Почему не применяются новые GPO?

Question

[vitz84]

Контроллер на Windows server 2019 Standart
Заметил тут недавно, что новые GPO которые создаю не применяются на компах, тогда как старые работают.

Если в старых GPO которые применяются на компе внести изменения, комп спокойно их считывает и применяет, а вот новые даже не видит.

ДНС, время, сетка все работает идеально, но вот новые политики вообще никак.
в sysvol они есть, с компа захожу и нет ограничений на считывание.

как будто прав каких то не хватает чтобы она понимала что этот комп должен применить к этому компу данную политику. (других мыслей нет)
подскажите куда копать

Comments

[Alexey Dmitriev]

Вы в gpresult или rsop хотя бы смотрели?

[Сергей Тарасов]

перед gpresult неплохо бы сделать gpupdate /force из контекста пользователя

[vitz84]

Alexey Dmitriev, пардон, но вы хоть читали мое сообщение?

[vitz84]

Сергей Тарасов, без комментариев

[Роман Безруков]

У новых политик что есть в Security Filtering? Authenticated Users и/или конкретные группы, компьютеры и т.д.? Права Apply включены для объектов, к которым применяются политики?

[vitz84]

Роман Безруков, в новых политиках по дефолту, ничего не трогается при создании

[Alexey Dmitriev]

vitz84, а вы мое? В каком состоянии появляются новые политики в gpresult /h?

[Модератор]

Не надо ставить как можно больше тэгов. Лучше оставить один, но конкретный, с которым проблема.
См.п.3.1 Регламента. Также обратите внимание на п.3.4

[vitz84]

Модератор, спасибо, принял к сведенью

[vitz84]

Alexey Dmitriev, так они тут и не отображаются, тут только старые политики висят и работают, а новые которые создаю их нет тут и даже в списке этой команды - Отклоненные объекты группой политики.

в этом то и прикол что политики создаются, появляются в sysvol вроде бы все ок и хорошо, но компы их не подхватывают, смена или добавление прав https://disk.yandex.ru/i/vfGtNMIMsrP-YQ тоже не дает никаких эффектов

[Alexey Dmitriev]

vitz84, они прилинкованы к соответствующим OU?

Answer 1

[MVV]

Если КД единственный, то чтобы копать запустите консоль управления групповой политикой, зайдите в просмотр результатов применения групповой политики и запросите их с нужного вам компьютра.

Если вдруг есть ещё КД, то для начала надо проверить состояние репликации политик на них, это можно сделать все в той же консоли.

И ещё один частный случай: если политики применяются на пользователей (особенно - если не на всех, а на группу), проверьте есть ли разрешения на чтение этих политик у компьютера: с некоторого (хоть и довольно старого) момента это стало необходимым.

Comments

[vitz84]

спасибо за оперативный ответ
запускал просмотр результата на этот ПК и самое удивительное, что в на компьютер это правило стоит что применилось а на вкладке пользователь нет
Хотя у меня стоит что правило применять на прошедшие проверку т..е по факту на всех должно примениться., но почему не проходит хрен знает

КД один в системе

а как проверить разрешение на чтение политик для компа, не совсем понял этот момент.