Группы запрета gpo как настроить?

Question

[Александр Мороз]

Добрый день, подскажите пожалуйста в чем ошибка.
создается gpo применяется на всех , создается группа пользователей Х, на х в делегировании ставится запрет применения, но всеравно применяется.
создается gpo применение только на У, но не применятся. гугл дал ответ что там какойто патч, надо через запрет идти, но запрет тоже не работает.

Answer 1

[Alexey Dmitriev]

Такого не может быть - права Deny во вкладке Delegation - да и везде в ACL - имеют приоритет над разрешающими.
А вот обновление членства в группе и TGT билете - не мгновенное - если не было команды на обновление билета или ребута машины, после которого билет обновится.

Comments

[Александр Мороз]

если добавить пользователя отдельно без списка запрет работает, если создать группу в ад и поместить пользователя туда, то не работает

[Александр Мороз]

проверяю через результаты или gpupdate /force

[Alexey Dmitriev]

Александр Мороз, мне нечего добавить к своему первому сообщению.
Права всегда можно проверить через Effective Access (Delegation - Advanced - Advanced)
А какая-либо конкретика у вас отсутствует.

[MVV]

если добавить пользователя отдельно без списка запрет работает, если создать группу в ад и поместить пользователя туда, то не работает

Александр Мороз, членство в пользователя группах фиксируется в билете Kerberos (в PAC), выданном пользователю и храняшимся на ПК. А билет может жить долго.
Чтобы его сбросить на ПК - используйте команду klist -purge из сканса пользователя, а потом выйдите из системы и зайдите в нее повторно.
PS Перезагрузка, естественно, тоже решает проблему.

[Александр Мороз]

всем спасибо да, именно так и было

Answer 2

[AmanitaRubescens]

gpupdate /force
Перезагрузить кампуктер

Comments

[Александр Мороз]

ага

[Александр Мороз]

спасибо.