locked
GPO для групп в OU или "Фильтрация: отказано (безопасность)" RRS feed

  • Вопрос

  • Пытаюсь настроить групповые политики для подразделений и оно не работает.

    1. В "Лесу" создал подразделение, как основное, пусть будет Работа;
    2. В Работе создал ещё подразделение, Отдел 1;
    3. В Отделе 1 сделал группы (Глобальная, Безопасность) и поместил в неё нескольких пользователей, так же, поместив их в OU Отдел 1;
    4. Создал в Отдел 1 политику, тест 1 (пользовательская), которая присылает пользователям ярлык на файлообменник;
    5. Из политики тест 1, в фильтрах, удалил "Прошедшие проверку" и добавил нужные группы (находящиеся OU Отдел 1), а в делегировании проверил, чтобы у этих групп были параметры чтение и применение политик;
    6. У пользователя делаем gpupdate /force и потом gpresult /r

    ииии получаем большое:

    "Следующие политики GPE не были применены, так как они отфильтрованы.
       тест 1
           Фильтрация: отказано (безопасность)"

    Однако политика срабатывает как надо, если эти группы (которые в UO Отдел 1) вытащить в папку Users.

    В чём проблема? Куда смотреть эту безопасность?

    7 августа 2020 г. 8:39

Все ответы

  • У пользователя делаем gpupdate /force и потом gpresult /r

    пользователи должны перелогиниться. До нового входа пользователи не знают, что они члены этой группы. Членство групп обновляется при входе в систему.
    7 августа 2020 г. 8:48
  • Если из Security Filtering удалили "Прошедшие проверку", то на закладке Delegation нужно добавить Domain Computers с правом Read.
    7 августа 2020 г. 8:51
  • 1 кирилица в проде генерит множестао неочевидных проблем. Рекомендация: все сервера англоязычные, названия OU, пользователей и групп в латинице

    2 Не удаляйте Auth. users из Security filteringе (никогда без жесткой  надобности) а в делгировании снемите галку Apply policy у этой группы, если хотите применить политику на другую группу


    The opinion expressed by me is not an official position of Microsoft


    7 августа 2020 г. 9:05
    Модератор
  • У пользователя делаем gpupdate /force и потом gpresult /r

    пользователи должны перелогиниться. До нового входа пользователи не знают, что они члены этой группы. Членство групп обновляется при входе в систему.
    Не играет роли.. ну а так,  пользователи знают, что они в этой группе
    7 августа 2020 г. 9:22
  • Если из Security Filtering удалили "Прошедшие проверку", то на закладке Delegation нужно добавить Domain Computers с правом Read.
    Хоть компы домена, хоть прошедшие проверку с правилом чтения, роли не играет, ответ на эти телодвижения один "Фильтрация: отказано (безопасность)"
    7 августа 2020 г. 9:24
  • 1 кирилица в проде генерит множестао неочевидных проблем. Рекомендация: все сервера англоязычные, названия OU, пользователей и групп в латинице

    2 Не удаляйте Auth. users из делегирования (никогда без жесткой  надобности) а в Security filtering снемите галку Apply policy у этой групп, если хотите применить политику на другую группу


    The opinion expressed by me is not an official position of Microsoft

    по 1, это бред полный, оно понимает как написано, можно назвать и предрассудками..

    по 2, необходимость жесткая и прошедшие проверку мне не сдались в этой политике от слова абсолютно.

    7 августа 2020 г. 9:26
  • ну а так,  пользователи знают, что они в этой группе
    да? ну как покажите gpresult /r без перевхода в систему, есть там в списке новая группа?
    7 августа 2020 г. 9:26

  • по 2, необходимость жесткая

    сможете её (необходимость) подробнее описать?
    7 августа 2020 г. 9:29
  • ну а так,  пользователи знают, что они в этой группе

    да? ну как покажите gpresult /r без перевхода в систему, есть там в списке новая группа?

