколько дней! gpresult не смотрел, так как быстрее было gpupdate сделать! gpupdate /force тоже пробовал, я так понимаю при этой команде gpo должно применятся немедленно, но это не происходило!
    28 сентября 2014 г. 7:49
    |
  • Question
    Нужно войти
    0
    Нужно войти
    Только что посмотрел gpresult с контроллера домена, там нет результата это политики!

    А на тех клиентах где применял gpupdate есть результат gpo.
    • Изменено Scorpion15 28 сентября 2014 г. 7:58
    28 сентября 2014 г. 7:57
    |
  • Question
    Нужно войти
    0
    Нужно войти

    уточните сервак, какие клиенты и логи дайте

    rsop что кажет в обоих модах?

    dcdiag ошибков не дает?

    28 сентября 2014 г. 8:08
    |
  • Question
    Нужно войти
    0
    Нужно войти

    Windows SERVER 2008 R2, клиенты Windows 7, какие логи нужны? Я немного ошибся я на КД Rsop применял, там не было применения моей GPO. Кстати, а в чем разница между gpresult и Rsop?

    Вывод: C:\Users\Администратор>dcdiag

    Диагностика сервера каталогов

Выполнение начальной настройки:
   Выполняется попытка поиска основного сервера...
   Основной сервер =
   * Идентифицирован лес AD.
   Сбор начальных данных завершен.

Выполнение обязательных начальных проверок

   Сервер проверки: Default-First-Site-Name\
      Запуск проверки: Connectivity
         ......................... - пройдена проверка Connectivity

Выполнение основных проверок

   Сервер проверки: Default-First-Site-Name\
      Запуск проверки: Advertising
         .........................  - пройдена проверка Advertising
      Запуск проверки: FrsEvent
         .........................  - пройдена проверка FrsEvent
      Запуск проверки: DFSREvent
         За последние 24 часа после предоставления SYSVOL в общий доступ
         зафиксированы предупреждения или сообщения  об ошибках.  Сбои при
         репликации SYSVOL могут стать причиной проблем групповой политики.
         .........................  - пройдена проверка DFSREvent
      Запуск проверки: SysVolCheck
         ......................... - пройдена проверка SysVolCheck
      Запуск проверки: KccEvent
         .........................  - пройдена проверка KccEvent
      Запуск проверки: KnowsOfRoleHolders
         .........................  - пройдена проверка KnowsOfRoleHolders
      Запуск проверки: MachineAccount
         ......................... - пройдена проверка MachineAccount
      Запуск проверки: NCSecDesc
         .........................  - пройдена проверка NCSecDesc
      Запуск проверки: NetLogons
         .........................  - пройдена проверка NetLogons
      Запуск проверки: ObjectsReplicated
         ......................... - пройдена проверка ObjectsReplicated
      Запуск проверки: Replications
         ......................... - пройдена проверка Replications
      Запуск проверки: RidManager
         ......................... - пройдена проверка RidManager
      Запуск проверки: Services
         ......................... - пройдена проверка Services
      Запуск проверки: SystemLog
         Возникла ошибка. Код события (EventID): 0xC0002719
            Время создания: 09/28/2014   11:54:30
            Строка события:
            Не удалось установить связь DCOM с компьютером *** через один
з настроенных протоколов.
         ......................... - не пройдена проверка SystemLog
      Запуск проверки: VerifyReferences
         .........................  - пройдена проверка VerifyReferences


   Выполнение проверок разделов на: ForestDnsZones
      Запуск проверки: CheckSDRefDom
         ......................... ForestDnsZones - пройдена проверка
         CheckSDRefDom
      Запуск проверки: CrossRefValidation
         ......................... ForestDnsZones - пройдена проверка
         CrossRefValidation

   Выполнение проверок разделов на: DomainDnsZones
      Запуск проверки: CheckSDRefDom
         ......................... DomainDnsZones - пройдена проверка
         CheckSDRefDom
      Запуск проверки: CrossRefValidation
         ......................... DomainDnsZones - пройдена проверка
         CrossRefValidation

   Выполнение проверок разделов на: Schema
      Запуск проверки: CheckSDRefDom
         ......................... Schema - пройдена проверка CheckSDRefDom
      Запуск проверки: CrossRefValidation
         ......................... Schema - пройдена проверка
         CrossRefValidation

   Выполнение проверок разделов на: Configuration
      Запуск проверки: CheckSDRefDom
         ......................... Configuration - пройдена проверка
         CheckSDRefDom
      Запуск проверки: CrossRefValidation
         ......................... Configuration - пройдена проверка
         CrossRefValidation

   Выполнение проверок разделов на:
      Запуск проверки: CheckSDRefDom
         .........................  - пройдена проверка CheckSDRefDom
      Запуск проверки: CrossRefValidation
         .........................  - пройдена проверка CrossRefValidation

   Выполнение проверок предприятия на:
      Запуск проверки: LocatorCheck
         ......................... - пройдена проверка LocatorCheck
      Запуск проверки: Intersite
         .........................  - пройдена проверка Intersite

C:\Users\Администратор>


    • Изменено Scorpion15 28 сентября 2014 г. 12:41
    28 сентября 2014 г. 8:25
    |
  • Question
    Нужно войти
    0
    Нужно войти

    Результат gpresult /R, меня настораживает что та политика котарая я хочу что бы отрабатывалась(

    disable_previous_versions

    ) числится как отказано, что это значит, и еще я добавил этого пользователя в группу, но она не отображается в строке:

