У меня есть такая иерархия GPO:
На клиентской машине с помощью gpresult -r
, Я вижу Global
применил штраф. Тем не мение, Disable Control.exe
не имеет.
Параметры, которые я пытаюсь настроить:
Объем и фильтрация:
Нет фильтрации VMI.
Я убедился в следующем:
OU_One
.gpupdate/force
.Почему Global
применяется, но Disable Control.exe
не?
Групповая политика, несмотря на ее название, не применяется к группам безопасности. Групповая политика применяется к пользователям и компьютерам. Вы можете отфильтровать групповую политику, чтобы она применялась только к определенным пользователям или компьютерам, добавив этих пользователей или компьютеры в группы безопасности, а затем используя эти группы безопасности в качестве фильтра для вашего объекта групповой политики.
Ваша проблема в том, что группа безопасности, членом которой является этот пользователь, находится в вашей целевой OU, но учетная запись пользователя для этого пользователя не в целевом OU. Вам необходимо переместить учетную запись этого пользователя в целевое подразделение. Параметр обработки политики обратной связи из объекта групповой политики не требуется, и его следует удалить.
Кроме того, у вас есть прошедшие проверку пользователи в фильтре для GPO, что означает, что GPO будет применяться ко всем пользователям, которые находятся в сфере управления GPO (все пользователи, которые находятся в вашем OU). Вам необходимо удалить прошедших проверку пользователей из фильтра безопасности объекта групповой политики. Когда вы это сделаете, обязательно следуйте инструкциям по ссылке ниже, чтобы убедиться, что ваш GPO настроен должным образом.
Основываясь на ваших ответах в комментариях и чате, я думаю, что вы делаете это намного сложнее, чем должно быть. Вы не должны использовать Loopback-обработку, если у вас нет очень конкретные причины, по которым вам это нужно.
Чтобы объект групповой политики блокировал панель управления от всех пользователей в Contractors
group на любом компьютере, вам нужно:
Authenticated Users
из фильтра безопасности GPOOU_One
Ссылка OUContractors
OU (обратите внимание, что фильтрация безопасности означает, что вы можете применить этот GPO на уровне домена, если подрядчики слишком разбросаны)Фильтрация безопасности использует группы только как способ организации вещей (пользователей, компьютеров и т. Д.). Вещи (пользователи, компьютеры и т. Д.) Должны по-прежнему находиться в OU, к которому привязан GPO.
Петлевой фильтр обычно используется для таких вещей, как изменение пользовательских политик на серверах терминалов (удаленный рабочий стол), когда вы хотите применить пользовательские настройки, но только на определенных компьютерах.