none
Не получается применить GPO. RRS feed

  • Вопрос

  • Здравствуйте. Знакомлюсь с GPO.

    Поднял под win 10 - 2 виртуальных машины. Одна AD(WS 2016), другая просто WS 2016(Назвал RDS. Просто чистая WS).

    Установил AD, ввел машину в домен.

    Создал подразделение и переместил туда компьютер:

    Далее создал GPO и для теста решил удалить значек корзина.

    Но значек не удалился. Где моя ошибка ?

    Так же я пробовал на машине RDS

    - gpupdate /force

    А вот, что показывает gpresult -v

    C:\Windows\system32>gpresult -v
    
    Программа формирования отчета групповой политики операционной системы
    Microsoft (R) Windows (R) версии 2.0
    © Корпорация Майкрософт (Microsoft Corporation), 2016. Все права защищены.
    
    Создано 02.05.2018 в 21:35:57
    
    
    Данные RSOP для RDS\Администратор на RDS : Режим ведения журнала
    -----------------------------------------------------------------
    
    Конфигурация ОС:            Рядовой сервер
    Версия ОС:                  10.0.14393
    Имя сайта:                  Default-First-Site-Name
    Перемещаемый профиль:                     Н/Д
    Локальный профиль:          C:\Users\Администратор.WIN-K6DFFQKNPDO
    Подключение по медленному каналу: Нет
    
    
    Конфигурация компьютера
    ------------------------
        CN=RDS,OU=GPO,DC=Andrey-IT,DC=ru
        Последнее применение групповой политики:  02.05.2018 в 21:35:39
        Групповая политика была применена с:      AD-DS.Andrey-IT.ru
        Порог медленного канала для групповой политики: 500 kbps
        Имя домена:                        ANDREY-IT
        Тип домена:                        Windows 2008 или более поздняя версия
    
        Примененные объекты групповой политики
        ---------------------------------------
            Default Domain Policy
    
        Следующие политики GPO не были применены, так как они отфильтрованы
        --------------------------------------------------------------------
            Local Group Policy
                Фильтрация:  Не применяется (пусто)
    
        Компьютер является членом следующих групп безопасности
        ------------------------------------------------------
            Администраторы
            Все
            Пользователи
            СЕТЬ
            Прошедшие проверку
            Данная организация
            RDS$
            Компьютеры домена
            Подтвержденное центром проверки подлинности удостоверение
            Обязательный уровень системы
    
        Результирующий набор политик для компьютера
        --------------------------------------------
    
            Установка программ
            ------------------
                Н/Д
    
            Сценарии запуска
            ----------------
                Н/Д
    
            Сценарии завершения работы
            --------------------------
                Н/Д
    
            Политики учетных записей
            ------------------------
                GPO: Default Domain Policy
                    Политика:             MaximumPasswordAge
                    Параметры компьютера: 42
    
                GPO: Default Domain Policy
                    Политика:             MinimumPasswordAge
                    Параметры компьютера: 1
    
                GPO: Default Domain Policy
                    Политика:             LockoutBadCount
                    Параметры компьютера: Н/Д
    
                GPO: Default Domain Policy
                    Политика:             PasswordHistorySize
                    Параметры компьютера: 24
    
                GPO: Default Domain Policy
                    Политика:             MinimumPasswordLength
                    Параметры компьютера: 7
    
            Политика аудита
            ---------------
                Н/Д
    
            Права пользователя
            ------------------
                Н/Д
    
            Параметры безопасности
            ----------------------
                GPO: Default Domain Policy
                    Политика:             PasswordComplexity
                    Параметры компьютера: Включено
    
                GPO: Default Domain Policy
                    Политика:             ClearTextPassword
                    Параметры компьютера: Не включено
    
                GPO: Default Domain Policy
                    Политика:             ForceLogoffWhenHourExpire
                    Параметры компьютера: Не включено
    
                GPO: Default Domain Policy
                    Политика:             RequireLogonToChangePassword
                    Параметры компьютера: Не включено
    
                GPO: Default Domain Policy
                    Политика:             LSAAnonymousNameLookup
                    Параметры компьютера: Не включено
    
                GPO: Default Domain Policy
                    Политика:             @wsecedit.dll,-59058
                    Параметр:          MACHINE\System\CurrentControlSet\Control\Lsa\NoLMHash
                    Параметры компьютера: 1
    
                Н/Д
    
            Параметры журнала событий
            -------------------------
                Н/Д
    
            Группы с ограниченным доступом
            ------------------------------
                Н/Д
    
            Системные службы
            ----------------
                Н/Д
    
            Параметры реестра
            -----------------
                Н/Д
    
            Параметры файловой системы
            --------------------------
                Н/Д
    
            Политики открытого ключа
            ------------------------
                Н/Д
    
            Административные шаблоны
            ------------------------
                Н/Д
    
    
    Конфигурация пользователя
    --------------------------
    
        Последнее применение групповой политики:  02.05.2018 в 21:35:40
        Групповая политика была применена с:      Н/Д
        Порог медленного канала для групповой политики: 500 kbps
        Имя домена:                        RDS
        Тип домена:                        Windows 2008 или более поздняя версия
    
        Примененные объекты групповой политики
        ---------------------------------------
            Н/Д
    
        Следующие политики GPO не были применены, так как они отфильтрованы
        --------------------------------------------------------------------
            Local Group Policy
                Фильтрация:  Не применяется (пусто)
    
