Фильтруются групповые политики: причина неизвестна

Проблема: Групповые политики фильтруются по неизвестной причине.

При создании групповой политики, которая должна применится к некоторой отдельной группе пользователей в OU, удобно использовать раздел Security Filtering:

Раздел "Security Filtering"

Однако, данная политика не применяется. Если выполнить на клиенте gpresult -r имеем следующий вывод:

 Следующие политики GPO не были применены, так как они отфильтрованы
    --------------------------------------------------------------------
        RDS Links
            Фильтрация:  Не применено (причина неизвестна)

Решение

Обновление MS16-072: Security update for Group Policy: вносит следующие изменения

MS16-072 изменяет контект безопасности с которым пользовательские групповые политики запрашиваются с контроллера домена (КД). Если MS16-072 не установлен, пользовательские групповые политики запрашиваются с пользовательским контектом безопасности. Если же MS16-072 установлен, пользовательские групповые политики запрашиваются с КД с использованием контекта безопасности компьютера.

Выводы:

  1. Для каждого GPO, где используется Security Filtering по пользователю или группе, необходимо на закладку "Delegation" добавить группу "Authenticated users" с разрешением на чтение "READ". Содержание Security filtering можно не изменять.
  2. Для каждого GPO где используется Security Filtering по компьютеру, необходимо на закладку "Delegation" добавить группу "Domain Computers" с разрешением на чтение "READ". Содержание Security filtering можно не изменять.

Добавленная группа "Authenticated users" с правом чтения

 


Похожие материалы

Комментарии