Архив метки: gpo

Применяются не все политики безопасности (GPO)

Добавить комментарий

Столкнулся с такой хренью – на некоторых компах применялись не все политики безопасности. После танцев с бубном и курения гугла, була найдена статья с описанием этой проблемы.

Вкратце: Microsoft выпустило обновление, после которого все политики на комп пользователя читались от имени его компьютера. Тоесть если политика была нацелена на группу пользователей, то компьютер не имел доступа к этой политике и не мог ее считать.
Решение: делегировать права на чтенеие таких политик компьютеру или группе компьютеров (Domain computers) или перенести политику на OU и применить ее на группу “Прошедшие проверку”.

Ссылка на статью

Порядок применения групповых политик

Добавить комментарий

В очередной раз попав в ситуацию, когда я с первого раза “не попал” на нужный результат при выполнении групповых политик, пришлось погуглить и сделать напоминалку.
Итак, порядок применения групповых политик (контроллер домена 2008R2):
1. Локальные политики.
2. Политики, назначенные на сайт.
3. Политики домена.
4. Политики подразделений (Organization Unit).

Политики домена и подразделений обрабатываются согласно порядку назначения (Link Order). Политики обрабатываются в обратном порядке (снизу вверх), т.е. политика с номером 1 отработает последней. При необходимости этот порядок можно изменить, выделив политику и передвинув ее с помощью соответствующих стрелок (выше, ниже, в начало, в конец).

Получается, что общие полити должны обрабатываться первыми, быть внизу списка, а частные, в которых имеются исключения, позднее и быть выше.