Назад | Перейти на главную страницу

Объекты групповой политики запрещены, хотя критерии фильтрации соблюдены

Чего я пытаюсь достичь

Мы используем централизованную печать только в одном офисе, поэтому мне нужно убедиться, что в этом офисе существуют соответствующие сетевые принтеры, когда пользователь входит на сервер терминалов, а также предотвратить перенаправление любых локальных принтеров.

Эта проблема

У меня есть 2x GPO, которые я хочу применить только тогда, когда пользователь, входящий в систему на любом из наших терминальных серверов в определенном OU, находится в определенной группе безопасности. Я добавил эту группу через фильтрацию безопасности, однако GPO не применяются, а GP Modeling говорит: «Доступ запрещен (фильтрация безопасности)».

В соответствии с TechNet хотя этого не должно быть -

Если учетная запись компьютера или пользователя не соответствует критериям фильтрации безопасности, весь объект групповой политики будет отклонен на этом клиенте.

Насколько я понимаю вышесказанное, учетная запись пользователя соответствует критериям фильтрации безопасности (т.е.пользователь является членом указанной группы безопасности), поэтому в GPO не следует отказываться.

Настройки, которые я пытаюсь применить

Вот пошаговое описание того, чем я сейчас занимаюсь. Объекты групповой политики должны применяться каждый раз, когда пользователь входит на сервер терминалов в OU. DD Terminal Servers.

Первая политика должна применять эти настройки -

Вторая политика должна применять этот параметр (ретроспективно, его можно применить к указанной выше политике, так как это должно влиять на тех же пользователей) -

Изображений

Вот изображения, показывающие разрешения GPO и членство в группах соответствующего тестового пользователя. Обратите внимание, что я обеспечил объект DD\Sherborne имеет Apply Group Policy разрешение, даже если оно здесь не показано -

Пожалуйста, помогите мне понять, почему эти GPO запрещены. Спасибо.

Я не понимаю, как это могло сработать. Вам необходимо, чтобы машина обрабатывала параметры конфигурации компьютера, чтобы произошла обработка политики обратной связи, чтобы ваши параметры конфигурации пользователя применялись к пользователям в группе безопасности, когда они входят в эту машину, но вы отказали машине в необходимых разрешениях. для чтения и применения объекта групповой политики. Вы попали в ловушку-22. Вам необходимо настроить фильтрацию безопасности, чтобы позволить машине читать и применять этот объект групповой политики.

Посмотреть здесь:

http://blogs.technet.com/b/askds/archive/2013/05/21/back-to-the-loopback-troubleshooting-group-policy-loopback-processing-part-2.aspx

Вторая политика должна применять этот параметр (ретроспективно, его можно применить к указанной выше политике, так как это должно повлиять на тех же пользователей) -

Компьютер - Административные шаблоны \ Компоненты Windows / Службы терминалов / Перенаправление данных клиента / сервера - Запретить перенаправление клиентского принтера (включено)

Это основная проблема вашего решения. Вышеупомянутая политика является конфигурацией для всей машины и не может применяться для отдельных пользователей. Вы можете либо настроить сервер терминалов с этим настроенным, либо нет. Между выбранной вами политикой нет ничего промежуточного.

Во-вторых, первая политика (The Loopback Stuff и сценарий vbs) должна быть двумя отдельными политиками.

Первый должен ТОЛЬКО содержать информацию о конфигурации компьютера и, в идеале, должен применяться к «Прошедшим проверку пользователям» или, по крайней мере, к учетным записям / группам сервера терминалов.

Вторая политика будет вашими настройками конфигурации пользователя и должна применяться только к пользователям, которым вы хотите иметь этот принтер.