Назад | Перейти на главную страницу

Почему мой GPO не применяется?

У меня есть такая иерархия GPO:

На клиентской машине с помощью gpresult -r, Я вижу Global применил штраф. Тем не мение, Disable Control.exe не имеет.

Параметры, которые я пытаюсь настроить:

Объем и фильтрация:

Нет фильтрации VMI.

Я убедился в следующем:

Почему Global применяется, но Disable Control.exe не?

Групповая политика, несмотря на ее название, не применяется к группам безопасности. Групповая политика применяется к пользователям и компьютерам. Вы можете отфильтровать групповую политику, чтобы она применялась только к определенным пользователям или компьютерам, добавив этих пользователей или компьютеры в группы безопасности, а затем используя эти группы безопасности в качестве фильтра для вашего объекта групповой политики.

Ваша проблема в том, что группа безопасности, членом которой является этот пользователь, находится в вашей целевой OU, но учетная запись пользователя для этого пользователя не в целевом OU. Вам необходимо переместить учетную запись этого пользователя в целевое подразделение. Параметр обработки политики обратной связи из объекта групповой политики не требуется, и его следует удалить.

Кроме того, у вас есть прошедшие проверку пользователи в фильтре для GPO, что означает, что GPO будет применяться ко всем пользователям, которые находятся в сфере управления GPO (все пользователи, которые находятся в вашем OU). Вам необходимо удалить прошедших проверку пользователей из фильтра безопасности объекта групповой политики. Когда вы это сделаете, обязательно следуйте инструкциям по ссылке ниже, чтобы убедиться, что ваш GPO настроен должным образом.

https://support.microsoft.com/en-us/help/3163622/ms16-072-security-update-for-group-policy-june-14--2016

Основываясь на ваших ответах в комментариях и чате, я думаю, что вы делаете это намного сложнее, чем должно быть. Вы не должны использовать Loopback-обработку, если у вас нет очень конкретные причины, по которым вам это нужно.

Чтобы объект групповой политики блокировал панель управления от всех пользователей в Contractors group на любом компьютере, вам нужно:

  1. Удалите петлевую часть объекта групповой политики
  2. удалять Authenticated Users из фильтра безопасности GPO
  3. Удалить OU_One Ссылка OU
  4. Добавьте объект групповой политики в любое подразделение, содержащее фактическое пользователи которые находятся в Contractors OU (обратите внимание, что фильтрация безопасности означает, что вы можете применить этот GPO на уровне домена, если подрядчики слишком разбросаны)

Фильтрация безопасности использует группы только как способ организации вещей (пользователей, компьютеров и т. Д.). Вещи (пользователи, компьютеры и т. Д.) Должны по-прежнему находиться в OU, к которому привязан GPO.

Петлевой фильтр обычно используется для таких вещей, как изменение пользовательских политик на серверах терминалов (удаленный рабочий стол), когда вы хотите применить пользовательские настройки, но только на определенных компьютерах.