none
Политика ограничения ПО для определенной группы пользователей RRS feed

  • Вопрос

  • Создал GPO, описывающий политику ограничения ПО (использовал раздел "Конфигурация пользователя").
    Если применить ее к домену или OU - работает корректно.

    Однако, задача стоит - применить политику ограничения ПО только к одной групппе пользователей.

    Если снять права "Чтение" и "Применение групповой политики" с группы "Прошедшие проверку", назначить права "Чтение" и "Применение групповой политики" группе пользователей - то политика не применяется.

    В чем может быть дело? Что я забыл?

    Применение к OU - это не то, что нужно в данном случае.
    Делать через WMI-фильтрацию тоже не очень хочется. По возможности, хотелось бы назначить права именно через разрешения.
    MCP

Ответы

  • Пользователь действительно был включен в группу "DL SRP".

    Как выяснилось, назначения в групповой политике корректно применяются на G-группы, но не применяются, если включить в ACL DL-группу.

    Создал G-группу "G SRP" и все стало работать нормально.
    MCP
    • Помечено в качестве ответа Ilya Lushnikov 14 мая 2009 г. 11:07

Все ответы

  • Прилинкуйте политику к домену целиком, а затем в security filtering удалите authentificated users и добавьте свою группу.
    Отвечающий
  • Так и сделал. Политика не применяется, к сожалению.
    Через оснастку "Результирующая политика" тоже не отображается.
    MCP
  • В логах клиентов есть ошибки?
    Отвечающий
  • Не удаляйте разрешение Чтение для группы Прошедшие проверку, удалите только Применение групповой политики.
    Модератор
  • Ошибок нет.

    Пользователь user1 включен в группу "DL SRP".

    Если назначить группе "DL SRP" права "Чтение" и "Применение групповой политики" и снять их с "Прошедшие проверку", то gpresult выглядит так:

    C:\Documents and Settings\user1>gpresult
    
    Программа формирования отчета групповой политики операционной системы
    Microsoft (R) Windows (R) XP версии 2.0
    (С) Корпорация Майкрософт, 1981-2001
    
    Создано на 14.05.2009 в 16:18:46
    
    
    RSOP-результаты для TESTDOMAIN\user1 на CLIENT1O : Режим журналирования
    ------------------------------------------------------------------------
    
    Тип ОС:                     Microsoft Windows XP Professional
    Конфигурация ОС:            Рядовая рабочая станция
    Версия ОС:                  5.1.2600
    Имя домена:                 TESTDOMAIN
    Тип домена:                 Windows 2000
    Имя сайта:                  Default-First-Site-Name
    Перемещаемый профиль:
    Локальный профиль:          C:\Documents and Settings\user1
    Подключение по медленному каналу?:        Нет
    
    
    Конфигурация компьютера
    ------------------------
        CN=CLIENT1O,CN=Computers,DC=testdomain,DC=ru
        Последнее применение групповой политики:  14.05.2009 at 16:17:26
        Групповая политика была применена с:      dc1.testdomain.ru
        Порог медленной связи групповой политики: 500 kbps
    
        Примененные объекты групповой политики
        ---------------------------------------
            Password policy
            Default Domain Policy
    
        Следующие политики GPO не были приняты, поскольку они отфильтрованы
        --------------------------------------------------------------------
            SRP
                Фильтрация:  Не применяется (пусто)
    
            Политика локальной группы
                Фильтрация:  Не применяется (пусто)
    
        Компьютер является членом следующих групп безопасности:
        -------------------------------------------------------
            Администраторы
            Все
            Пользователи
            СЕТЬ
            Прошедшие проверку
            CLIENT1O$
            Компьютеры домена
    
    
    Конфигурация пользователя
    --------------------------
        CN=user1,CN=Users,DC=testdomain,DC=ru
        Последнее применение групповой политики:  14.05.2009 at 16:17:26
        Групповая политика была применена с:      dc1.testdomain.ru
        Порог медленной связи групповой политики: 500 kbps
    
        Примененные объекты групповой политики
        ---------------------------------------
            Default Domain Policy
    
        Следующие политики GPO не были приняты, поскольку они отфильтрованы
        --------------------------------------------------------------------
            SRP
                Фильтрация:  Отказано (безопасность)
    
