Home » Windows » Group Policy inaccessible

Group Policy inaccessible

Столкнулся с неожиданной и неочевидной проблемой с применением групповых политик в Windows Server 2008 R2. Сервер настраивал давно, на момент настройки все работало. С тех пор ничего не менялось, но некоторые политики перестали применяться. Стал разбираться, с чем это связано.

Если у вас есть желание научиться строить и поддерживать высокодоступные и надежные системы, рекомендую познакомиться с онлайн-курсом «DevOps практики и инструменты» в OTUS. Курс не для новичков, для поступления нужно пройти .

На практике неработающие групповые политики выглядят вот так при тестировании результатов применения в оснастке управления групповыми политиками.

Group Policy inaccessible

При этом эти GPO имеют следующие права доступа.

Security Filtering

Стандартные права, которые назначаются после создания политики изменены. Политика разрешена только определенной группе. Когда эта политика настраивалось, все работало. В какой момент пропало, я не уследил, так как пострадали не очень важные политики, такие как подключение сетевых дисков и назначение прокси. Вместо того, чтобы разбираться, в чем дело, просто вручную все делали. Благо, это требовалось очень редко.

В какой-то момент я все же решил разобраться, в чем тут проблема. Не буду утомлять рассказом о том, как я искал решение. Пришлось потратить некоторое время. Повезло, что винда не русская, решение нашел в англоязычном инете. Если винда русская, то поиск решения усложняется многократно, поэтому рекомендую не ставить русские версии серверов. Вы этим не упрощаете себе жизнь, а усложняете.

Причина нарушения работы групповой политики кроется вот в этом обновлении:

https://support.microsoft.com/en-us/help/3163622/ms16-072-security-update-for-group-policy-june-14,-2016

Расскажу своими словами, в чем тут проблема. После применения этого обновления, все политики, где не указаны права на чтение для групп Authenticated Users или Domain Computers не работают. Если вы настраивали ограничение применения политики через Security Filtering, заменив эти группы более узкими группами для ограничения доступа, то вы получите описанную проблемы.

Исправить ошибку можно следующим образом:

  1. Добавьте доступ на чтение для группы Authenticated Users, если ваша политика распространяется на всех пользователей.
  2. Если вы используете Security Filtering для ограничения доступа пользователей, то добавьте группе Domain Computers доступ на чтение.

Мне подошел второй вариант. Чтобы политика заработала, пришлось добавить указанные права. Получилось вот так.

Решение проблемы с групповой политикой

После этого подождал 5-10 минут, перезагрузил тестовый компьютер, убедился, что политика работает. В Group Policy Results тоже все стало нормально, политики отображаются корректно.

Онлайн курсы по Mikrotik

Если у вас есть желание научиться работать с роутерами микротик и стать специалистом в этой области, рекомендую пройти курсы по программе, основанной на информации из официального курса MikroTik Certified Network Associate. Помимо официальной программы, в курсах будут лабораторные работы, в которых вы на практике сможете проверить и закрепить полученные знания. Все подробности на сайте . Стоимость обучения весьма демократична, хорошая возможность получить новые знания в актуальной на сегодняшний день предметной области. Особенности курсов:
  • Знания, ориентированные на практику;
  • Реальные ситуации и задачи;
  • Лучшее из международных программ.

Помогла статья? Есть возможность отблагодарить автора

Автор Zerox

Zerox
Владимир, системный администратор, автор сайта. Люблю настраивать сервера, изучать что-то новое, делиться знаниями, писать интересные и полезные статьи. Открыт к диалогу и сотрудничеству.

4 комментария

  1. Аватар
    Алексей

    Правильный вариант это добавлять authenticated users во вкладке Delegation с правами read.

  2. Аватар

    Эта команда помогает в 99.9% случаев.

  3. Аватар

    Доброе.
    Ждать применнения GP на тестовой машине не надо. Достаточно выполнить gpupdate /force

    • Zerox

      К сожалению, эта команда не всегда помогает. Зачастую, к применению политики приводит только перезагрузка компьютера.

Добавить комментарий

Ваш e-mail не будет опубликован.

Нажимая кнопку "Отправить комментарий" Я даю согласие на обработку персональных данных.