Назад | Перейти на главную страницу

Перемещаемый профиль, GPO и взаимодействие группы безопасности

Я настроил перемещаемые профили (клиент настаивает) в соответствии с этим документом: https://docs.microsoft.com/en-us/windows-server/storage/folder-redirection/deploy-roaming-user-profiles и это работает, но я кое-что не понимаю.

Шаг 2 - Создание группы безопасности. Кажется, что перемещаемый профиль должен быть создан для любого пользователя, которого я помещаю в эту группу, независимо от того, к какой машине он обращается, но у меня это не работает. В моей среде перемещаемые профили применяются только в том случае, если Пользователь И Компьютер добавлены в группу безопасности.

Что-то не так с моей настройкой или это ожидаемое поведение? Если ожидалось, почему, что мне не хватает? Мне кажется, что политика должна применяться к любому объекту в этой группе, будь то пользователь или компьютер.

Заранее спасибо.

Вы должны предоставить своим компьютерам права «Чтение», как сообщает Microsoft на шаге 4:

Из-за изменений безопасности, внесенных в MS16-072A, теперь вы должны предоставить группе прошедших проверку пользователей делегированные разрешения на чтение для объекта групповой политики - иначе объект групповой политики не будет применяться к пользователям [...]

Шаг 4 .9:

Откройте вкладку «Делегирование», выберите «Добавить», введите «Прошедшие проверку», нажмите «ОК», а затем снова нажмите «ОК», чтобы принять разрешения на чтение по умолчанию.

Итак, предоставьте разрешения «Применить групповую политику» и «Чтение» группе, содержащей пользователи, и "Прочитать" группу, содержащую компьютеры (это может быть, например, «Компьютеры домена». Или «Прошедшие проверку пользователи», но дважды проверьте, что вы дали только разрешение «Чтение», а не «Применить групповую политику», иначе ваша фильтрация групп пользователей будет бесполезной).

Это связано с тем, что технически учетная запись компьютера используется для загрузки групповой политики с контроллеров домена, даже для «Пользовательской» части объекта групповой политики (поэтому компьютеры должны иметь возможность читать объекты групповой политики даже для параметров пользователя).

Вы можете прочитать это сообщение в блоге, если хотите более подробно об этом: https://docs.microsoft.com/fr-fr/archive/blogs/askds/deploying-group-policy-security-update-ms16-072-kb3163622