    Предлагаю опустить детсад и учитывать то, что пользователь в группе оказался заблаговременно со всеми релогами, реентерами и ребутами.., а потом уже началась заморочка с политиками.


    • Изменено [VindDevil] 7 августа 2020 г. 9:36
    7 августа 2020 г. 9:32

  • по 2, необходимость жесткая

    сможете её (необходимость) подробнее описать?

    ок, в OU отдел 1, допустим, 10 групп, и политика лишь одна, и прилетать она должна лишь 5 группам.. логично предположить, что Auth. users раскидает на 10 групп, что собственно оно и делает..

    а по теме есть чего дельного сказать или будете доказывать, что Auth. users мне жизненнонеобходимы?!

    7 августа 2020 г. 9:35
  • ну а так,  пользователи знают, что они в этой группе

    да? ну как покажите gpresult /r без перевхода в систему, есть там в списке новая группа?

    Предлагаю опустить детсад и учитывать то, что пользователь в группе оказался заблаговременно, а потом уже началась заморочка с политиками.

    никогда такого вывода gpresult /r не видел... это наверное от того, что у вас AD по-взрослому настроен, не то что в наших "песочницах"...

    7 августа 2020 г. 9:39
  • действительно, смогли описать 👍

    а по теме есть чего дельного сказать

    вам уже всё (почти всё) по теме сказали
    7 августа 2020 г. 9:42
  • ну а так,  пользователи знают, что они в этой группе

    да? ну как покажите gpresult /r без перевхода в систему, есть там в списке новая группа?

    Предлагаю опустить детсад и учитывать то, что пользователь в группе оказался заблаговременно, а потом уже началась заморочка с политиками.

    никогда такого вывода gpresult /r не видел... это наверное от того, что у вас AD по-взрослому настроен, не то что в наших "песочницах"...

    я бы с радостью показал скрин, но мне пишет, что учетка непроверена.. так что увы
    7 августа 2020 г. 9:45
  • действительно, смогли описать 👍

    а по теме есть чего дельного сказать

    вам уже всё (почти всё) по теме сказали

    возможно, но, как я и сказал, мне не нужны ни компы домена, ни проверенные пользователи в фильтрах политики. с такой логикой придется что-то плодить и много.. а если группа в группе о группе и на каждую своя политика?

    и возвращаясь к моему описанию проблемы: такой ерунды нет, если группа в users'ах лежит..

    7 августа 2020 г. 9:50
  • скрин не нужен, copy-paste достаточно. Но если вы действительно видите там нужную группу - то всё ок.

    мне не нужны ни компы домена,

    речь об этом? Вы это сделали:

    7 августа 2020 г. 9:58
  • скрин не нужен, copy-paste достаточно. Но если вы действительно видите там нужную группу - то всё ок.

    мне не нужны ни компы домена,

    речь об этом? Вы это сделали:


    в принципе делал я это, с просто чтением и с применением, роли оно не играло отчего-то..

    в делегировании хоть чтение, хоть чтение запись компа домена вообще не играет роли.

    копипаст:

    C:\Users\testuser>gpresult /r

    Программа формирования отчета групповой политики операционной системы
    Microsoft (R) Windows (R) версии 2.0
    © Корпорация Майкрософт (Microsoft Corporation), 2020. Все права защищены.

    Создано ‎07.‎08.‎2020 в 12:53:50


    Данные RSOP для ADM\testuser на testmachine : Режим ведения журнала
    ------------------------------------------------------------------------------

    Конфигурация ОС:            Рядовая рабочая станция
    Версия ОС:                  10.0.19041
    Имя сайта:                  Н/Д
    Перемещаемый профиль:                     Н/Д
    Локальный профиль:          C:\Users\testuser
    Подключение по медленному каналу: Нет


    Конфигурация пользователя
    --------------------------
        CN=Test User,OU=OTDEL1,OU=MainGroup,DC=tech,DC=test
        Последнее применение групповой политики:  07.08.2020 в 12:28:47
        Групповая политика была применена с:      dc1.tech.test
        Порог медленного канала для групповой политики: 500 kbps
        Имя домена:                        tech
        Тип домена:                        Windows 2008 или более поздняя версия

