Home » Windows » Group Policy inaccessible

Group Policy inaccessible

Столкнулся с неожиданной и неочевидной проблемой с применением групповых политик в Windows Server 2008 R2. Сервер настраивал давно, на момент настройки все работало. С тех пор ничего не менялось, но некоторые политики перестали применяться. Стал разбираться, с чем это связано.

Онлайн-курс Data Engineer – для разработчиков, администраторов СУБД и всех, кто стремится повысить профессиональный уровень, освоить новые инструменты и заниматься интересными задачами в сфере работы с большими данными. Курс не для новичков – нужно пройти .

На практике неработающие групповые политики выглядят вот так при тестировании результатов применения в оснастке управления групповыми политиками.

Group Policy inaccessible

При этом эти GPO имеют следующие права доступа.

Security Filtering

Стандартные права, которые назначаются после создания политики изменены. Политика разрешена только определенной группе. Когда эта политика настраивалось, все работало. В какой момент пропало, я не уследил, так как пострадали не очень важные политики, такие как подключение сетевых дисков и назначение прокси. Вместо того, чтобы разбираться, в чем дело, просто вручную все делали. Благо, это требовалось очень редко.

В какой-то момент я все же решил разобраться, в чем тут проблема. Не буду утомлять рассказом о том, как я искал решение. Пришлось потратить некоторое время. Повезло, что винда не русская, решение нашел в англоязычном инете. Если винда русская, то поиск решения усложняется многократно, поэтому рекомендую не ставить русские версии серверов. Вы этим не упрощаете себе жизнь, а усложняете.

Причина нарушения работы групповой политики кроется вот в этом обновлении:

https://support.microsoft.com/en-us/help/3163622/ms16-072-security-update-for-group-policy-june-14,-2016

Расскажу своими словами, в чем тут проблема. После применения этого обновления, все политики, где не указаны права на чтение для групп Authenticated Users или Domain Computers не работают. Если вы настраивали ограничение применения политики через Security Filtering, заменив эти группы более узкими группами для ограничения доступа, то вы получите описанную проблемы.

Исправить ошибку можно следующим образом:

  1. Добавьте доступ на чтение для группы Authenticated Users, если ваша политика распространяется на всех пользователей.
  2. Если вы используете Security Filtering для ограничения доступа пользователей, то добавьте группе Domain Computers доступ на чтение.

Мне подошел второй вариант. Чтобы политика заработала, пришлось добавить указанные права. Получилось вот так.

Решение проблемы с групповой политикой

После этого подождал 5-10 минут, перезагрузил тестовый компьютер, убедился, что политика работает. В Group Policy Results тоже все стало нормально, политики отображаются корректно.

Онлайн курс "Data Engineer"

Онлайн-курс Data Engineer – для разработчиков, администраторов СУБД и всех, кто стремится повысить профессиональный уровень, освоить новые инструменты и заниматься интересными задачами в сфере работы с большими данными. Курс не для новичков – нужно пройти вступительный тест. Выпускники курса смогут:
  • разворачивать, налаживать и оптимизировать инструменты обработки данных;
  • адаптировать датасеты для дальнейшей работы и аналитики;
  • создавать сервисы, которые используют результаты обработки больших объемов данных;
  • отвечать за архитектуру данных в компании.
Проверьте себя на вступительном тесте и смотрите программу детальнее по .

Помогла статья? Есть возможность отблагодарить автора

Автор Zerox

Zerox
Владимир, системный администратор, автор сайта. Люблю настраивать сервера, изучать что-то новое, делиться знаниями, писать интересные и полезные статьи. Открыт к диалогу и сотрудничеству.

4 комментария

  1. Аватар

    Доброе.
    Ждать применнения GP на тестовой машине не надо. Достаточно выполнить gpupdate /force

    • Zerox

      К сожалению, эта команда не всегда помогает. Зачастую, к применению политики приводит только перезагрузка компьютера.

  2. Аватар

    Эта команда помогает в 99.9% случаев.

  3. Аватар
    Алексей

    Правильный вариант это добавлять authenticated users во вкладке Delegation с правами read.

Добавить комментарий

Ваш e-mail не будет опубликован.

Нажимая кнопку "Отправить комментарий" Я даю согласие на обработку персональных данных.