        Пользователь является членом следующих групп безопасности
        ---------------------------------------------------------
            Отсутствует
            Все
            Локальная учетная запись и член группы "Администраторы"
            Администраторы
            Пользователи
            ИНТЕРАКТИВНЫЕ
            КОНСОЛЬНЫЙ ВХОД
            Прошедшие проверку
            Данная организация
            Локальная учетная запись
            ЛОКАЛЬНЫЕ
            Проверка подлинности NTLM
            Высокий обязательный уровень
    
        Привилегии безопасности данного пользователя
        --------------------------------------------
    
            Обход перекрестной проверки
            Управление аудитом и журналом безопасности
            Архивация файлов и каталогов
            Восстановление файлов и каталогов
            Изменение системного времени
            Завершение работы системы
            Принудительное удаленное завершение работы
            Смена владельцев файлов и других объектов
            Отладка программ
            Изменение параметров среды изготовителя
            Профилирование производительности системы
            Профилирование одного процесса
            Увеличение приоритета выполнения
            Загрузка и выгрузка драйверов устройств
            Создание файла подкачки
            Настройка квот памяти для процесса
            Отключение компьютера от стыковочного узла
            Выполнение задач по обслуживанию томов
            Имитация клиента после проверки подлинности
            Создание глобальных объектов
            Изменение часового пояса
            Создание символических ссылок
            Получить маркер олицетворения для другого пользователя в том же сеансе
            Увеличение рабочего набора процесса
    
        Результирующий набор политик для пользователя
        ----------------------------------------------
    
            Установка программ
            ------------------
                Н/Д
    
            Сценарии входа
            --------------
                Н/Д
    
            Сценарии выхода
            ---------------
                Н/Д
    
            Политики открытого ключа
            ------------------------
                Н/Д
    
            Административные шаблоны
            ------------------------
                Н/Д
    
            Перенаправление папок
            ---------------------
                Н/Д
    
            Пользовательский интерфейс браузера Internet Explorer
            -----------------------------------------------------
                Н/Д
    
            Подключения Internet Explorer
            -----------------------------
                Н/Д
    
            URL-адреса Internet Explorer
            ----------------------------
                Н/Д
    
            Безопасность Internet Explorer
            ------------------------------
                Н/Д
    
            Программы Internet Explorer
            ---------------------------
                Н/Д
    

    Мне кажется тут ничего и не говорится о моем GPO.

Ответы

  • Добрый День.

    Созданную вами политику GPO вы привязали к созданному контейнеру (OU) "GPO" с сервером RDS, если нет то стоит это сделать...


    Я не волшебник, я только учусь MCP CCNA. Если Вам помог чей-либо ответ, пожалуйста, не забывайте жать на кнопку "Пометить как ответ" или проголосовать "полезное сообщение". Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции работодателя. Вся информация предоставляется как есть без каких-либо гарантий. Блог IT Инженера, Twitter, YouTube, GitHub.

    Модератор
  • Антон, я понял уже где накосячил. Я то применил к пользователю, а его в подразделении нет, только один компьютер. Попробовал выключить Windows Audio службу, всё работает.

    Я понял, политики компьютера к компьютеру, пользовательские к юзерам, которого у меня и нет..А я знал об этом, но я только начал это учить и сразу накосячил.

Все ответы

  • Добрый День.

    Созданную вами политику GPO вы привязали к созданному контейнеру (OU) "GPO" с сервером RDS, если нет то стоит это сделать...


    Я не волшебник, я только учусь MCP CCNA. Если Вам помог чей-либо ответ, пожалуйста, не забывайте жать на кнопку "Пометить как ответ" или проголосовать "полезное сообщение". Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции работодателя. Вся информация предоставляется как есть без каких-либо гарантий. Блог IT Инженера, Twitter, YouTube, GitHub.

    Модератор
  • Антон, я понял уже где накосячил. Я то применил к пользователю, а его в подразделении нет, только один компьютер. Попробовал выключить Windows Audio службу, всё работает.

    Я понял, политики компьютера к компьютеру, пользовательские к юзерам, которого у меня и нет..А я знал об этом, но я только начал это учить и сразу накосячил.

  • Антон, я понял уже где накосячил. Я то применил к пользователю, а его в подразделении нет, только один компьютер. Попробовал выключить Windows Audio службу, всё работает.

    Я понял, политики компьютера к компьютеру, пользовательские к юзерам, которого у меня и нет..А я знал об этом, но я только начал это учить и сразу накосячил.

    Добрый День.

    Да верно, но с неких времен необходимо давать право применение \ чтение политики учетным записям ПК.

    В вопросе нет упоминания про политику пользователя...

    Так же на память... политики Default Domain Controller Policy и Default Domain Policy всегда имеют приоритет


    Я не волшебник, я только учусь MCP CCNA. Если Вам помог чей-либо ответ, пожалуйста, не забывайте жать на кнопку "Пометить как ответ" или проголосовать "полезное сообщение". Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции работодателя. Вся информация предоставляется как есть без каких-либо гарантий. Блог IT Инженера, Twitter, YouTube, GitHub.

    Модератор
  • Я Вас понял. Благодарю. Антон, а стандартные политики, они же там несут в себе системные данные, например максимальная длина пароля и т.п. если не ошибаюсь, навряд ли они пересекутся с обычными задачами или я не прав?