        Примененные объекты групповой политики
        ---------------------------------------
            тест

        Следующие политики GPO не были применены, так как они отфильтрованы
        --------------------------------------------------------------------
            тест 1
                Фильтрация:  Отказано (безопасность)

            Local Group Policy
                Фильтрация:  Не применяется (пусто)

        Пользователь является членом следующих групп безопасности
        ---------------------------------------------------------
            Пользователи домена
            Все
            Пользователи
            ИНТЕРАКТИВНЫЕ
            КОНСОЛЬНЫЙ ВХОД
            Прошедшие проверку
            Данная организация
            ЛОКАЛЬНЫЕ
            Подтвержденное центром проверки подлинности удостоверение
            Средний обязательный уровень

    собственно вот..



    • Изменено [VindDevil] 7 августа 2020 г. 10:03
    7 августа 2020 г. 10:03
  • Скрины можно либо в пост копипастой вставить, либо на любой обменник и сюда ссылку.

    Интересует скрины самой политики и как разбиты OU, где находятся пользователи и группа, куда именно вешается политика. Пока сумбурно всё изложено. А так развязка уже где-то рядом летает.

    7 августа 2020 г. 10:07

  •     Пользователь является членом следующих групп безопасности
        ---------------------------------------------------------
            Пользователи домена
            Все
            Пользователи
            ИНТЕРАКТИВНЫЕ
            КОНСОЛЬНЫЙ ВХОД
            Прошедшие проверку
            Данная организация
            ЛОКАЛЬНЫЕ
            Подтвержденное центром проверки подлинности удостоверение
            Средний обязательный уровень

    собственно вот..

    Какая из этих групп указана в фильтрах вместо Authenticated Users?
    7 августа 2020 г. 10:09
  • Скрины можно либо в пост копипастой вставить, либо на любой обменник и сюда ссылку.

    Интересует скрины самой политики и как разбиты OU, где находятся пользователи и группа, куда именно вешается политика. Пока сумбурно всё изложено. А так развязка уже где-то рядом летает.

    у меня учетка непроверена, нельзя ни ссылки, ни картинки
    7 августа 2020 г. 10:09

  •     Пользователь является членом следующих групп безопасности
        ---------------------------------------------------------
            Пользователи домена
            Все
            Пользователи
            ИНТЕРАКТИВНЫЕ
            КОНСОЛЬНЫЙ ВХОД
            Прошедшие проверку
            Данная организация
            ЛОКАЛЬНЫЕ
            Подтвержденное центром проверки подлинности удостоверение
            Средний обязательный уровень

    собственно вот..

    Какая из этих групп указана в фильтрах вместо Authenticated Users?
    вот щас заметил, что он не приписывает группу в OU всюда почему-то..
    7 августа 2020 г. 10:10
  • Скрины можно либо в пост копипастой вставить, либо на любой обменник и сюда ссылку.

    Интересует скрины самой политики и как разбиты OU, где находятся пользователи и группа, куда именно вешается политика. Пока сумбурно всё изложено. А так развязка уже где-то рядом летает.

    по сути структура такая:

    • AD
    •  Domain
    •    MainOU
    •      SubOU
    •         Group1
    •         Group2
    •         .........

    7 августа 2020 г. 10:13

  • Какая из этих групп указана в фильтрах вместо Authenticated Users?

    вот щас заметил, что он не приписывает группу в OU всюда почему-то..
    что значит "не приписывает группу в OU сюда"?
    Я уже вам сказал - залогиненный пользователь (не живой человек, а его AD-учётная запись) не знает что он член нужной группы. И вывод команды выше это доказал. Отсюда могу сделать два вывода - или пользователь не перезаходил в систему, или компьютер имеет проблемы свзязи в AD. Чтобы исключить второе - создайте нового тестового пользователя, добавьте в нужную группу, и только потом залогиньтесь на компьютере. и посмотрите его gpresult /r

    7 августа 2020 г. 10:14

  • Какая из этих групп указана в фильтрах вместо Authenticated Users?

