У нас были некоторые трудности с последовательным применением пользовательских объектов групповой политики. Я думаю, это связано с Microsoft летнее обновление это заставляет пользовательские объекты групповой политики работать в контексте безопасности компьютера, но перечисленные там решения не работают.
У нас есть, например, базовый пользовательский объект групповой политики, который применяется к корню нашего пользовательского подразделения. Это не фильтрация безопасности или WMI никаким образом. Прошедшие проверку пользователи имеют разрешения на чтение (что должно означать, что обновление не затронет их). Однако GPO не применяется. Он никак не отображается при просмотре GPRESULT или просмотре журналов событий.
Другое решение для обновления - добавить в объект групповой политики компьютеры домена с разрешениями на чтение. Мы тоже пробовали это, и это ничего не меняло.
Наконец, по какой-то прихоти я попытался связать объект групповой политики как с корневым пользовательским подразделением, так и с корневым подразделением компьютеров. Теперь GPO работает без проблем.
Это затронуто несколькими объектами групповой политики. Все они содержат только пользовательские настройки, а настройки обратной связи не включены. Это должно быть довольно просто, но это определенно не работает так, как я ожидал. Кто-нибудь видел что-то подобное или есть идеи, почему это так работает?
Что ж, возможно, как и ожидалось, ответ был довольно простым. Кто-то без причины включил Loopback-обработку в режиме замены в объекте групповой политики, не сказав никому. Я просмотрел каждый из наших объектов групповой политики и нашел его, выключил, и теперь все работает.
Чтобы объект групповой политики мог применяться к пользователям, им необходимо иметь разрешения READ и Apply GPO, а не просто читать. пробовали назначать аутентифицированным пользователям разрешения на чтение и применение к объекту групповой политики?