Почему не применяются политики в OU?

Question

[berkut333]

На сервере Windows server 2019 развернут домен, созданы политики, но эти политики применяются только в самом верхнем уровне. Ни одно политика не применяется в UO.

Даже Default Domain Controllers Policy не применяется.

Answer 1

[Роман Безруков]

1. Сетевая связность/доступность между КД, между КД и рабочими станциями
2. RSOP, gpresult, привязки политик
3. системные логи на КД и рабочих станциях
4. состояние клиента групповой политики

Даже Default Domain Controllers Policy не применяется

какие ошибки на контроллерах?

Comments

[berkut333]

1. Есть
2. Когда добавляю политику в корень эти инструменты все показывают, все видят, но в UO эти же политики не отображаются вообще.
3. Смотрел, ошибок нет ни там, ни там. По логам обновление политик проходит.
4. Контроллер домена один, на нем тоже ошибок нет.

Answer 2

[berkut333]

Понимаю что мало информации, нет ошибок и собственно идей тоже. Тему можно удалять.

Comments

[Роман Безруков]

Когда добавляю политику в корень эти инструменты все показывают, все видят, но в UO эти же политики не отображаются вообще

речь про отображение в GPMC? они и не должны отображаться на уровне OU, т.к. ваши политики привязаны на уровне домена (на самом верху) и наследуются по дереву. В GPMC у каждого OU из доменного дерева можно посмотреть Group Policy Inheritance и поменять при необходимости
Если вам надо такое поведение поменять - то меняете/убираете наследование и привязываете политику на конкретном OU

[berkut333]

Нет, извините что запутал. Имел ввиду что политика отрабатывает когда находиться в корне, а когда из корня ее удаляешь и назначаешь в UO, то она не работает. Дублирования нет.

[Роман Безруков]

berkut333,

назначаешь в UO, то она не работает

ну а RSOP и gpresult в этом случае что говорят?

Answer 3

[Alexey Dmitriev]

Копать в сторону изучения работы с политиками GPO.
Вы пишите вопросы с такими формулировками, как будто их увидели вчера первый раз. У "неприменения политик" есть много стандартных причин, связанных с их настройками, фильтрацией, наследованием и т.п.. Можете озвучить их, для того, чтобы понять, что вы создали ваши неприменяемые политики корректно?
Откройте книжку и изучайте, или ищите в интернете - для траблшутинга GPO есть много удобных и простых вещей.
А потом приходите сюда и задавайте конкретные вопросы с техническими подробностями.
И п.5.12 https://qna.habr.com/help/rules неплохо бы изучить

Answer 4

[MVV]

У политик есть две части (конфигурация и предпочтения) - для компьютера и для пользователя. Каждая часть применятеся для иерархии подразделений(OU), где находится учетная запись соответственно компьютера и пользователя.
Давайте я попробую угадать: вы настроили в политике часть, применяемую для пользователя, и привязали ее к OU, где находится учетная запись компьютера, так? Так оно по умолчанию не работает. Что делать - это зависит от того, что вы хотите. Если вам нужно настроить политику для пользователя независимо от компьютера, где он работает - привяжите политику к подразделению, где находится учетная запись пользователя. Если вам нужно настроит политику для пользователя, чтобы она применялась на компьютерах указанного подразделения - включите в части политики для компьютера действующей на это подразделение режим замыкания (loopback processing).