Столкнулся с неожиданной и неочевидной проблемой с применением групповых политик в Windows Server 2008 R2. Сервер настраивал давно, на момент настройки все работало. С тех пор ничего не менялось, но некоторые политики перестали применяться. Стал разбираться, с чем это связано.
На углубленном курсе "Архитектура современных компьютерных сетей" вы с нуля научитесь работать с Wireshark и «под микроскопом» изучите работу сетевых протоколов. На протяжении курса надо будет выполнить более пятидесяти лабораторных работ в Wireshark.
На практике неработающие групповые политики выглядят вот так при тестировании результатов применения в оснастке управления групповыми политиками.
При этом эти GPO имеют следующие права доступа.
Стандартные права, которые назначаются после создания политики изменены. Политика разрешена только определенной группе. Когда эта политика настраивалось, все работало. В какой момент пропало, я не уследил, так как пострадали не очень важные политики, такие как подключение сетевых дисков и назначение прокси. Вместо того, чтобы разбираться, в чем дело, просто вручную все делали. Благо, это требовалось очень редко.
В какой-то момент я все же решил разобраться, в чем тут проблема. Не буду утомлять рассказом о том, как я искал решение. Пришлось потратить некоторое время. Повезло, что винда не русская, решение нашел в англоязычном инете. Если винда русская, то поиск решения усложняется многократно, поэтому рекомендую не ставить русские версии серверов. Вы этим не упрощаете себе жизнь, а усложняете.
Причина нарушения работы групповой политики кроется вот в этом обновлении:
Расскажу своими словами, в чем тут проблема. После применения этого обновления, все политики, где не указаны права на чтение для групп Authenticated Users или Domain Computers не работают. Если вы настраивали ограничение применения политики через Security Filtering, заменив эти группы более узкими группами для ограничения доступа, то вы получите описанную проблемы.
Исправить ошибку можно следующим образом:
- Добавьте доступ на чтение для группы Authenticated Users, если ваша политика распространяется на всех пользователей.
- Если вы используете Security Filtering для ограничения доступа пользователей, то добавьте группе Domain Computers доступ на чтение.
Мне подошел второй вариант. Чтобы политика заработала, пришлось добавить указанные права. Получилось вот так.
После этого подождал 5-10 минут, перезагрузил тестовый компьютер, убедился, что политика работает. В Group Policy Results тоже все стало нормально, политики отображаются корректно.
Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном онлайн-курcе по администрированию MikroTik. Автор курcа – сертифицированный тренер MikroTik Дмитрий Скоромнов. Более 40 лабораторных работ по которым дается обратная связь. В три раза больше информации, чем в MTCNA.
Правильный вариант это добавлять authenticated users во вкладке Delegation с правами read.
Эта команда помогает в 99.9% случаев.
Доброе.
Ждать применнения GP на тестовой машине не надо. Достаточно выполнить gpupdate /force
К сожалению, эта команда не всегда помогает. Зачастую, к применению политики приводит только перезагрузка компьютера.