    вот щас заметил, что он не приписывает группу в OU всюда почему-то..

    что значит "не приписывает группу в OU сюда"?
    Я уже вам сказал - залогиненный пользователь (не живой человек, а его AD-учётная запись) не знает что он член нужной группы. И вывод команды выше это доказал. Отсюда могу сделать два вывода - или пользователь не перезаходил в систему, или компьютер имеет проблемы свзязи в AD. Чтобы исключить второе - создайте нового тестового пользователя, добавьте в нужную группу, и только потом залогиньтесь на компьютере. и посмотрите его gpresult /r

    если открыть пользователя и посмотреть членство в группах, то оно пишет так:

    • ИМЯ                             папка доменных служб AD
    • OTDEL                          domain/MainOU/SubOU
    • Пользователи домена   domain/Users

    Соответственно у группы OTDEL этот пользователь тоже есть

    Исключая второй вариант - у меня 10 реальных пользователей, которые уже неделю как рассованы по группам, соответственно были и перезаходы и перезагрузки.. политики, которые не указываются на конкретную группу, а имеют "прошедшие проверку" спокойно получают их.

    7 августа 2020 г. 10:22

  • Какая из этих групп указана в фильтрах вместо Authenticated Users?

    вот щас заметил, что он не приписывает группу в OU всюда почему-то..

    что значит "не приписывает группу в OU сюда"?
    Я уже вам сказал - залогиненный пользователь (не живой человек, а его AD-учётная запись) не знает что он член нужной группы. И вывод команды выше это доказал. Отсюда могу сделать два вывода - или пользователь не перезаходил в систему, или компьютер имеет проблемы свзязи в AD. Чтобы исключить второе - создайте нового тестового пользователя, добавьте в нужную группу, и только потом залогиньтесь на компьютере. и посмотрите его gpresult /r

    вот для интереса с другого пользователя и машины с одним но:

    Примененные объекты групповой политики
        ---------------------------------------
            тест 1
            тест
            Local Group Policy

        Пользователь является членом следующих групп безопасности
        ---------------------------------------------------------
            Пользователи домена
            Все
            Администраторы
            Пользователи журналов производительности
            Пользователи
            ИНТЕРАКТИВНЫЕ
            КОНСОЛЬНЫЙ ВХОД
            Прошедшие проверку
            Данная организация
            ЛОКАЛЬНЫЕ
            OTD_IT
            OTD_GROUP1
            Подтвержденное центром проверки подлинности удостоверение
            Высокий обязательный уровень

    Этот юзер имеет 2 группы:

    1. OTD_IT - лежит в Users
    2. OTD_GROUP1 - лежит в domain/MainOU/SubOU

    и политика прилетает этому пользователю только потому, что в ней прописана ещё и группа OTD_IT.. и в этом случае "OTD_GROUP1" прописалось внизу, а в предыдущем - нет.

    З.Ы. группы делались в Users, только OTD_IT остался в Users, а OTD_GROUP1 переехал в SubOU

    • Изменено [VindDevil] 7 августа 2020 г. 10:28
    7 августа 2020 г. 10:26
  • ясно, но вы сами видите - gpresult /r не показывает эту группу, поэтому политики и отфильтрована.

    Почему я предложил создать нового пользователя: может у вас текущие пользователи входят по кешированным паролям, а новый пользователь будет 100% аутентифицирован на контроллере домена.

    7 августа 2020 г. 10:27
  • ясно, но вы сами видите - gpresult /r не показывает эту группу, поэтому политики и отфильтрована.

    Почему я предложил создать нового пользователя: может у вас текущие пользователи входят по кешированным паролям, а новый пользователь будет 100% аутентифицирован на контроллере домена.

