Это меня уже давно беспокоит. Вот установка:
Мне нужен объект групповой политики перенаправления конкретной папки, применяемый только к пользователям в DevUsersOU и только на серверах в группе безопасности DevHostsSG. Пользователи в DevUsersOU не должны применять политику перенаправления на каких-либо других серверах, и никакие другие пользователи не должны иметь перенаправление при входе на сервер в группе безопасности DevHostsSG.
Мой прогресс на данный момент:
На данный момент у меня заканчиваются идеи, и я отчасти просто догадываюсь о вещах, и мне кажется, что ситуация ухудшается, по какой-то причине у меня есть один хост в DevHostsSG, где работает перенаправление, два хоста, где он не работает, и один хост, который не в DevHostsSG, где разрешено перенаправление .. Я делал несколько gpupdate / force вместе с выходами из системы и gpresult / R каждый раз, когда делаю изменения, и я ничего не добился.
Любая помощь будет принята с благодарностью!
---- Дальнейшее тестирование ----
В попытке упростить ситуацию я пробовал следующее:
Запуск gpupdate на другом хосте от имени этого пользователя: перенаправление включено (НЕ ОК)
Отключение обработки обратной петли не имело значения
---- Ответы ----
Жокерти:
Текущая конфигурация возвращается к пункту 1 выше, в котором GP применяется к DevUsersOU с группой безопасности, установленной на список хостов, к которым должен применяться GP. Я перезагрузил один из хостов с момента последнего изменения, и перенаправление папок больше не работает (вчера я проверял это в последний раз). Когда я запускаю gpresult / R, я вообще не вижу GP в списке НАСТРОЙКИ КОМПЬЮТЕРА, но я вижу следующее в НАСТРОЙКИ ПОЛЬЗОВАТЕЛЯ:
The following GPOs were not applied because they were filtered out
-------------------------------------------------------------------
Local Group Policy
Filtering: Not Applied (Empty)
Default Domain Policy
Filtering: Not Applied (Empty)
Folder Redirect
Filtering: Denied (Security)
Я предполагаю, что это не удалось, потому что я явно не включаю DevUsersSG в качестве отдельной записи в разделе фильтрации безопасности GP или включаю их в группу безопасности, в которой находятся хосты, но из моих тестов кажется, что если я сделаю одно из те, GP применяется ко всем хостам, на которые эти пользователи входят ... Так что я почти вернулся с того места, где начал ..
Где вы запускали gpupdate? Обработка политики петли - это параметр конфигурации компьютера, поэтому для применения к рассматриваемым серверам на этих серверах необходимо обновить групповую политику.
Для изменения членства в группе учетной записи компьютера требуется перезагрузка этого компьютера AFAIK.
Не рекомендуется использовать обработку политики Loopback на уровне домена.
Если вы должны использовать его на уровне домена, убедитесь, что в вашей фильтрации безопасности используются только определенные группы пользователей и компьютеров, которые вы создали.
Я не вижу причин, по которым обработка политики Loopback в GPO, связанном с доменом с соответствующей фильтрацией безопасности, не будет работать, но я когда-либо использовал ее только в определенных OU, а не на уровне домена. При этом я подозреваю, что ваша проблема связана с пунктом № 2.