Home » Windows » Group Policy inaccessible

Group Policy inaccessible

Столкнулся с неожиданной и неочевидной проблемой с применением групповых политик в Windows Server 2008 R2. Сервер настраивал давно, на момент настройки все работало. С тех пор ничего не менялось, но некоторые политики перестали применяться. Стал разбираться, с чем это связано.

Теоретический курс по основам сетевых технологий. Позволит системным администраторам упорядочить и восполнить пробелы в знаниях. Цена очень доступная, есть бесплатный доступ. Все подробности по . Можно пройти тест на знание сетей, бесплатно и без регистрации.

На практике неработающие групповые политики выглядят вот так при тестировании результатов применения в оснастке управления групповыми политиками.

Group Policy inaccessible

При этом эти GPO имеют следующие права доступа.

Security Filtering

Стандартные права, которые назначаются после создания политики изменены. Политика разрешена только определенной группе. Когда эта политика настраивалось, все работало. В какой момент пропало, я не уследил, так как пострадали не очень важные политики, такие как подключение сетевых дисков и назначение прокси. Вместо того, чтобы разбираться, в чем дело, просто вручную все делали. Благо, это требовалось очень редко.

В какой-то момент я все же решил разобраться, в чем тут проблема. Не буду утомлять рассказом о том, как я искал решение. Пришлось потратить некоторое время. Повезло, что винда не русская, решение нашел в англоязычном инете. Если винда русская, то поиск решения усложняется многократно, поэтому рекомендую не ставить русские версии серверов. Вы этим не упрощаете себе жизнь, а усложняете.

Причина нарушения работы групповой политики кроется вот в этом обновлении:

https://support.microsoft.com/en-us/help/3163622/ms16-072-security-update-for-group-policy-june-14,-2016

Расскажу своими словами, в чем тут проблема. После применения этого обновления, все политики, где не указаны права на чтение для групп Authenticated Users или Domain Computers не работают. Если вы настраивали ограничение применения политики через Security Filtering, заменив эти группы более узкими группами для ограничения доступа, то вы получите описанную проблемы.

Исправить ошибку можно следующим образом:

  1. Добавьте доступ на чтение для группы Authenticated Users, если ваша политика распространяется на всех пользователей.
  2. Если вы используете Security Filtering для ограничения доступа пользователей, то добавьте группе Domain Computers доступ на чтение.

Мне подошел второй вариант. Чтобы политика заработала, пришлось добавить указанные права. Получилось вот так.

Решение проблемы с групповой политикой

После этого подождал 5-10 минут, перезагрузил тестовый компьютер, убедился, что политика работает. В Group Policy Results тоже все стало нормально, политики отображаются корректно.

Онлайн курс Основы сетевых технологий

Теоретический курс с самыми базовыми знаниями по сетям. Курс подходит и начинающим, и людям с опытом. Практикующим системным администраторам курс поможет упорядочить знания и восполнить пробелы. А те, кто только входит в профессию, получат на курсе базовые знания и навыки, без воды и избыточной теории. После обучения вы сможете ответить на вопросы:
  • На каком уровне модели OSI могут работать коммутаторы;
  • Как лучше организовать работу сети организации с множеством отделов;
  • Для чего и как использовать технологию VLAN;
  • Для чего сервера стоит выносить в DMZ;
  • Как организовать объединение филиалов и удаленный доступ сотрудников по vpn;
  • и многое другое.
Уже знаете ответы на вопросы выше? Или сомневаетесь? Попробуйте пройти тест по основам сетевых технологий. Всего 53 вопроса, в один цикл теста входит 10 вопросов в случайном порядке. Поэтому тест можно проходить несколько раз без потери интереса. Бесплатно и без регистрации. Все подробности на странице .

Помогла статья? Есть возможность отблагодарить автора

Автор Zerox

Zerox
Владимир, системный администратор, автор сайта. Люблю настраивать сервера, изучать что-то новое, делиться знаниями, писать интересные и полезные статьи. Открыт к диалогу и сотрудничеству.

4 комментария

  1. Аватар
    Алексей

    Правильный вариант это добавлять authenticated users во вкладке Delegation с правами read.

  2. Аватар

    Эта команда помогает в 99.9% случаев.

  3. Аватар

    Доброе.
    Ждать применнения GP на тестовой машине не надо. Достаточно выполнить gpupdate /force

    • Zerox

      К сожалению, эта команда не всегда помогает. Зачастую, к применению политики приводит только перезагрузка компьютера.

Добавить комментарий

Ваш e-mail не будет опубликован.

Нажимая кнопку "Отправить комментарий" Я даю согласие на обработку персональных данных.