Назад | Перейти на главную страницу

GPO показывает примененные в настройках пользователя, но содержит только настройки компьютера

У меня проблемы с моими политиками и их применением на моем компьютере с Windows 10.

У меня есть несколько объектов групповой политики, применяемых на верхнем уровне домена, некоторые содержат только настройки компьютера, некоторые содержат только пользовательские настройки, а некоторые содержат и то, и другое.

Если я сделаю GPresult / r, я увижу, что GPO применяется в пользовательских настройках, который содержит настройки как пользователя, так и компьютера. Я вижу, что объект групповой политики применяется в пользовательских настройках, даже если эта политика НЕ ​​содержит пользовательских настроек. Наконец, я вижу, что объект групповой политики применяется к пользовательским настройкам, который ДЕЙСТВИТЕЛЬНО содержит пользовательские настройки.

Что еще более странно, в настройках пользователя у меня есть 2 объекта групповой политики, которые отображаются как непримененные (неизвестная причина), один из которых является политикой домена по умолчанию, но ни один из них не содержит никаких пользовательских настроек!

Насколько я могу судить, все компьютерные политики применяются правильно, проблема только в пользовательских настройках.

Мне нужно выяснить, почему объекты групповой политики отображаются как примененные, даже если они не содержат пользовательских настроек, а также почему они показывают неизвестную причину применения объектов групповой политики, которые также не содержат пользовательских настроек.

РЕДАКТИРОВАТЬ: Скриншот gpresult: Обратите внимание, что у меня включен режим обратной связи, поэтому они появляются дважды.

РЕДАКТИРОВАТЬ: Текущие настройки делегирования

Наша политика домена по умолчанию в настоящее время имеет следующие настройки:

Создатель-владелец - особенный

Прошедшие проверку пользователи - прочтите, примените

Система - все, кроме полного контроля и применения

Администраторы домена - чтение, запись, создание дочерних объектов

Доменные компьютеры - читать, подавать заявки

Администраторы предприятия - чтение, запись, создание дочерних объектов

Контроллеры домена предприятия - читать

РЕДАКТИРОВАТЬ:

Таким образом, после воссоздания объекта групповой политики «DOM-IE-CompatView» с точно такими же настройками, как и раньше, он больше не отображается как «Не применено (неизвестная причина)»

Следует ли мне использовать dcgpofix для восстановления политики домена по умолчанию до настроек по умолчанию?

Объекты групповой политики применяются, потому что параметры конфигурации компьютера и пользователя оцениваются, если вы не настроите состояние объекта групповой политики (на вкладке Подробности объекта групповой политики) на Параметры конфигурации пользователя отключены. Только тогда они не будут применяться. Механизм групповой политики не знает, что параметры пользователя не настроены, поэтому он применяет объект групповой политики, после чего расширения на стороне клиента оценивают объект групповой политики, чтобы увидеть, есть ли какие-либо параметры, за которые они несут ответственность и которые необходимо применить. . Никакие фактические параметры пользователя не настраиваются с помощью объекта групповой политики, поскольку у вас нет параметров пользователя, настроенных в объекте групповой политики, но механизм групповой политики, тем не менее, должен применить этот объект групповой политики и позволить CSE оценить параметры объекта групповой политики, которые им, возможно, потребуется настроить. Если вы хотите, чтобы механизм групповой политики не применял GPO, вам необходимо установить статус GPO на Параметры конфигурации пользователя отключены.

Эта статья даст вам лучшее представление о том, как работает обработка групповой политики. Я думаю, что вас больше всего интересует раздел с надписью:

Как ядро ​​групповой политики обрабатывает расширения на стороне клиента:

https://technet.microsoft.com/en-us/library/cc784268(v=ws.10).aspx

Можете ли вы опубликовать снимок экрана вкладок «Объем», «Подробности» и «Делегирование» политики домена по умолчанию?

Поэтому я не смог определить основную причину проблемы, но после установки юбилейного обновления все мои примененные объекты групповой политики отображаются правильно, а ошибочные, в которых указано, что они не применяются (неизвестная причина), больше не появляются.

Произошло серьезное изменение в том, как работают разрешения групповой политики. Если вы применили исправление KB3163622 и используете фильтрацию безопасности для определения того, как применяются объекты групповой политики, вам, вероятно, придется внести некоторые изменения в схему разрешений почти каждой групповой политики.

Вот статья, в которой рассказывается о том, что изменилось и как решить проблему: http://www.infoworld.com/article/3084930/microsoft-windows/microsoft-acknowledges-permission-problems-with-ms16-072-patches-kb-3159398-3163017-3163018-3163016.html

По сути, вам нужно убедиться, что каждый объект групповой политики может быть прочитан компьютерами домена и / или аутентифицированными пользователями.

Для этого используйте инструмент RSAT управления групповой политикой и перейдите к своим объектам групповой политики. Перейдите на вкладку «Делегирование» и убедитесь, что компьютеры домена и / или прошедшие проверку пользователи имеют разрешения на чтение. Если у объектов групповой политики отсутствуют эти разрешения, вам необходимо нажать кнопку «Дополнительно ...» и добавить права «Чтение» для прошедших проверку пользователей и / или компьютеров домена.

НЕ добавляйте разрешение «Применить групповую политику», если вы не хотите, чтобы политика применялась повсеместно.

После этого вы сможете запустить GPUPDATE / FORCE / BOOT, чтобы вернуть свои системы в хорошее состояние.