none
Не работает GPO запрет использования оснастки. RRS feed

  • Вопрос

  • Доброго времени суток.

    Уровень леса и домена 2012 R2. Необходимо запретить всем пользователям запуск оснастки diskmgmt.msc только на одном компьютере в домене (2012 R2). Использовал замыкание, политики в rsop отображаются и применены, но оснастка запускается как и прежде.

    Политика замыкания:

    Политика блокировки diskmgmt.msc:

    Т.е. политика "LoopBack" привязана к OU=computers,OU=uitis,DC=domain,DC=local, но действует только для компьютера DIRECTSANPROXY. Политика Diskmgmt_block действует для всех пользователей на DIRECTSANPROXY.

    Вот что показывает rsop при входе на DIRECTSANPROXY:

    Т.е. политики применены, но запрещенная оснастка все равно запускается. Что я сделал не так?

    15 января 2018 г. 6:22

Ответы

  • Спасибо за ответ.

    Нашел нужный парнаметр, он оказался чуть глужбе

    Если отключить параметры:

     То при попытке:

    • Запуска diskmgmt.msc выдается сообщение об ошибке, что оснастка запрещена политикой
    • Выбрать оснастку через mmc невозможно - нет в списке
    • При доступе через Computer management оснастка Storage пуста

    16 января 2018 г. 10:31

Все ответы

  • В делегировании вы выдали право чтения для Domain Computers?
    15 января 2018 г. 6:58
  • Фильтры безопасности объектов групповых политик присутствуют на скриншотах. Ну или я не понял о чем вы говорите.

    update:

    Дошло о чем вы. Для LoopBack права на чтение у нужной машины есть (DIRECTSANPROXY), для Diskmgmt_block права на чтение есть у всех прошедших проверку:

    Если бы не было соответствующих прав, разве бы политики отображались как примененные в rsop?

    15 января 2018 г. 7:06
  • Для применения прав безопасности (отличных от Прошедшие проверку), надо указывать не только имя компуктера, но и имя пользователя, иначе политика игнорируется

    Добавьте ещё Domain Users в безопасность, должно взлететь

    Перед тестом через Group Policy Result прогоните, чтобы как бы чего не вышло =)

    • Изменено atulyakov 15 января 2018 г. 7:49
    15 января 2018 г. 7:46
  • Ничего не изменилось.

    15 января 2018 г. 8:00
  • в вашей политике есть 2 настроеные пункта - пользователя и ПК, следовательно вам нужно выдать права для необходимых пользователей и ПК на чтение и применение этой политики.

    после настройки политики сделайте gpupdate /force и перезапустите сервер


    The opinion expressed by me is not an official position of Microsoft

    15 января 2018 г. 8:18
    Модератор
  • Ничего не изменилось.

    А если сделать отчет по пользователю на этом компьютере через оснастку Group Policy -> Group POlicy Results ?
    15 января 2018 г. 8:20
  • "в вашей политике есть 2 настроеные пункта - пользователя и ПК"

    Это не так. Параметры пользователя в одном объекте, параметры компьютера - в другом.

    update: кстати, в репорте визарда результирующей политики все, кажется, в порядке, т.е. политики применены (как и указано в rsop), соответствующий параметр с запретом diskmgmt.msc присутствует (как и указано в rsop).


    15 января 2018 г. 8:20
  • Слушайте...я либо не понимаю, либо что-то не так.

    Замыкание политики на себя нужно включать в той политике, что и определяет параметры пользователя для компьютера - у Вас же это два разных объекта.

    По идее, Вы сейчас сделали политику, которая запрещает пользователям, находящимся в OU Uitis/Computers использование этой оснастки.

    Объедините две политики в одну и в правах доступа оставьте учетку компуктера DIRECTSANPROXY и Domain Users

    Для теста с текущими параметрами, переместите учетную запись тестового пользователя в OU Uitis/Computers и залогиньтесь на любом компьютере. Проверьте возможность запуска оснастки - должен сработать запрет.



    • Изменено atulyakov 15 января 2018 г. 9:52
    • Предложено в качестве ответа Vector BCOModerator 15 января 2018 г. 12:18
    • Отменено предложение в качестве ответа Копылов Анатолий 16 января 2018 г. 8:15
    15 января 2018 г. 9:49
  • Я почему-то считал, что параметры пользователя можно задать в отдельном объекте групповой политики. Хорошо, вот имеется один объект, который называется LoopBack, в котором в параметрах компьютера указано замыкание, в параметрах пользователя - запрет на запуск оснастки "Управление дисками". Права на чтение есть у нужного компьютера и у пользователей домена:

    В rsop указано, что политика применена и в конфигурации компьютера, и в конфигурации пользователя:

    Однако, оснастка diskmgmt.msc все еще беспрепятственно запускается.



    16 января 2018 г. 7:51
  • Попробую смоделировать у себя...
    16 января 2018 г. 9:52
  • Есть две новости, одна хорошая, другая плохая =)

    Хорошая - политика действительно работает

    Плохая - но работает только на Windows 7

    Вероятнее всего, надо искать аналог для Windows 2012r2, возможно это отключается в каком-то другом месте.. моих знаний в этом направлении, увы, не достаточно=(

    Забыл про повышенные права на win7, там тоже все открылось после предоставления административных прав пользователя... Если что-то накопаю, то напишу, пока я в тупике...

    • Изменено atulyakov 16 января 2018 г. 10:13
    16 января 2018 г. 10:08
  • Спасибо за ответ.
    16 января 2018 г. 10:15
  • Спасибо за ответ.

    Нашел нужный парнаметр, он оказался чуть глужбе

    Если отключить параметры:

     То при попытке:

    • Запуска diskmgmt.msc выдается сообщение об ошибке, что оснастка запрещена политикой
    • Выбрать оснастку через mmc невозможно - нет в списке
    • При доступе через Computer management оснастка Storage пуста

    16 января 2018 г. 10:31
  • Спасибо, этот вариант работает.
    16 января 2018 г. 10:55