Позвольте мне начать с того, что мой опыт работы с GPO ограничивается предварительным поиском настроек, пока они не станут на свои места путем проб и ошибок. Вполне возможно, что это будет очевидный ответ.
Наша цель - отключить от Интернета три компьютера, не ограничивая их доступ к локальной сети.
Человек, которого я заменяю, настроил объект групповой политики под названием «Internet Lockdown» со следующей схемой (курсивом = добавлено мной):
ОБЪЕМ:
Ссылки: Нет Интернета (это подразделение, которое является дочерним по отношению к нашему основному подразделению SBSComputers и имеет в качестве членов целевые компьютеры). Не применяется. Ссылка включена.
Фильтрация безопасности:
Нет фильтра WMI
ПОДРОБНОСТИ
Состояние GPO: параметры конфигурации компьютера отключены (Включено)
НАСТРОЙКИ
Конфигурация компьютера / политики / административные шаблоны / система / групповая политика
Режим обработки обратной связи политики группы пользователей: включен
Режим: заменить
Конфигурация пользователя / Параметры Windows / Обслуживание Internet Explorer / Подключение / Параметры прокси
Включить настройки прокси: Все до 127.0.0.1:4664
За исключением номеров, начинающихся с 192.168.1.200 или intranet
Административные шаблоны / Компоненты Windows / Internet Explorer
Отключить изменение параметров автоматической конфигурации: включено
запретить изменение настроек подключения: включено
запретить изменение настроек прокси: включено
Мастер отключения интернет-соединения: включен
/ меню браузера
Меню "Инструменты": отключить параметры обозревателя ... параметр меню: включен
Я выполнил gpupdate / force как на DC, так и на целевых компьютерах, но, хотя другие GPO работают нормально, этот, похоже, игнорируется. Некоторый первоначальный поиск в Google привел меня к добавлению режима обработки обратной петли в конфигурацию компьютера, а затем к включению опции конфигурации компьютера. Я также подумал, что мне могут понадобиться определенные компьютерные объекты в разделе фильтрации безопасности, но они не внесли никаких изменений. Я не вхожу на целевые компьютеры с учетной записью администратора домена.
Когда я бегу gpresult /h result.html Я вижу, что в разделе «Конфигурация компьютера» / «Объекты групповой политики» / «Запрещенные GPOs Internet Lockdown» указана причина «Disabled GPO». Это меня смущает, потому что сейчас все включено. Он также нигде не отображается в пользовательской конфигурации, ни применен, ни запрещен.
Журналы событий не содержат ничего полезного, кроме времени обработки GP на DC или на целевых компьютерах.
Есть предположения?
Это потому что у вас есть Computer Settings Disabled настроен. Попробуйте изменить раскрывающийся список на простой Enabled и попробуйте это.
С учетом вышесказанного вы настраиваете как компьютерные политики, так и политики пользователей в одном объекте групповой политики. Технически в этом нет ничего плохого, но это считается плохой практикой и затрудняет устранение неполадок.
Это также мешает вашей фильтрации безопасности. Например, в вашем случае наличие перечисленных компьютеров не имеет никакого значения, потому что у вас есть Authenticated Users перечисленные.
Я предлагаю разделить вашу политику на две части - одна, содержащая все Computer Configuration предметы и один, содержащий все User Configuration Предметы. Если вы хотите, чтобы оба набора GPO применялись ко всем компьютерам в этом OU (и, следовательно, ко всем пользователям, которые входят в них), просто оставьте оба набора фильтров безопасности для Authenticated Users. (Хотя имейте в виду, что это применимо и к администраторам)