< meta name="referrer" content="origin">
Home » Windows » Group Policy inaccessible

Group Policy inaccessible

Столкнулся с неожиданной и неочевидной проблемой с применением групповых политик в Windows Server 2008 R2. Сервер настраивал давно, на момент настройки все работало. С тех пор ничего не менялось, но некоторые политики перестали применяться. Стал разбираться, с чем это связано.

На практике неработающие групповые политики выглядят вот так при тестировании результатов применения в оснастке управления групповыми политиками.

Group Policy inaccessible

При этом эти GPO имеют следующие права доступа.

Security Filtering

Стандартные права, которые назначаются после создания политики изменены. Политика разрешена только определенной группе. Когда эта политика настраивалось, все работало. В какой момент пропало, я не уследил, так как пострадали не очень важные политики, такие как подключение сетевых дисков и назначение прокси. Вместо того, чтобы разбираться, в чем дело, просто вручную все делали. Благо, это требовалось очень редко.

В какой-то момент я все же решил разобраться, в чем тут проблема. Не буду утомлять рассказом о том, как я искал решение. Пришлось потратить некоторое время. Повезло, что винда не русская, решение нашел в англоязычном инете. Если винда русская, то поиск решения усложняется многократно, поэтому рекомендую не ставить русские версии серверов. Вы этим не упрощаете себе жизнь, а усложняете.

Причина нарушения работы групповой политики кроется вот в этом обновлении:

https://support.microsoft.com/en-us/help/3163622/ms16-072-security-update-for-group-policy-june-14,-2016

Расскажу своими словами, в чем тут проблема. После применения этого обновления, все политики, где не указаны права на чтение для групп Authenticated Users или Domain Computers не работают. Если вы настраивали ограничение применения политики через Security Filtering, заменив эти группы более узкими группами для ограничения доступа, то вы получите описанную проблемы.

Исправить ошибку можно следующим образом:

  1. Добавьте доступ на чтение для группы Authenticated Users, если ваша политика распространяется на всех пользователей.
  2. Если вы используете Security Filtering для ограничения доступа пользователей, то добавьте группе Domain Computers доступ на чтение.

Мне подошел второй вариант. Чтобы политика заработала, пришлось добавить указанные права. Получилось вот так.

Решение проблемы с групповой политикой

После этого подождал 5-10 минут, перезагрузил тестовый компьютер, убедился, что политика работает. В Group Policy Results тоже все стало нормально, политики отображаются корректно.


Помогла статья? Есть возможность отблагодарить автора

3 комментария

  1. Доброе.
    Ждать применнения GP на тестовой машине не надо. Достаточно выполнить gpupdate /force

    • К сожалению, эта команда не всегда помогает. Зачастую, к применению политики приводит только перезагрузка компьютера.

  2. Аноним

    Эта команда помогает в 99.9% случаев.

Добавить комментарий

Ваш e-mail не будет опубликован.