Почему политики групповой политики (GPO) не применяются к членам группы безопасности?

Question

DarkDefender

windows-server , active-directory , групповые-политики

Почему политики групповой политики (GPO) не применяются к членам группы безопасности?

Здравствуйте всем! <br/> <br/> Уважаемые эксперты, подскажите, в каком направлении мне следует двигаться. <br/> <br/> У меня есть домен, работающий на Windows Server 2019 со всеми актуальными обновлениями, и мне необходимо предоставить доступ к старому серверу для определённых пользователей. <br/> <br/> Я создал подразделение Old_Server, создал группу безопасности и общую папку. Затем добавил нужных пользователей в эту группу. <br/> <br/>

17 марта 2025 г. 10:54

Ответы на вопрос 4

Похожие вопросы

Answer 1

Здравствуйте!

Неприменение политик групповой политики (GPO) к членам группы безопасности может быть связано с несколькими причинами. Давайте рассмотрим основные шаги, чтобы понять, где может быть проблема:

1. **Проверка иерархии GPO**:
Убедитесь, что ваша политика GPO связана именно с тем подразделением (OU), в котором находятся пользователи или группы безопасности. Политики применяются только на уровне OU, поэтому если ваши пользователи или группа находятся в другом OU, это может быть причиной, почему GPO не применяется.

2. **Настройки фильтрации**:
Проверьте настройки фильтрации безопасности GPO. Убедитесь, что у группы, к которой вы хотите применить GPO, есть необходимые разрешения на чтение и применение политик. В GPO может потребоваться предоставить разрешение «Применить групповые политики» для вашей группы безопасности.

3. **Конфликты политик**:
Если существуют другие GPO, которые могут противоречить или отменять настройки вашей политики, это также может быть причиной. Политики применяются в определенном порядке, и если на более высоком уровне применена политика, которая перекрывает вашу, то изменения могут не сработать.

4. **Проверка наследования**:
Убедитесь, что на уровне OU, где находится ваш сервер или пользователи, не настроено отключение наследования GPO. Если GPO используется на родительском уровне, но наследование отключено на вашем уровне OU, GPO может не применяться.

5. **Проверьте результаты применения GPO**:
Используйте команду `gpresult /h report.html` на клиентском компьютере или сервере, чтобы получить отчет о применении GPO к пользователям или компьютерам. Это поможет вам увидеть, какие политики применяются и какие нет, а также почему.

6. **Проблемы с синхронизацией и репликацией**:
Убедитесь, что нет проблем с репликацией между контроллерами домена, если у вас их несколько. Иногда изменения могут не распространяться из-за неполадок в сети или конфигурации.

7. **Проверка на локальных группах**:
Убедитесь, что в GPO нет настроек, которые ограничивают действие на локальном уровне. Если GPO нацелена на изменение локальных политик, и у группы безопасности нет прав на это, GPO не будет применена.

Если, пройдя все эти шаги, вы не смогли решить проблему, вы можете рассмотреть возможность создания отдельной группы для управления доступом к старому серверу или использовать другую стратегию управления доступом, чтобы упростить процессы.

Надеюсь, эти советы помогут вам индивидуализировать вашу ситуацию и успешно настроить групповые политики для ваших пользователей. Если у вас есть дополнительные вопросы, не стесняйтесь задавать их!

Answer 2

видимо, GPO Loopback Processing... 
 1. политика применяется к OU с объектами-компьютерами, а настройки в пользовательской секции 
 2. в политике в Security Filtering убрать Authenticated Users и добавить группу Old_Server 
 3. в политике во вкладке Безопасность добавить Authenticated Users с правами Read, у группы Old_Server должны быть Read и Apply group policy 
 4. включить в политике Loopback Processing (Merge) 
 
 не забываем читать логи...

Answer 3

1. В 2019 маппинг дисков правильнее делать через GPO Preferences и фильтровать его по item-level targeting там же. 
 2. Стоит понимать, что в общем и целом за исключением очень исключительных случаев, когда без GPO Loopback никак нельзя  -  политики из Computer Configuration применяются к OU с компьютерами, User Configuration - к пользователям. Ваши скриншоты не несут понимания, что вы это соблюдаете, так как в одной политике включены обе части - и Computer Configuration и User Configuration (а пустые и неиспользуемые части принято выключать для снижения нагрузки на RSOP). 
 
 В результате должна получиться политика GPO, прилинкованная к OU со всеми членами группы "Old_Server", либо на OU уровнями выше, без каких либо фильтров за исключением Item-level targeting.

Answer 4

Роман Безруков , Alexey Dmitriev 
 Спасибо, что откликнулись на мой вопрос. 
 
 Попробовал ваши рекомендации, увы, результата желаемого не достиг. 
 Получается только если применяю политику на подразделение выше. Но, тогда диск появляется у всех пользователей, несмотря на наличие/отсутствие фильтра. 
 
 Если пользователя перенести из своего подразделения (например, пользователя ENG\Test перенести в Old_Server),  тогда этот диск создается корректно, но тогда отваливается диск отдела (который находится в ENG) и, попутно, другие GPO отдела ENG. 
 
 Тоесть, в моем случае пользователи находятся в своих подразделения (ACCT, ENG, IT и так далее). В каждом подразделении своя группа безопасности куда они входят и через которую на них распространяются определённые политики. 
 
 Мне же через политики нужно создавать этот диск который будет появляться только выборочным пользователям из разных подразделений.