none
Почему доменная групповая политика применяется к локальному пользователю? RRS feed

  • Общие обсуждения

  • Здравствуйте.

    В домене есть групповая политика, запрещающая пользователям запуск программы (по имени exe-файла). В политики этот запрет задан в параметрах пользователя. Политика прилинкована к OU, в котором находятся учетные записи доменных пользователей. В scope политики задана группа authenticated users.

    При логине доменных пользователей политика применяется и программу запустить не удается. Но почему-то эта же политика применяется и при логине локальных пользователей компьютера.

    Подскажите, почему так происходит? Что нужно сделать, чтобы политика не применялась к локальным пользователям?

    24 января 2014 г. 11:12

Все ответы

  • выполните на компьютере на котором у вас проблема -

    gpresult /H c:\g.html

    покажите файл g.html, он будет в корне диска C

    25 января 2014 г. 16:42
  • Видно, что к локальному пользователю не применяются ни доменные, ни локальные политики.


    • Изменено roman34rus 27 января 2014 г. 5:24
    27 января 2014 г. 5:22
  • а как именно "запрещающая пользователям запуск программы" какая ос на сервере и клиенте? 
    27 января 2014 г. 5:28
  • а как именно "запрещающая пользователям запуск программы" какая ос на сервере и клиенте? 

    Используется параметр User Configuration/Administrative Templates/System/Don't run specified Windows applications. Внутри параметра список из имен запрещенных exe-файлов. Параметр применяется к клиентам начиная с win2000.

    Контроллер домена - server 2008 r2, клиенты - win 7 pro.

    28 января 2014 г. 4:09
  • http://technet.microsoft.com/en-us/library/cc776536%28v=ws.10%29.aspx

    Cпасибо, не знал о такой возможности. Но мне не нужно исключать группу локальных администраторов из действия политики (в ней могут быть и доменные пользователи). Мне нужно понять почему политика применяется к локальным пользователям.
    28 января 2014 г. 4:11
  • у локального пользователя или машины в реестре есть что либо по этому пути?

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\




    • Изменено kruzhka 28 января 2014 г. 5:56
    28 января 2014 г. 5:44
  • Да, ключи создаются в реестре пользователя:

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun

    28 января 2014 г. 12:04
  • тогда выясняйте как они туда попадают, удалите эти ключи с одной машины, потом обновите политики (gpupdate /force) и посмотрите, появились ли они, если нет то перевойдите пользователем, перезагрузите компьютер и т.п. если их не будет то тогда надо думать как их убрать... 

    • Изменено kruzhka 28 января 2014 г. 12:39
    28 января 2014 г. 12:37
  • Ключи создает в реестре политика. 100%. Проводил эксперимент: создавал на ПК нового локального пользователя, логинился им и после первого же логина находил этот ключ в реестре. 

    Точно так же этот ключ есть в реестре каждого доменного пользователя, к которому применяется политика. А вот в реестре доменных пользователей, к которым политика не применяется, этого ключа нет.

    Я ожидал что его не будет и в реестре локальных пользователей т.к. доменная политика (раздел пользователя) к ним применяться никак не должна. Но почему-то это не так...

    29 января 2014 г. 8:09
  • покажите все параметры результирующей политики, к компьютеру на котором такая проблема проявляется.

    30 января 2014 г. 7:45