none
Не на всех клиентах применяется GPO RRS feed

  • Вопрос

  • Добрый день!

    Создал GPO, добавил группу для которой нужно что бы она отрабатывалась, но не на всех компьютерах из этой группы она отрабатывается, даже после перезагрузки, приходиться gpupdate вводить руками в cmd, и перезагружаться, только после этого отрабатывается, почему так происходит, и как это решить?

    28 сентября 2014 г. 7:36

Ответы

  • Все заработало, и всего то надо было 2 раза перезагрузиться, как я понял после первого раза пользователь добавился в группу, а после второго, к нему уже применилась политика, я конечно не считаю это нормальным, но это так, проверено на 18 компьютерах!
    • Помечено в качестве ответа osr_MVP, Moderator 29 сентября 2014 г. 20:53
    29 сентября 2014 г. 20:34

Все ответы

  • Добрый день!

    gpresult

    смотрели для этих клиентов?

    Политика может применяться от 90-120 минут при background'e для клиентов и 5 минут для КД, насколько помню.  при gpupdate /force - форсируете эти интервалы


    Roman Levchenko, MCSA, MCITP, MCTS http://www.rlevchenko.com

    28 сентября 2014 г. 7:42
  • С создания политики прошло несколько дней! gpresult не смотрел, так как быстрее было gpupdate сделать! gpupdate /force тоже пробовал, я так понимаю при этой команде gpo должно применятся немедленно, но это не происходило!
    28 сентября 2014 г. 7:49
  • Только что посмотрел gpresult с контроллера домена, там нет результата это политики!

    А на тех клиентах где применял gpupdate есть результат gpo.
    • Изменено Scorpion15 28 сентября 2014 г. 7:58
    28 сентября 2014 г. 7:57
  • уточните сервак, какие клиенты и логи дайте

    rsop что кажет в обоих модах?

    dcdiag ошибков не дает?

    28 сентября 2014 г. 8:08
  • Windows SERVER 2008 R2, клиенты Windows 7, какие логи нужны? Я немного ошибся я на КД Rsop применял, там не было применения моей GPO. Кстати, а в чем разница между gpresult и Rsop?

    Вывод: C:\Users\Администратор>dcdiag

    Диагностика сервера каталогов
    
    Выполнение начальной настройки:
       Выполняется попытка поиска основного сервера...
       Основной сервер =
       * Идентифицирован лес AD.
       Сбор начальных данных завершен.
    
    Выполнение обязательных начальных проверок
    
       Сервер проверки: Default-First-Site-Name\
          Запуск проверки: Connectivity
             ......................... - пройдена проверка Connectivity
    
    Выполнение основных проверок
    
       Сервер проверки: Default-First-Site-Name\
          Запуск проверки: Advertising
             .........................  - пройдена проверка Advertising
          Запуск проверки: FrsEvent
             .........................  - пройдена проверка FrsEvent
          Запуск проверки: DFSREvent
             За последние 24 часа после предоставления SYSVOL в общий доступ
             зафиксированы предупреждения или сообщения  об ошибках.  Сбои при
             репликации SYSVOL могут стать причиной проблем групповой политики.
             .........................  - пройдена проверка DFSREvent
          Запуск проверки: SysVolCheck
             ......................... - пройдена проверка SysVolCheck
          Запуск проверки: KccEvent
             .........................  - пройдена проверка KccEvent
          Запуск проверки: KnowsOfRoleHolders
             .........................  - пройдена проверка KnowsOfRoleHolders
          Запуск проверки: MachineAccount
             ......................... - пройдена проверка MachineAccount
          Запуск проверки: NCSecDesc
             .........................  - пройдена проверка NCSecDesc
          Запуск проверки: NetLogons
             .........................  - пройдена проверка NetLogons
          Запуск проверки: ObjectsReplicated
             ......................... - пройдена проверка ObjectsReplicated
          Запуск проверки: Replications
             ......................... - пройдена проверка Replications
          Запуск проверки: RidManager
             ......................... - пройдена проверка RidManager
          Запуск проверки: Services
             ......................... - пройдена проверка Services
          Запуск проверки: SystemLog
             Возникла ошибка. Код события (EventID): 0xC0002719
                Время создания: 09/28/2014   11:54:30
                Строка события:
                Не удалось установить связь DCOM с компьютером *** через один
    з настроенных протоколов.
             ......................... - не пройдена проверка SystemLog
          Запуск проверки: VerifyReferences
             .........................  - пройдена проверка VerifyReferences
    
    
       Выполнение проверок разделов на: ForestDnsZones
          Запуск проверки: CheckSDRefDom
             ......................... ForestDnsZones - пройдена проверка
             CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... ForestDnsZones - пройдена проверка
             CrossRefValidation
    
       Выполнение проверок разделов на: DomainDnsZones
          Запуск проверки: CheckSDRefDom
             ......................... DomainDnsZones - пройдена проверка
             CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... DomainDnsZones - пройдена проверка
             CrossRefValidation
    
       Выполнение проверок разделов на: Schema
          Запуск проверки: CheckSDRefDom
             ......................... Schema - пройдена проверка CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... Schema - пройдена проверка
             CrossRefValidation
    
       Выполнение проверок разделов на: Configuration
          Запуск проверки: CheckSDRefDom
             ......................... Configuration - пройдена проверка
             CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... Configuration - пройдена проверка
             CrossRefValidation
    