    Надо полагать, что присутствует какой-то глюк или тормоз, так как я сейчас внес этого пользователя в OTD_IT и после перезагрузки всё заработало.. НО, после того как я удалил его из этой группы и сделал ребут, gpresult показывает, что этот пользователь всё ещё в группе
    7 августа 2020 г. 10:44

  • Надо полагать, что присутствует какой-то глюк или тормоз, так как я сейчас внес этого пользователя в OTD_IT и после перезагрузки всё заработало.. НО, после того как я удалил его из этой группы и сделал ребут, gpresult показывает, что этот пользователь всё ещё в группе

    тестируйте.

    Я рад что у вас политика начала работать.

    7 августа 2020 г. 10:46

  • по 1, это бред полный, оно понимает как написано, можно назвать и предрассудками..

    по 2, необходимость жесткая и прошедшие проверку мне не сдались в этой политике от слова абсолютно.

    1 кто оно? принтера которые цепляюся по ldap вдоль и поперек не умеют работать с кирилицей, софт для мониторинга/бекапов/2й фактор и пр. в половине случаев страдают тем что не знают что делать с кирилицей. Но конечно это предрассудки ведь вы уйдете из конторы и править весь этот балаган будут те кто придут на ваше место.

    2 почитайте как применяются политики и осозгайте что они таки сдались. Кривые настройки - кривой результат.

    Хамство не приветсвуется. Если будет продолжаться то тема будет заблокирована.


    The opinion expressed by me is not an official position of Microsoft

    7 августа 2020 г. 10:58
    Модератор
  • 1 кто оно? принтера которые цепляюся по ldap вдоль и поперек не умеют работать с кирилицей, софт для мониторинга/бекапов/2й фактор и пр. в половине случаев страдают тем что не знают что делать с кирилицей. Но конечно это предрассудки ведь вы уйдете из конторы и править весь этот балаган будут те кто придут на ваше место.

    2 почитайте как применяются политики и осозгайте что они таки сдались. Кривые настройки - кривой результат.

    Хамство не приветсвуется. Если будет продолжаться то тема будет заблокирована.


    The opinion expressed by me is not an official position of Microsoft

    1. первый раз сталкиваюсь с тем, что кириллица не понимается, хотя возможно.. но, вы уж заметьте, что про ldap, принтера, мониторинг и прочее, я в принципе не писал, хотя пофиг.. те, кто придут на моё место, трогать это вряд ли будут, а если и тронут, то это их сугубо личный косяк, ибо рукожопы, которые будут пихать проверенных в делегирование либо плодить множество OU.. ах и да, перемена кириллицы на латиницу не помогла.. 

    2. почитал.. не сдались абсолютно.. почитайте, что я вообще написал.. проблема в том, что меня почему-то никто не хочет услышать, мне нафиг не сдали..... впрочем ладно.. все в песочнице играются, не вдаваясь в глубокие дебри леса, вставляя Auth. users & Domain comp. read + apply, где нужна тончайшая настройка.. проблема описана, доописана и переописана в комментах.. ни решения, ни логического заключения почему оно так работает - нет.

    "Хамство не приветсвуется. Если будет продолжаться то тема будет заблокирована." - эвана как.. ну ок, сорян, если где-то нахамил..

    7 августа 2020 г. 11:42
  • впрочем ладно.. все в песочнице играются, не вдаваясь в глубокие дебри леса, вставляя Auth. users & Domain comp. read + apply, где нужна тончайшая настройка.. проблема описана, доописана и переописана в комментах.. ни решения, ни логического заключения почему оно так работает - нет
    если вы взрослый такой, то почему не умеете пользоваться гуглом? две ссылки по вашей ситуации - ссылка1 и ссылка2. Если вы уж не поверите самой Microsoft - можете и дальше биться со своей криворукой настройкой.
    7 августа 2020 г. 11:59
  • Почитайте еще

    https://docs.microsoft.com/en-us/archive/blogs/askds/deploying-group-policy-security-update-ms16-072-kb3163622



    The opinion expressed by me is not an official position of Microsoft

    7 августа 2020 г. 12:02
    Модератор