В основном я создал домашнюю виртуальную лабораторию для практики Active Directory, у меня есть виртуальная версия Windows server 2016, работающая на моем рабочем столе с использованием Hyper-V, и у меня есть еще один физический ноутбук, который я использую в качестве клиентского компьютера.
Все работает без сбоев, однако я не могу заставить GPO применять к определенной группе безопасности, хотя я связал его с OU, которое иерархически включает OU, в котором находятся пользователи (надеюсь, это имеет смысл) ...
Тезисы - это снимки экрана, которые я сделал, чтобы помочь понять
https://res.cloudinary.com/dlkdmqcop/image/upload/v1552599131/AD_USERS_fa9yb2.png
https://res.cloudinary.com/dlkdmqcop/image/upload/v1552599131/GPO_hhplok.png
Мне понравился GPO для OU SWI, и я пытаюсь применить его к группе безопасности UK-SWI1-GG-USERS.
Объект групповой политики работает отлично, если я сохраню его как прошедших проверку пользователей.
Любая информация будет принята с благодарностью.
Для применения групповой политики пользователей компьютер, на который входит пользователь, должен иметь доступ для чтения объекта групповой политики.
По умолчанию, т. Е. Если объект групповой политики не фильтруется, Authenticated Users имеет права «Применить групповую политику» и «Чтение», и все просто работает. Однако если объект групповой политики отфильтрован по определенной группе, вы должны явно предоставить необходимое разрешение на чтение для рассматриваемого компьютера (ов).
В большинстве случаев вам следует использовать вкладку "Делегирование", чтобы Authenticated Users доступ для чтения.
В редких случаях, когда содержимое объекта групповой политики является конфиденциальным (например, он содержит пароль), вы можете предпочесть предоставить доступ для чтения к Domain Computers group вместо этого, или, возможно, даже только те конкретные компьютеры, которые должны иметь возможность применять групповую политику. Обратите внимание, что это не обеспечить комплексную защиту от получения злоумышленником доступа к содержимому объекта групповой политики. Объекты групповой политики не должна содержат конфиденциальную информацию, например пароли.
Это поведение было впервые представлено в обновлении безопасности еще в 2016 году и описано в статье Microsoft. Развертывание обновления безопасности групповой политики MS16-072 \ KB3163622.
