Показы GPO применяются в пользовательских настройках, но содержит только настройки компьютера
У меня проблемы с моими политиками и их применением на моем компьютере с Windows 10.
У меня есть несколько объектов групповой политики, применяемых на верхнем уровне домена, некоторые содержат только параметры компьютера, некоторые содержат только параметры пользователя, а некоторые содержат и то, и другое.
Если я сделаю GPresult / r, я увижу, что объект групповой политики применяется в пользовательских настройках, который содержит настройки пользователя и компьютера. Я вижу, что объект групповой политики применяется в пользовательских настройках, даже если эта политика НЕ содержит пользовательских настроек. Наконец, я могу видеть, что объект групповой политики применяется к пользовательским настройкам, который ДЕЙСТВИТЕЛЬНО содержит пользовательские настройки.
Что еще более странно,
Обратите внимание, что у меня включен режим обратной связи, поэтому они появляются дважды.
РЕДАКТИРОВАТЬ : Текущие настройки делегирования
Наша политика домена по умолчанию в настоящее время имеет следующие настройки:
Владелец-создатель - специальный
Авторизованные пользователи - чтение, применение
Система - все, кроме полного контроля и применения
Администраторы домена - чтение, запись, создание дочерних объектов
Компьютеры домена - чтение, применение
Администраторы предприятия - чтение, запись , создайте дочерние объекты
Контроллеры домена предприятия - прочтите
РЕДАКТИРОВАТЬ :
Итак, после воссоздания объекта групповой политики «DOM-IE-CompatView» с точно такими же настройками, как и раньше, он больше не отображается как «Не применяется (причина неизвестна) "
Следует ли мне использовать dcgpofix для восстановления политики домена по умолчанию до настроек по умолчанию?
Поэтому я не смог определить основную причину проблемы, но после установки юбилейного обновления все мои примененные объекты групповой политики отображаются правильно, а ошибочные, в которых указано, что они не применяются (причина неизвестна), больше не появляются.
Объекты групповой политики применяются, поскольку параметры конфигурации компьютера и пользователя оцениваются, если вы не настроите состояние объекта групповой политики (на вкладке «Подробности» объекта групповой политики) на Параметры конфигурации пользователя отключены . Только тогда они не будут применяться. Механизм групповой политики не знает, что параметры пользователя не настроены, поэтому он применяет объект групповой политики, после чего расширения на стороне клиента оценивают объект групповой политики, чтобы увидеть, есть ли какие-либо параметры, за которые они несут ответственность и которые необходимо применить. . Никакие фактические параметры пользователя не настраиваются с помощью объекта групповой политики, поскольку у вас нет параметров пользователя, настроенных в объекте групповой политики, но механизм групповой политики, тем не менее, должен применить объект групповой политики и позволить CSE оценить параметры объекта групповой политики, которые им, возможно, потребуется настроить. Если вы хотите, чтобы подсистема групповой политики не применяла GPO, вам необходимо установить статус GPO на Параметры конфигурации пользователя отключены .
Эта статья даст вам лучшее представление о том, как работает обработка групповой политики. Я думаю, что вас больше всего интересует раздел, обозначенный:
Как механизм групповой политики обрабатывает клиентские расширения :
https://technet.microsoft.com/en-us/library/ cc784268 (v = ws.10) .aspx
Можете ли вы опубликовать снимок экрана вкладок «Область действия», «Подробности» и «Делегирование» политики домена по умолчанию?
Вы предоставили не очень много информации, но якобы у вас не включена поддержка аппаратной виртуализации. Вы должны зайти в свой BIOS (обычно нажмите «Удалить» во время загрузки) и включить функцию VT-x (для процессоров Intel) или функцию AMD-V (для процессоров AMD). Не зная, какой у вас компьютер, я не могу предоставить никакой другой информации. В зависимости от вашего оборудования эта функция может быть недоступна. Вот ссылка на более подробные инструкции:
https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/5/html/Virtualization/sect-Virtualization-Troubleshooting-Enhibited_Intel_VT_and_AMD_V_virtualization_https: //www.intel_VT_and_AMD_V_virtualization_http: //www.intel_VT_and_AMD_V_virtualization_http: //www.intel_vt_and_AMD_V_virtualization_https: //www.interprise_virtualization_hdware_121 --458996- Произошло серьезное изменение в работе разрешений групповой политики. Если вы применили патч KB3163622 и используете фильтрацию безопасности для определения того, как применяются объекты групповой политики, вам, вероятно, придется внести некоторые изменения в схему разрешений почти для каждой групповой политики. Вот статья, в которой рассказывается о том, что изменилось и как решить эту проблему. проблема:
http://www.infoworld.com/article/3084930/microsoft-windows/microsoft-acknowledges-permission-problems-with-ms16-072-patches-kb-3159398-3163017-3163018-3163016.html По сути, вам нужно убедиться, что каждый GPO может быть прочитан компьютерами домена и / или аутентифицированными пользователями. Для этого используйте инструмент RSAT управления групповой политикой и перейдите к своим объектам групповой политики. Перейдите на вкладку «Делегирование» и убедитесь, что компьютеры домена и / или прошедшие проверку пользователи имеют разрешения на чтение. Для объектов групповой политики, у которых отсутствуют эти разрешения, необходимо нажать кнопку «Дополнительно ...» и добавить права «Чтение» для прошедших проверку пользователей и / или компьютеров домена. НЕ добавляйте разрешение «Применить групповую политику», если только вы хотите, чтобы политика применялась повсеместно. После этогоу вас должна быть возможность запустить GPUPDATE / FORCE / BOOT, чтобы вернуть ваши системы в хорошее состояние.