none
Применяется групповая политика, которой нигде нет или была удалена

    Вопрос

  • Добрый день!

    DC 2008r2, RDSH 2016 - применяется групповая политика, которой нет в AD. Что я только не делал - и ребутал, и искал политику, и gpupdate /force - все равно применяется. Может она закэшировалась где?

    9 февраля 2018 г. 15:30

Ответы

  • а политики точно нет?

    стандартная грабля - ремувнуть всех включая админов из пермишенов политики и оставить только целевую группу пользюков. соответственно у админов пропадает право читать эту политику и она волшебным образом исчезает из gpmc, но продолжая работать для указанной группы пользователей.

    лечится - например в ADUC в расширенном режиме зайдя в контейнер политик и поискать нестандартные обьекты(контейнеры по сути, но отображаются как обьекты), ну и там стандартное тейк оунершип и повесить нужные права.

    з.ы. про татуинг знал практически все, кроме того что это дело зовется татуингом :-)
    • Изменено Svolotch 10 февраля 2018 г. 11:35
    • Помечено в качестве ответа it-eng 14 февраля 2018 г. 9:06
    10 февраля 2018 г. 11:31
  • Сделайте выгрузку в html (GPRESULT /H GPReport.html). Для каждой применённой политики  будет указан SID, по которому, как подсказали выше, можно попробовать найти объект политики в ADUC в разделе System/Policies
    • Помечено в качестве ответа it-eng 14 февраля 2018 г. 9:06
    12 февраля 2018 г. 15:07

Все ответы

  • Добрый день,

    Есть такое поведение политик, посмотрите здесь

    9 февраля 2018 г. 15:34
  • Добрый день,

    Есть такое поведение политик, посмотрите здесь

    Нашел в реестре по поиску название этой политики. Живет здесь:

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\group policy\history\

    Копаю дальше. Как там значение отключить или может весь куст удалить. Жестоко, если для каждого пользователя так делать придется. Может быть есть более корректный способ или это не совсем то?

    9 февраля 2018 г. 17:26
  • Объясните подробнее - вы видите эту политику если сделать rsop.msc или gpresult? Или вы видите что какие-либо параметры применяются после gpupdate и которых уже нет в политиках?

    Если это второе - значит всё-таки в удалённой политике были настройки которые вызвали эффект Tattooing (подробнее здесь). Если вы хотите избавиться о них, нужна новая политика, которая перекроет изменения, применив те же настройки, но с обновлёнными параметрами.

    9 февраля 2018 г. 18:59
  • а политики точно нет?

    стандартная грабля - ремувнуть всех включая админов из пермишенов политики и оставить только целевую группу пользюков. соответственно у админов пропадает право читать эту политику и она волшебным образом исчезает из gpmc, но продолжая работать для указанной группы пользователей.

    лечится - например в ADUC в расширенном режиме зайдя в контейнер политик и поискать нестандартные обьекты(контейнеры по сути, но отображаются как обьекты), ну и там стандартное тейк оунершип и повесить нужные права.

    з.ы. про татуинг знал практически все, кроме того что это дело зовется татуингом :-)
    • Изменено Svolotch 10 февраля 2018 г. 11:35
    • Помечено в качестве ответа it-eng 14 февраля 2018 г. 9:06
    10 февраля 2018 г. 11:31
  • Объясните подробнее - вы видите эту политику если сделать rsop.msc или gpresult? Или вы видите что какие-либо параметры применяются после gpupdate и которых уже нет в политиках?

    Если это второе - значит всё-таки в удалённой политике были настройки которые вызвали эффект Tattooing (подробнее здесь). Если вы хотите избавиться о них, нужна новая политика, которая перекроет изменения, применив те же настройки, но с обновлёнными параметрами.

    Добрый день!

    gpresult /r /scope user показывает, что политика есть

    rsop.msc показывает, что в Administrative template есть та же то ли политика, то ли значение реестра

    12 февраля 2018 г. 13:58
  • Сделайте выгрузку в html (GPRESULT /H GPReport.html). Для каждой применённой политики  будет указан SID, по которому, как подсказали выше, можно попробовать найти объект политики в ADUC в разделе System/Policies
    • Помечено в качестве ответа it-eng 14 февраля 2018 г. 9:06
    12 февраля 2018 г. 15:07
  • а политики точно нет?

    стандартная грабля - ремувнуть всех включая админов из пермишенов политики и оставить только целевую группу пользюков. соответственно у админов пропадает право читать эту политику и она волшебным образом исчезает из gpmc, но продолжая работать для указанной группы пользователей.

    лечится - например в ADUC в расширенном режиме зайдя в контейнер политик и поискать нестандартные обьекты(контейнеры по сути, но отображаются как обьекты), ну и там стандартное тейк оунершип и повесить нужные права.

