none
Фантомы в ГПО RRS feed

  • Общие обсуждения

  • Вопрос интересный. Каким образом может произойти ситуация, когда ГПО применяет к пользователю и ПК параметры, которых в ней нет?

    Пример из моей практики. Есть секция "Конфигурация пользователя/настройка/конфигурация windows/ярлыки"

    в ней были ярлыки, которые нужны на рабочем столе пользователей. После того, как местоположение программ за этими ярлыками изменилось, я изменил пути в ярлыках и подправил их названия.

    Ничего не изменилось. Новые ярлыки не появились. Старые остались, хотя я удалил их отовсюду.

    Тогда я создал отдельную ГПО и снова создал новые ярлыки уже в ней. Сработало.

    Я удалил новую ГПО с ярлыками и тогда, старые ярлыки вернулись.

    Победить удалось только обманом. Я создал старые ярлыки заново, только выбрал действие Удалить.

    Т.е налицо ситуация, когда объекта в меню управления ГПО нет, но он прекрасно транслируется пользователям из ниоткуда.


    • Изменен тип Vector BCOModerator 11 мая 2016 г. 6:16 Отсутствие активности
    26 апреля 2016 г. 10:33

Все ответы

  • Доброго времени суток.

    1) Для понимания каким образом необходимо снять лог

    "Configure Shortcuts preference logging and tracing" setting under the "Computer Configuration\Policies\Administrative Templates\System\Group Policy\Logging and tracing" node.

    Enabling Group Policy Preferences Debug Logging using the RSAT
    http://blogs.technet.com/b/askds/archive/2008/07/18/enabling-group-policy-preferences-debug-logging-using-the-rsat.asp

    2) Вы правили в политике ярлыки которые вы создавали или создали дополнительно с действием "заменить или обновить"

    26 апреля 2016 г. 16:13
  • Логирование включил.

    Я создавал и удалял ярлыки много раз в течении долгого времени. Сначала в рамках той же ГПО где они и были, просто изменил их пути и названия. Потом удалил их вовсе. Создавал заново. Потом уже удалил полностью и создал их в новой политике. Но если эту политику адалял то именно старые ярлыки возвращались. Так что устав выслушивать от пользователей по этому поводу, просто добавил еще ярлыков рядом с правильными, но только с параметром Удалить.

    И это кстати касается не только ярлыков, они лишь как пример. 

    Такой же эффект был и с настройками прокси для пользователей. Через административные шаблоны, работало кое как, делал через реестр. И тоже самое. Первый раз сделал через реестр параметры и они применились. Захотел изменить эти данные и все. Пользователь вечно получает старые данные и все тут. Вывод из домена, сброс учетки, удаление веток реестра ничего не дает.

    27 апреля 2016 г. 2:59
  • контроллер домена один или несколько? если несколько, работает ли между контроллерами синхронизация SYSVOL, возможна вероятность что у вас компьютер цепляет старую политику от DC который не синхронизирует их с главного.

    Идти туда, где не ждут, Атаковать там, где не подготовились.

    27 апреля 2016 г. 3:45
  • 2 контроллера, но по gpresult /r пк сообщает откуда взял политики и этот кд на котором я и провожу изменения, главный и хозяин схемы и так далее

    27 апреля 2016 г. 8:36
  • вам нужно убедиться в том что проблемы с синхронизацией нету, это главное условие. зайдите просто по сетевому пути на папки sysvol обоих контроллеров и измените одну из политик, файлик gpt.ini должен будет изменить дату на текущий момент у обоих контроллеров, если этого не произошло и он отличается, то вам нужно искать help по метке "проблема синхронизации sysvol" и устранить ее.

    Идти туда, где не ждут, Атаковать там, где не подготовились.

    27 апреля 2016 г. 8:51
  • Проверил. Мгновенное изменение даты у файла gpt.ini на втором контроллере. Проблем с синхронизацией нет.
    27 апреля 2016 г. 10:52
  • Предположу что может какое то отношение имеет к проблеме, то что есть например пункт Дополнительные параметры реестра. Его параметры видно в окне Параметры. Но пройдя по указанному пути я их найти не могу. Однако если сделать rsop на любой машине то эти параметры появляется в окне с результатами.

    Да и вообще вся эта богодельня у меня очень старая. А какого-то вменяемого решения как например очистить политики от правил нет. Ибо у меня и Эксчендж, isa 2006 и даже microsoft office communicator, который особенно чувствителен ко всякого рода изменениям в домене и ГПО. 

    27 апреля 2016 г. 11:00
  • Логирование включил.

    Я создавал и удалял ярлыки много раз в течении долгого времени. Сначала в рамках той же ГПО где они и были, просто изменил их пути и названия. Потом удалил их вовсе. Создавал заново. Потом уже удалил полностью и создал их в новой политике. Но если эту политику адалял то именно старые ярлыки возвращались. Так что устав выслушивать от пользователей по этому поводу, просто добавил еще ярлыков рядом с правильными, но только с параметром Удалить.

    И это кстати касается не только ярлыков, они лишь как пример. 

    Такой же эффект был и с настройками прокси для пользователей. Через административные шаблоны, работало кое как, делал через реестр. И тоже самое. Первый раз сделал через реестр параметры и они применились. Захотел изменить эти данные и все. Пользователь вечно получает старые данные и все тут. Вывод из домена, сброс учетки, удаление веток реестра ничего не дает.

    На вкладке Common свойств любых Preference есть флаг Remove this item when it is no longer applied. Если вы ожидаете, что политика может перестать применяться, и соответсвующие настройки должны будут быть удалены, то используйте этот флаг.

    Если необходимость удаления возникла внепланово - то для этого как раз и предназначено действие Delete.


    Слава России!

    27 апреля 2016 г. 12:40
  • совершенно верно, флаг такой есть и я про него знаю, вот только самих параметров этих нет. Не на чем галку ставить. Их видно при запросе rsop их видно при просмотре политики на вкладке Параметры, но если нажать "Изменить" политику то нет нигде ни в одной из веток ни в одном из пунктов. И как такое победить, особенно если оно, прежним админом, было забито зачем-то в дефолтную групповую политику.

    Случай как я и сказал непростой:-)

    28 апреля 2016 г. 3:01
  • Ладно. Майкрософт похоже об этом ничего не знает.

    Дополнительные политики я удалил, предварительно перенеся все параметры. Буду думать как очистить от мусора дефолтные. Надеюсь это поможет избавиться от глюков системы. Спасибо за попытку помочь.

    29 апреля 2016 г. 3:31