Почему новая групповая политика не применяется на любой рабочей станции?

Question

[shupike]

Попытался создать новую групповую политику, просто пустую, создал под нее OU, поместил туда нужную рабочую станцию, но ничего не работает. По gpresult /r не видна эта политика в списке (только дефолтовая доменная), даже если просто пару параметров покрутить на уровне пользователя (например, "не отображать громкость в панели задач") - ничего не происходит. Не трогал наследование, вот вообще ничего. Уже существующие политики нормально работают и если в них поменять на пробу подобный параметр - все применяется. Как такое может быть? Уже и имя попробовал другое дать, и OU снес и новый сделал - Link точно есть между политикой и OU.

Comments

[Ziptar]

а почему пустая политика должна хоть к чему то применяться, или политика пользователя применяться к компьютеру?

[shupike]

Ziptar, Ну даже не пустая - я меняю параметры на уровне пользователя и на конечной станции ничего не меняется. Разумеется, выполнив gpupdate /force.

[Ziptar]

shupike, потому что в OU у тебя компьютер, а не пользователь.
Схему "применять политику пользователя для любого пользователя, зашедшего на компьютеры в этом OU" вроде бы через WMI фильтры можно, но сам не делал никогда. Просто так привязать политику пользователя к OU с компьютерами - это так не работает.

[shupike]

Ziptar, Попробовать, может, параметр "Configure User Group Policy Loopback Processing mode" в значение Merge? У работающей соседней политики отличие только на уровне компьютера:

[Ziptar]

shupike, попробуй, не знал, что такое есть.

[MVV]

Попробовать, может, параметр "Configure User Group Policy Loopback Processing mode" в значение Merge?

shupike, Да. Если вы хотите, чтобы политики из раздела конфигурации пользователей применялись из групповой политики, назначенной компьютеру, используйте этот параметр. Потому что в общем случае настройки из раздела конфигурации пользователей применяются только для пользователей, которым эта политика назначена.

[shupike]

Надо же - помогло. И через rsop видны настроенные параметры, и по gpresult /r. Ну то есть для применения на уровне рабочих станций, а не сотрудников, надо всегда выставлять Configure User Group Policy Loopback Processing mode? А там еще есть другое значение - Replace - это что будет означать? То есть настройки пользователя будут ниже по приоритету, чем настройки компьютера?

P.S. Почему дефолтовая политика домена отображается дважды по gpresult /r?

Answer 1

[AntHTML]

А в правах (разрешениях) политики точно не намудрили? Покажите сводку? В фильтре безопасности точно есть "прошедшие проверку" и включенная связь с OU?
А также пробывать лучше, минимум, через полчасика - пока политика на серваке засядет нормально в распространения, особенно если КД не один

Comments

[shupike]

Да вот в том-то и дело, что один-к-одному все, как у существующих политик (ну кроме OU, конечно). Но не работает. Вот сделал скрины в нужных местах.






В начале года буквально делал политику для конкретной рабочей станции с запретом Windows Update - точно так же быстро слепил, сразу все подхватилось. А теперь вот странности какие-то. Контроллера действительно 2, но это никогда не мешало.