            Политика локальной группы
                Фильтрация:  Не применяется (пусто)
    
            Password policy
                Фильтрация:  Не применяется (пусто)
    
        Пользователь является членом следующих групп безопасности:
        ----------------------------------------------------------
            Пользователи домена
            Все
            Пользователи
            ИНТЕРАКТИВНЫЕ
            Прошедшие проверку
            ЛОКАЛЬНЫЕ
    


    Если назначить "Прошедшие проверку" права "Чтение" и "Применение групповой политики":

    C:\Documents and Settings\user1>gpresult
    
    Программа формирования отчета групповой политики операционной системы
    Microsoft (R) Windows (R) XP версии 2.0
    (С) Корпорация Майкрософт, 1981-2001
    
    Создано на 14.05.2009 в 16:24:43
    
    
    RSOP-результаты для TESTDOMAIN\user1 на CLIENT1O : Режим журналирования
    ------------------------------------------------------------------------
    
    Тип ОС:                     Microsoft Windows XP Professional
    Конфигурация ОС:            Рядовая рабочая станция
    Версия ОС:                  5.1.2600
    Имя домена:                 TESTDOMAIN
    Тип домена:                 Windows 2000
    Имя сайта:                  Default-First-Site-Name
    Перемещаемый профиль:
    Локальный профиль:          C:\Documents and Settings\user1
    Подключение по медленному каналу?:        Нет
    
    
    Конфигурация компьютера
    ------------------------
        CN=CLIENT1O,CN=Computers,DC=testdomain,DC=ru
        Последнее применение групповой политики:  14.05.2009 at 16:23:57
        Групповая политика была применена с:      dc1.testdomain.ru
        Порог медленной связи групповой политики: 500 kbps
    
        Примененные объекты групповой политики
        ---------------------------------------
            Password policy
            Default Domain Policy
    
        Следующие политики GPO не были приняты, поскольку они отфильтрованы
        --------------------------------------------------------------------
            SRP
                Фильтрация:  Не применяется (пусто)
    
            Политика локальной группы
                Фильтрация:  Не применяется (пусто)
    
        Компьютер является членом следующих групп безопасности:
        -------------------------------------------------------
            Администраторы
            Все
            Пользователи
            СЕТЬ
            Прошедшие проверку
            CLIENT1O$
            Компьютеры домена
    
    
    Конфигурация пользователя
    --------------------------
        CN=user1,CN=Users,DC=testdomain,DC=ru
        Последнее применение групповой политики:  14.05.2009 at 16:23:57
        Групповая политика была применена с:      dc1.testdomain.ru
        Порог медленной связи групповой политики: 500 kbps
    
        Примененные объекты групповой политики
        ---------------------------------------
            SRP
            Default Domain Policy
    
        Следующие политики GPO не были приняты, поскольку они отфильтрованы
        --------------------------------------------------------------------
            Политика локальной группы
                Фильтрация:  Не применяется (пусто)
    
            Password policy
                Фильтрация:  Не применяется (пусто)
    
        Пользователь является членом следующих групп безопасности:
        ----------------------------------------------------------
            Пользователи домена
            Все
            Пользователи
            ИНТЕРАКТИВНЫЕ
            Прошедшие проверку
            ЛОКАЛЬНЫЕ
    


    Где ошибка? Какие еще разрешения надо назначить?
    MCP



  •     Пользователь является членом следующих групп безопасности:

        ----------------------------------------------------------

            Пользователи домена

            Все

            Пользователи

            ИНТЕРАКТИВНЫЕ

            Прошедшие проверку

            ЛОКАЛЬНЫЕ



    Где ошибка? Какие еще разрешения надо назначить?
    MCP

    Тем не менее вы утверждаете "Пользователь user1 включен в группу "DL SRP".
    Отвечающий
  • Пользователь действительно был включен в группу "DL SRP".

    Как выяснилось, назначения в групповой политике корректно применяются на G-группы, но не применяются, если включить в ACL DL-группу.

    Создал G-группу "G SRP" и все стало работать нормально.
    MCP
    • Помечено в качестве ответа Ilya Lushnikov 14 мая 2009 г. 11:07