       Выполнение проверок разделов на:
          Запуск проверки: CheckSDRefDom
             .........................  - пройдена проверка CheckSDRefDom
          Запуск проверки: CrossRefValidation
             .........................  - пройдена проверка CrossRefValidation
    
       Выполнение проверок предприятия на:
          Запуск проверки: LocatorCheck
             ......................... - пройдена проверка LocatorCheck
          Запуск проверки: Intersite
             .........................  - пройдена проверка Intersite
    
    C:\Users\Администратор> 


    • Изменено Scorpion15 28 сентября 2014 г. 12:41
    28 сентября 2014 г. 8:25
  • Результат gpresult /R, меня настораживает что та политика котарая я хочу что бы отрабатывалась(

    disable_previous_versions

    ) числится как отказано, что это значит, и еще я добавил этого пользователя в группу, но она не отображается в строке:

    Пользователь является членом следующих групп безопасности

    :

    Конфигурация пользователя
    --------------------------
        CN=Диспетчер,CN=Users,DC=,DC=local
        Последнее применение групповой политики:  28.09.2014 в 16:23:09
        Групповая политика была применена с:      Н/Д
        Порог медленного канала для групповой политики: 500 kbps
        Имя домена:                      
        Тип домена:                        Windows 2000
    
        Примененные объекты групповой политики
        ---------------------------------------
            Н/Д
    
        Следующие политики GPO не были приняты, поскольку они отфильтрованы
        --------------------------------------------------------------------
            disable_previous_versions
                Фильтрация:  Отказано (безопасность)
    
            Local Group Policy
                Фильтрация:  Не применяется (пусто)
    
            Default Domain Policy
                Фильтрация:  Не применяется (пусто)
    
        Пользователь является членом следующих групп безопасности
        ---------------------------------------------------------
            Пользователи домена
            Все
            Пользователи
            ИНТЕРАКТИВНЫЕ
            КОНСОЛЬНЫЙ ВХОД
            Прошедшие проверку
            Данная организация
            ЛОКАЛЬНЫЕ
            Средний обязательный уровень


    28 сентября 2014 г. 12:40

  • http://technet.microsoft.com/en-us/library/cc759506(v=ws.10).aspx


    Roman Levchenko, MCSA, MCITP, MCTS http://www.rlevchenko.com

    28 сентября 2014 г. 12:44
  • Ну ведь у меня Windows Server 2008, а указанная вами статья действительно на 2003.
    28 сентября 2014 г. 12:53
  • Да у меня и так стоит в делегировании на ту группу которую мне надо права на чтение и применить групповую политику!
    28 сентября 2014 г. 13:05
  • Я так понимаю, что GPO у меня не применяется так как пользователей нет в группе(судя по результату gpresult), но они там точно есть! И еще если в GPO оставить как это есть по умолчанию группу Прошедшие проверку, то GPO отрабатывается, а если ее удалить и добавить свою, то GPO не применяется, даже после перезагрузки клиентских компьютеров, а применяется только после gpupdate и перезагрузки, я не пойму почему так, что я не правильно делаю?
    28 сентября 2014 г. 14:33
  • Никогда не удаляйте группу Прошедшие проверку из списка контроля доступа GPO. Допускается только убирать разрешение Apply Group Policy, разрешение Read должно оставаться. Обработчик групповых политик на стороне клиента должен иметь возможность читать все GPO, независимо от того, применятся они или нет. Возможно, это и не решает проблему, вынесенную в ваш вопрос, но вы спросили, что вы делаете неправильно. 
    28 сентября 2014 г. 15:54
    Модератор
  • Ок, попробую, но не понимаю почему тогда, когда я выполняю gpupdate и перезагружаюсь, политика применяется?
    28 сентября 2014 г. 15:58
  • Правильно понимаю, что у вас больше одного домен-контроллера? Я бы смотрел, насколько групповые политики одинаковые на разных домен-контроллерах. Нужно убедиться, что не нарушена синхронизация. Консоль Group Policy Management позволяет подключиться к заданному DC чтобы смотреть/редактировать политики.
    28 сентября 2014 г. 16:02
    Модератор
  • Да у меня 2 КД между собой реплицируются, посмотрел на обоих GPO, разницы не увидел.
    28 сентября 2014 г. 16:13
  • Попробуйте этот совет:

    http://support.microsoft.com/kb/2421599

    28 сентября 2014 г. 16:33
    Модератор
  • Проблем с сетью нет? Были похожие проблемы из-за сети.
    28 сентября 2014 г. 17:33
  • Да нет, не наблюдал!
    29 сентября 2014 г. 2:32
  • Все заработало, и всего то надо было 2 раза перезагрузиться, как я понял после первого раза пользователь добавился в группу, а после второго, к нему уже применилась политика, я конечно не считаю это нормальным, но это так, проверено на 18 компьютерах!
    • Помечено в качестве ответа osr_MVP, Moderator 29 сентября 2014 г. 20:53
    29 сентября 2014 г. 20:34
  • Ок, попробую, но не понимаю почему тогда, когда я выполняю gpupdate и перезагружаюсь, политика применяется?

    Скорее всего, билет Kerberos (членство в группах харнится в нем) на этом компьютере был кэширован - у него по умолчанию срок возобновляемости порядка недели,  а перезагрузка естественно всё сбрасывает.

    PS Билет Kerberos можно смотреть командой klist.


    Слава России!

    29 сентября 2014 г. 20:56