У меня странная ситуация: членство в группе домена, о котором сообщает групповая политика, отличается от членства в Active Directory.
DOMAIN\user.name
уже был членом DOMAIN\some_group_1
. Я добавил его в группу AD DOMAIN\some_group_2
. Команда gpresult /v
теперь сообщает, что DOMAIN\user.name
НЕ является членом DOMAIN\some_group_2
, а оснастка «Active Directory - пользователи и компьютеры» ясно показывает, что это так.
Обе группы имеют глобальную область действия и были созданы с помощью панели мониторинга WSE 2016.
Эта ситуация мешает предпочтениям групповой политики создать запись реестра для этого пользователя, запись, предназначенную для всех пользователей в DOMAIN\some_group_2
.
Почему групповая политика не принимает новых участников?
Как в сторону, Get-ADPrincipalGroupMembership user.name
запускать в DC сообщает, что пользователь является членом Domain Users
только.
--РЕДАКТИРОВАТЬ--
Уточню, что подключаюсь к домену с двух компьютеров двумя способами: 1) LAN; 2) Удаленный VPN. Симптомы идентичны на обоих соединениях.
Я нашел проблему.
Я подключился к VPN под учетной записью администратора домена, чтобы иметь возможность создать новый профиль для стандартной учетной записи пользователя. Но я еще не добавил учетную запись пользователя в группу безопасности VPN в AD, поэтому новый профиль был поврежден при его создании.
Я удалил и воссоздал профиль, и все было хорошо. Теперь он работает правильно, и все группы безопасности отображаются так, как должны.