У меня есть подразделение, в котором, включая наследование, применено четыре объекта групповой политики. Существует политика домена по умолчанию, связанная на уровне домена, еще две политики с общими настройками для нашего SOE и, наконец, объект групповой политики, связанный с подразделением, содержащим рассматриваемые компьютеры.
Этот последний объект групповой политики содержит некоторые параметры, которые переопределяют параметры, содержащиеся в стандартном объекте групповой политики SOE; а именно, по нашему стандарту, хранитель экрана должен быть включен, требовать разблокировки UN / PW и автоматически запускаться через 300 секунд. Рабочие станции в этом подразделении требуют, чтобы заставка была навсегда отключена.
При наследовании приоритет объекта групповой политики, отключающего заставку, равен единице. Однако заставка все еще идет. Когда я запускаю мастер результатов, я вижу, что эти параметры применяются, и выигравший GPO является одним из объектов GPO SOE, связанных с родительским OU и имеющим более низкий приоритет при наследовании. Ни один из этих объектов групповой политики не применяется, ссылки или объекты групповой политики не отключены (фактически, другие параметры этого объекта групповой политики применяются успешно).
Как мне вообще начать это устранять? Ошибок не вижу, все вроде как должно быть.
ОБНОВИТЬ: Извините, что должен был упомянуть об этом изначально. Эти параметры ПРИМЕНЯЮТСЯ к подразделениям компьютеров, а не к пользователям, и для них включена обработка обратной связи. Причина этого в том, что на этих рабочих станциях не должна включаться заставка, независимо от того, кто входит в систему. То же самое относится к рабочим станциям в других местах; мы не можем применить эти настройки к пользовательским OU, потому что не имеет значения, какой пользователь входит в систему, важно расположение рабочей станции (например, общественная зона, безопасная зона, зона, которая критически зависит от того, что заставка не включена).
ОБНОВЛЕНИЕ2: Режим обратной связи для обоих GPO установлен на Merge. Это необходимо, так как есть другие GPO, применяемые к нужным нам пользовательским OU.
Единственные параметры GPO заставки, которые я могу найти, находятся в разделе User Configuration, а не Computer Configuration, и в этом случае GPO необходимо связать с OU пользователя, а не с OU компьютера, если только вы не используете обработку политики обратной связи в GPO OU компьютера ( параметры компьютера применяются к компьютерам, а параметры пользователя применяются к пользователям, попадающим в область управления объекта групповой политики, если вы не используете обработку политики обратной связи, чтобы параметры пользователя, настроенные в объекте групповой политики, связанном с подразделением компьютера, применялись к пользователям, входящим в систему на этих компьютерах).
Поскольку настройки GP применяются к объектам в области управления GPO, я предполагаю, что GPO, который устанавливает параметры экранной заставки, связан с доменом, и, следовательно, настройки применяются GPO, привязанным к домену, а не подключенным OU компьютера. GPO, поскольку там не существуют пользовательские объекты.
Политики экранной заставки - это параметры пользователя, хотя вы упомянули, что объект групповой политики связан с подразделением, в котором находятся компьютеры - параметры объекта групповой политики в дереве пользователей из этого объекта групповой политики не применяются.
Чтобы получить желаемый результат, вам потребуется включить обработку обратной петли, но будьте осторожны с ее включением - это вызывает второй запуск обработки политики пользователя в отношении OU компьютера, и эти параметры имеют приоритет над теми, которые применяются к OU пользователя (или замените их полностью, если вы работаете в режиме замещения с обратной связью).
Бритва Оккама. Как выяснилось, несмотря на заявления об обратном, пользователи фактически не перезагружали свои рабочие станции и не выключали их на ночь. Как только это было сделано, групповая политика смогла обновить, и все было в порядке.