У меня есть иерархия GPO, подобная этой:
На клиентском компьютере, используя gpresult -r
, я вижу Global
наложил штраф. Однако отключить Control.exe
не удалось.
Параметры, которые я пытаюсь настроить:
Область действия и фильтрация:
Нет фильтрации VMI.
Я убедился в следующем:
OU_One
. gpupdate / force
. Почему Применяется глобальный
, но Отключить Control.exe
нет?
Основываясь на ваших ответах в комментариях и чате, я думаю, что вы делаете это намного лучше сложнее, чем должно быть. Вы не должны использовать Loopback-обработку, если у вас нет очень конкретных причин, по которым она вам нужна.
Чтобы объект групповой политики блокировал панель управления от всех пользователей в группе Подрядчики
на любом компьютере , вам нужно:
прошедших проверку пользователей
из фильтрации безопасности GPO OU_One
OU подрядчики
(обратите внимание, что фильтрация безопасности означает, что вы можете применить этот объект групповой политики на уровне домена, если подрядчики распределены out too much) Фильтрация безопасности использует группы только как способ организации вещей (пользователей, компьютеров и т. д.). Объекты (пользователи, компьютеры и т. Д.) Должны по-прежнему находиться в подразделении, к которому привязан GPO.
Петлевой фильтр обычно используется для таких вещей, как изменение политик пользователей на серверах терминалов (удаленный рабочий стол), где вы хотите применить пользовательские настройки но только на определенных компьютерах.
Групповая политика, несмотря на ее название, не применяется к группам безопасности. Групповая политика применяется к пользователям и компьютерам. Вы можете отфильтровать групповую политику, чтобы она применялась только к определенным пользователям или компьютерам, добавив этих пользователей или компьютеры в группы безопасности, а затем используя эти группы безопасности в качестве фильтра для вашего объекта групповой политики.
Ваша проблема в том, что группа безопасности, которую использует этот пользователь является членом вашей целевой OU, но учетная запись для этого пользователя , а не в целевой OU. Вам необходимо переместить учетную запись этого пользователя в целевое подразделение. Параметр обработки политики обратной связи из объекта групповой политики не требуется, и его следует удалить.
Кроме того, в фильтре для объекта групповой политики указаны прошедшие проверку пользователи, что означает, что объект групповой политики будет применяться ко всем пользователям, входящим в область действия управление GPO (все пользователи в вашем OU).Вам необходимо удалить прошедших проверку пользователей из фильтра безопасности объекта групповой политики. Когда вы это сделаете, обязательно следуйте инструкциям по приведенной ниже ссылке, чтобы убедиться, что ваш объект групповой политики настроен должным образом.