Почему не применяются политики GPO на члены группы безопасности?

Question

[YgrecK]

Всех приветствую!

Уважаемые знатоки, ткните в какую сторону копать.

Имеется домен (на Win Server 2019 со всеми обновлениями), стоит задача дать некоторым пользователям доступ к старому серверу.

Создал подразделение Old_Server, в ней группу безопасности и общую папку. Далее, в группу добавил необходимых пользователей.



В GPO, создал соответствующий объект групповой политики:



gpupdate /force делал и на сервере и на клиенте. Тем не менее, сетевой диск S не появляется.

Что я делал не так? Что я упустил? Вроде как раньше такая схема работала.

Answer 1

[Роман Безруков]

видимо, GPO Loopback Processing...
1. политика применяется к OU с объектами-компьютерами, а настройки в пользовательской секции
2. в политике в Security Filtering убрать Authenticated Users и добавить группу Old_Server
3. в политике во вкладке Безопасность добавить Authenticated Users с правами Read, у группы Old_Server должны быть Read и Apply group policy
4. включить в политике Loopback Processing (Merge)

не забываем читать логи...

Answer 2

[Alexey Dmitriev]

1. В 2019 маппинг дисков правильнее делать через GPO Preferences и фильтровать его по item-level targeting там же.
2. Стоит понимать, что в общем и целом за исключением очень исключительных случаев, когда без GPO Loopback никак нельзя - политики из Computer Configuration применяются к OU с компьютерами, User Configuration - к пользователям. Ваши скриншоты не несут понимания, что вы это соблюдаете, так как в одной политике включены обе части - и Computer Configuration и User Configuration (а пустые и неиспользуемые части принято выключать для снижения нагрузки на RSOP).

В результате должна получиться политика GPO, прилинкованная к OU со всеми членами группы "Old_Server", либо на OU уровнями выше, без каких либо фильтров за исключением Item-level targeting.

Answer 3

[YgrecK]

Роман Безруков, Alexey Dmitriev
Спасибо, что откликнулись на мой вопрос.

Попробовал ваши рекомендации, увы, результата желаемого не достиг.
Получается только если применяю политику на подразделение выше. Но, тогда диск появляется у всех пользователей, несмотря на наличие/отсутствие фильтра.

Если пользователя перенести из своего подразделения (например, пользователя ENG\Test перенести в Old_Server), тогда этот диск создается корректно, но тогда отваливается диск отдела (который находится в ENG) и, попутно, другие GPO отдела ENG.

Тоесть, в моем случае пользователи находятся в своих подразделения (ACCT, ENG, IT и так далее). В каждом подразделении своя группа безопасности куда они входят и через которую на них распространяются определённые политики.

Мне же через политики нужно создавать этот диск который будет появляться только выборочным пользователям из разных подразделений.

Comments

[Роман Безруков]

я тут еще подумал...
в вашем случае отдельный OU Old_Server вообще не нужен - сервер вы никак не настраиваете, и пользователи на него не логинятся...
как написал Alexey Dmitriev - вам нужна отдельная политика с GPP, в которой Item-level targeting указывает на группу Old_Server. Политика привязывается на уровень выше существующего OU Old_Server.

Если пользователя перенести из своего подразделения (например, пользователя ENG\Test перенести в Old_Server), тогда этот диск создается корректно, но тогда отваливается диск отдела (который находится в ENG) и, попутно, другие GPO отдела ENG.

буквы дисков в политиках случайно не совпадают? проверяйте наследование политик и порядок их применения...

[YgrecK]

Спасибо за помощь. Вроде как завелось.

Переделал таким образом: подразделение Old_Server удалил, группа безопасности Old_Server находится в основной OU.


Создал GPO с соответствующем фильтром



Связал с вышестоящем OU (который замазан на первом скрине). Диск подтягивается к тем кого добавляю в группу Old_Server и перестал выскакивать всем остальным.

Еще раз благодарю!

[Alexey Dmitriev]

YgrecK, месторасположение групп безопасности для политик GPO вообще не имеет значения, зачем вы написали про "группа безопасности Old_Server находится в основной OU"?