У меня проблема с моим доменом, где не применяются групповые политики.
Сейчас у меня две группы безопасности; 1) 32-битные клиенты 2) 64-битные клиенты В эти две группы входят наши разные компьютеры с 32-битной и 64-битной Windows 7.
В консоли управления групповыми политиками я создал две политики, которые влияют на настройки рабочего стола и компьютера пользователя. Теперь все, что я хочу сделать, это установить его так, чтобы 32-битная группа получала 32-битную политику, а 64-битные компьютеры получали 64-битную политику, но это не работает.
Следуя различным онлайн-руководствам по настройке фильтрации безопасности, я связал объект групповой политики с доменом, перешел на вкладку делегирования, открыл ACL, снял флажок «Применить для прошедших проверку пользователей», добавил группу 32 или 64, затем нажал «прочитать и подать заявку на них». Затем я вернулся к клиенту (в данном случае к 64-битному ПК), и как только gpupdate / force был завершен, я запустил gpresult, и он говорит, что GPO не был применен из-за «Доступ запрещен (фильтрация безопасности)» .
Это сбило меня с толку, так как я проверил, что компьютер находится в группе 64 бит, проверил чтение и применение настроек, но безуспешно. Я пробовал добавлять и удалять прошедших проверку пользователей на вкладке «Фильтрация безопасности», но безуспешно.
Меня это раздражает, потому что это должно быть так просто!
Любая помощь будет принята с благодарностью.
Джейк
Установка: Windows Server 2008
Если компьютеры недавно были добавлены в эти группы безопасности, им потребуется перезагрузка.
У них не будет своего нового членства в группе в своем токене, пока они не получат новое, что по умолчанию составляет около недели (или до перезагрузки).
Сообщение «Доступ запрещен (фильтрация безопасности)» обычно означает, что компьютер настройки не были применены из-за gpupdate не был запущен из командной строки с повышенными привилегиями.
Кроме того, я бы использовал фильтр wmi, поэтому вам не нужно управлять группами. Еще одно ограничение для групп - членство в группах не вступает в силу до перезагрузки компьютера.
Windows 7 x64:
ВЫБЕРИТЕ * ИЗ Win32_OperatingSystem, ГДЕ версия, КАК "6.1%" И ProductType = "1" И OSArchitecture = "64-bit"
Windows 7 x86:
ВЫБЕРИТЕ * ИЗ Win32_OperatingSystem, ГДЕ версия, КАК "6.1%" И ProductType = "1", И НЕ OSArchitecture = "64-bit"
Больше информации:
Создание фильтров WMI для объекта групповой политики
http://technet.microsoft.com/en-us/library/cc947846%28WS.10%29.aspx
Я столкнулся с той же проблемой и обнаружил, что, поскольку я связал объект групповой политики, мне пришлось выбрать ярлык объекта групповой политики и выбрать делегирование в правой панели. Выберите Advanced, Authenticated Users и отметьте «Apply Group policy», как это уже было прочитано.
Затем я вернулся на сервер и запустил (из командной строки с повышенными привилегиями) gpudate /force.
Ответ Дерека К. привел меня к нужному решению. Я применял политику к компьютеру, но только пользователи имели разрешение на применение. Добавил компы в разрешения, и все было хорошо.