пропозиції роботи
Krzysztof
K.
Administrator
systemów IT i sieci
- otwarty na
propozycje...
Temat: Problem GPO - inaccessible!
Windows Server 2008 r2stacja Win10 Prof
Nie korzystam z DFS
Wpięte do AD i stworzone OU a w niej reguła GPO.
Dla przykładu stworzyłem nowe GPO z blokowaniem dostępu do Panelu użytkownikowi. Przypisałem do konkretnego usera.
I niestety reguły nie są stosowane. W Group Pilicy Results jest informacja
{A09DD700-E89A-4C65-BAAF-572D405AD301} corp.local/ou/@User Inaccessible
a w Group Policy Modeling
mam
Deny __ControlPanel corp.local/ou/@User AD (1), Sysvol (65535)
Sprawdziłem, że użytkownik może wejść na sysvol
\\vm1\SYSVOL\corp.local\Policies\{A09DD700-E89A-4C65-BAAF-572D405AD301}
Pokazuje w nim pliki
Prosta reguła bez udziwnień typu z stosowaniem WMI Filtering itd.
Sprawdziłem, czy jest regułą włączona i znajduje się odpowiednim OU.
Zrobiłęm kilka testów jak
- na nowo stworzyłem GPO
- nowy user
- jak ustawie na uwierzytelniony użytkownika to reguła zadziała!
- nie kasowałem, nie modyfikowałem sysvol także uprawnień nie zmieniałem. Także to wykluczyłem przez to iż użytkownik może wejść spokojnie na zasób Sysvol.
- gpupdate /force tu nic nie daje bo reguły przypisywanie użytkownikom działa. Bo po stworzeniu i dodaniu do usera pojawia się regułą w odrzuconych.
- Co dziwne reguła działa gdy przypisze do Authenticated Users w Security Filtering! (Uwierzytelnionych użytkowników)
Ta sytuacja mnie wytrąca bo nie mam pomysłu bo 10 razy sprawdziłem, i przypisywałem GPO do grupy usera czy bezpośrednio także upewniłem się, że znajduje się w odpowiednim OU oraz inne błache rzeczy jakie można popełnić z GPO.
- w logach stacji i serwera nic ciekawego nie znalazłem!
Reguły na komputer działają! Tylko problem jest z regułami na użytkownika. Sprawdziłem czy czasem nie ma GPO wyłączone same reguły na usera. I nic z tych rzeczy. Wszystko włączone.
Ogólnie GPO przypisywane jest do usera ale jakimś cudem nie ma dostępu do reguł GPO przy logowaniu usera do kompa. Stąd komunikat inaccessible. Ale user bez problemu wchodzi na SysVol i danej GPO (po numerze GUID)
Jest jakaś jeszcze opcja, która uniemożliwia odczytanie GPO grupom i userom?
Sprawdziłem dla danej grupy czy usera ma odpowiednie Permissions w zakładce Delegation. Jest książkowo.
Jeszcze nie dawno działało i nagle jebs.Ten post został edytowany przez Autora dnia 17.06.16 o godzinie 20:32