    з.ы. про татуинг знал практически все, кроме того что это дело зовется татуингом :-)

    Добрый день!

    Нашел сид политики, нашел ее в ADUC, вижу ее, права есть. На нее так же стоят запрет на чтение как раз тем на кого она применяется. Если в свойствах прав посмотреть действующие разрешения - их нет на данных пользователей, но политика на них применяется. Почему такое может быть? Я могу просто удалить этот контейнер с политикой? Конечно хотелось бы до конца этот вопрос добить, так как в след раз может тоже самое произойти. Получается, что у УЗ доменного админа есть права на ее чтение, но ее в оснастке политик не видно, а в ADUC видно

    13 февраля 2018 г. 10:34
  • отпринтскринили бы... путанно както обьясняете.

    если политика не критичная, дайте админам права на чтение, она должна появится в GPMC(надо рефрешнуть лист или перезапустить консоль)

    прибивать обьект в AD не желательно, иначе там хвосты ручками придется чистить.

    13 февраля 2018 г. 11:11
  • отпринтскринили бы... путанно както обьясняете.

    если политика не критичная, дайте админам права на чтение, она должна появится в GPMC(надо рефрешнуть лист или перезапустить консоль)

    прибивать обьект в AD не желательно, иначе там хвосты ручками придется чистить.

    https://yadi.sk/d/w6r6hBEo3SMGUP

    Не знаю по правилам ли подобные ссылки сюда вставлять. Там 4 скриншота. Насколько я заметил - называется политика по разному, но сид у нее один. При этом она вообще не привязана к контейнеру какому то. 

    13 февраля 2018 г. 11:37
  • Удалил политику в оснастке управления групповой политикой - исчезла папка с тем же сид и из sysvol, в ADUC осталась - на пользователей все равно применяется)

    Остается только из ADUC ее удалить наверное, или подскажите, плиз что еще сделать с ней

    13 февраля 2018 г. 12:22
  • по идее она и из адука должны была пропасть, может обновить забыли? Если настройки все еще применяются, посмотрите реестр.

    З.Ы. Это не sid, a GUID если уж называть своими именами :-)

    13 февраля 2018 г. 13:35
  • по идее она и из адука должны была пропасть, может обновить забыли? Если настройки все еще применяются, посмотрите реестр.

    З.Ы. Это не sid, a GUID если уж называть своими именами :-)

    А что именно в реестре? это у пользователя или в AD?
    13 февраля 2018 г. 14:08
  • имеется в виду если при удалении политики настройки остались(Tattooing).

    13 февраля 2018 г. 14:20
  • имеется в виду если при удалении политики настройки остались(Tattooing).

    По поиску находит в реестре вот что. См. скриншот
    13 февраля 2018 г. 15:18
  • Если я правильно себе представляю - он LDAP-ится как раз в контейнер в AD с этой политикой, что видно на скриншоте. А в AD она не удалилась
    13 февраля 2018 г. 15:19
  • И я сделал новую политику, которая должна перебить существующие и записать свои значения - это не помогает
    13 февраля 2018 г. 15:25
  • Могу ее из AD удалить или хотя бы запрет на чтение пользователю поставить? в реестре удалил куст данный - не помогло, хотя logoff/logon еще надо бы сделать
    13 февраля 2018 г. 15:40
  • Спустя какое то время из AD тоже политика удалилась, не вижу ее больше в ADUC. Но она как применялась, так и применяется. В реестре куст из скриншота удалил - не помогло. Помогает удаление локального профиля и создание нового. Новая политика, которая должна перезаписать эти параметры (так борятся с тату, если я правильно информирован) - не применяется. Явно что то в реестре остается. Продолжу искать, если кому есть что сказать - подскажите плиз
    14 февраля 2018 г. 8:23
  • Коллеги, подскажите, плиз, что надо в реестре сделать, чтоб включить Отключение бездействующего сеанса у пользователя. Интересно что политика вообще в реестре меняет. Если есть инструмент, позволяющий отследить что делает с реестром груповая политика - был бы признателен.
    14 февраля 2018 г. 8:39
  • https://getadmx.com/?Category=Windows_10_2016&Policy=Microsoft.Policies.TerminalServer::TS_SESSIONS_Idle_Limit_1&Language=ru-ru

    Нашел ключи реестра)

    14 февраля 2018 г. 8:51
  • Нашел ошибку (в eventlog) в применении политики, но другой, хотя она параметры те же меняет только с другими значениями. Отключил ее и скорее всего после этого заработало применение политики, которую я делал для переопределения параметров "татуинга". Pработало!

    Всем спасибо, кто принял участие и помогал)

    • Изменено it-eng 14 февраля 2018 г. 9:20
    14 февраля 2018 г. 9:05