Профиль роуминга, GPO и взаимодействие группы безопасности
Я настроил перемещаемые профили (клиент настаивает) в соответствии с этим документом: https://docs.microsoft.com/en-us/windows-server/storage/folder-redirection/deploy-roaming -user-profiles и он работает, но я кое-что не понимаю.
Шаг 2 - Создание группы безопасности. Кажется, что перемещаемый профиль должен быть создан для любого пользователя, которого я помещаю в эту группу, независимо от того, к какой машине он обращается, но для меня это не работает. В моей среде перемещаемые профили применяются только в том случае, если пользователь И компьютер добавлены в группу безопасности.
Что-то не так с моей настройкой или это ожидаемое поведение? Если ожидалось, почему, что мне не хватает? Мне кажется, что политика должна применяться к любому объекту в этой группе, будь то пользователь или компьютер.
Заранее спасибо.
Вы должны предоставить своим компьютерам права «Чтение», Microsoft сообщает, что на шаге 4:
Из-за изменений безопасности, внесенных в MS16-072A, теперь вы должны предоставить Группа прошедших проверку пользователей делегировала разрешения на чтение объекту групповой политики - в противном случае объект групповой политики не будет применяться к пользователям [...]
Шаг 4 .9 :
Выберите вкладку «Делегирование», выберите «Добавить», введите «Прошедшие проверку», выберите ОК, а затем снова нажмите ОК, чтобы принять значение по умолчанию. разрешения.
Итак, предоставьте разрешения «Применить групповую политику» и «Чтение» группе, содержащей пользователей , и «Чтение» группе, содержащей компьютеров (it может быть, например, «Компьютеры домена». Или «Прошедшие проверку пользователи», но дважды проверьте, что вы дали только разрешение «Чтение», а не «Применить групповую политику», иначе ваша фильтрация групп пользователей будет бесполезной).
потому что технически учетная запись компьютера используется для загрузки групповой политики с контроллеров домена, даже для «Пользовательской» части объекта групповой политики (поэтому компьютеры должны иметь возможность читать объекты групповой политики даже для пользовательских настроек).
Вы можете прочтите это сообщение в блоге, если вы хотите получить более подробную информацию об этом: https://docs.microsoft.com/fr-fr/archive/blogs/askds/deploying-group-policy-security-update-ms16-072-kb3163622