Проблема: Групповые политики фильтруются по неизвестной причине.
При создании групповой политики, которая должна применится к некоторой отдельной группе пользователей в OU, удобно использовать раздел Security Filtering:
Однако, данная политика не применяется. Если выполнить на клиенте gpresult -r имеем следующий вывод:
Следующие политики GPO не были применены, так как они отфильтрованы
--------------------------------------------------------------------
RDS Links
Фильтрация: Не применено (причина неизвестна)
Решение
Обновление MS16-072: Security update for Group Policy: вносит следующие изменения
MS16-072 изменяет контект безопасности с которым пользовательские групповые политики запрашиваются с контроллера домена (КД). Если MS16-072 не установлен, пользовательские групповые политики запрашиваются с пользовательским контектом безопасности. Если же MS16-072 установлен, пользовательские групповые политики запрашиваются с КД с использованием контекта безопасности компьютера.
Выводы:
- Для каждого GPO, где используется Security Filtering по пользователю или группе, необходимо на закладку "Delegation" добавить группу "Authenticated users" с разрешением на чтение "READ". Содержание Security filtering можно не изменять.
- Для каждого GPO где используется Security Filtering по компьютеру, необходимо на закладку "Delegation" добавить группу "Domain Computers" с разрешением на чтение "READ". Содержание Security filtering можно не изменять.