    Пользователь является членом следующих групп безопасности

    :

    Конфигурация пользователя
--------------------------
    CN=Диспетчер,CN=Users,DC=,DC=local
    Последнее применение групповой политики:  28.09.2014 в 16:23:09
    Групповая политика была применена с:      Н/Д
    Порог медленного канала для групповой политики: 500 kbps
    Имя домена:                      
    Тип домена:                        Windows 2000

    Примененные объекты групповой политики
    ---------------------------------------
        Н/Д

    Следующие политики GPO не были приняты, поскольку они отфильтрованы
    --------------------------------------------------------------------
        disable_previous_versions
            Фильтрация:  Отказано (безопасность)

        Local Group Policy
            Фильтрация:  Не применяется (пусто)

        Default Domain Policy
            Фильтрация:  Не применяется (пусто)

    Пользователь является членом следующих групп безопасности
    ---------------------------------------------------------
        Пользователи домена
        Все
        Пользователи
        ИНТЕРАКТИВНЫЕ
        КОНСОЛЬНЫЙ ВХОД
        Прошедшие проверку
        Данная организация
        ЛОКАЛЬНЫЕ
        Средний обязательный уровень


    28 сентября 2014 г. 12:40
    |
  • Question
    Нужно войти
    0
    Нужно войти


    http://technet.microsoft.com/en-us/library/cc759506(v=ws.10).aspx

    Roman Levchenko, MCSA, MCITP, MCTS http://www.rlevchenko.com

    28 сентября 2014 г. 12:44
    |
  • Question
    Нужно войти
    0
    Нужно войти
    Ну ведь у меня Windows Server 2008, а указанная вами статья действительно на 2003.
    28 сентября 2014 г. 12:53
    |
  • Question
    Нужно войти
    0
    Нужно войти
    Да у меня и так стоит в делегировании на ту группу которую мне надо права на чтение и применить групповую политику!
    28 сентября 2014 г. 13:05
    |
  • Question
    Нужно войти
    0
    Нужно войти
    Я так понимаю, что GPO у меня не применяется так как пользователей нет в группе(судя по результату gpresult), но они там точно есть! И еще если в GPO оставить как это есть по умолчанию группу Прошедшие проверку, то GPO отрабатывается, а если ее удалить и добавить свою, то GPO не применяется, даже после перезагрузки клиентских компьютеров, а применяется только после gpupdate и перезагрузки, я не пойму почему так, что я не правильно делаю?
    28 сентября 2014 г. 14:33
    |
  • Question
    Нужно войти
    0
    Нужно войти
    Никогда не удаляйте группу Прошедшие проверку из списка контроля доступа GPO. Допускается только убирать разрешение Apply Group Policy, разрешение Read должно оставаться. Обработчик групповых политик на стороне клиента должен иметь возможность читать все GPO, независимо от того, применятся они или нет. Возможно, это и не решает проблему, вынесенную в ваш вопрос, но вы спросили, что вы делаете неправильно. 
    28 сентября 2014 г. 15:54
    |
    Модератор
  • Question
    Нужно войти
    0
    Нужно войти
    Ок, попробую, но не понимаю почему тогда, когда я выполняю gpupdate и перезагружаюсь, политика применяется?
    28 сентября 2014 г. 15:58
    |
  • Question
    Нужно войти
    0
    Нужно войти
    Правильно понимаю, что у вас больше одного домен-контроллера? Я бы смотрел, насколько групповые политики одинаковые на разных домен-контроллерах. Нужно убедиться, что не нарушена синхронизация. Консоль Group Policy Management позволяет подключиться к заданному DC чтобы смотреть/редактировать политики.
    28 сентября 2014 г. 16:02
    |
    Модератор
  • Question
    Нужно войти
    0
    Нужно войти
    Да у меня 2 КД между собой реплицируются, посмотрел на обоих GPO, разницы не увидел.
    28 сентября 2014 г. 16:13
    |
  • Question
    Нужно войти
    0
    Нужно войти

    Попробуйте этот совет:

    http://support.microsoft.com/kb/2421599

    28 сентября 2014 г. 16:33
    |
    Модератор
  • Question
    Нужно войти
    0
    Нужно войти
    Проблем с сетью нет? Были похожие проблемы из-за сети.
    28 сентября 2014 г. 17:33
    |
  • Question
    Нужно войти
    0
    Нужно войти
    Да нет, не наблюдал!
    29 сентября 2014 г. 2:32
    |
  • Question
    Нужно войти
    0
    Нужно войти
    Все заработало, и всего то надо было 2 раза перезагрузиться, как я понял после первого раза пользователь добавился в группу, а после второго, к нему уже применилась политика, я конечно не считаю это нормальным, но это так, проверено на 18 компьютерах!
    • Помечено в качестве ответа osr_MVP, Moderator 29 сентября 2014 г. 20:53
    29 сентября 2014 г. 20:34
    |
  • Question
    Нужно войти
    0
    Нужно войти
    Ок, попробую, но не понимаю почему тогда, когда я выполняю gpupdate и перезагружаюсь, политика применяется?

    Скорее всего, билет Kerberos (членство в группах харнится в нем) на этом компьютере был кэширован - у него по умолчанию срок возобновляемости порядка недели,  а перезагрузка естественно всё сбрасывает.

    PS Билет Kerberos можно смотреть командой klist.

    Слава России!

    29 сентября 2014 г. 20:56
    |