Почему не применяется политика GPO?

Question

[Дмитрий]

Приветствую. Есть домен, в корне лежит Default Domain Policy. Все изменения в этой политике нормально отражаются на клиентах. Так же в домене создано подразделение и ему назначена групповая политика. И вот изменения в этой политике не применяются на ПК в этом подразделении.
Windows Server 2012R2

Comments

[Вадим Чопоров]

Она не перекрывается дефолтной - они вроде применяются снизу вверх, более широкая перекрывает более узкую. Gpresult /r /scope - на клиентах применилась политика? gpupdate /force не помогает?

[Дмитрий]

Вадим Чопоров: да нет возможности на клиенте посмотреть =(

[Вадим Чопоров]

В результирующей политике она применяется к каком-нибудь компьютеру? Есть ли у вас в делегировании доменные компьютеры или аутентифицированные пользователи?

[Дмитрий]

Вадим Чопоров: аутентифицированные пользователи есть конечно.

[Вадим Чопоров]

Дмитрий: на контролере, когда делаете результирующую политику по интересующему компьютеру - она применяется?

[Дмитрий]

Вадим Чопоров: что значит результирующую? Есть политика в корне домена, есть в подразделении. Та что в подразделении должна применяться в конце и перезаписывать параметры вышестоящей.

[Вадим Чопоров]

Дмитрий: в оснастке Управление групповой политикой есть "моделирование" и "результаты" групповой политики. В результатах - можно сделать отчет по примененным политикам к конкретному компьютеру или пользователю - в этом отчете Ваша политика применяется к необходимому компьютеру?

[Дмитрий]

Вадим Чопоров: RPC выключен на машинах.

[Вадим Чопоров]

Дмитрий: сложно тогда что то предполагать, может есть возможность создать тестовую машинку (виртуалку), загнать в домен, в тоже подразделение, и на ней все посмотреть.

[Дмитрий]

Вадим Чопоров: да, вы правы, сейчас подниму и посмотрю.

[Дмитрий]

SyavaSyava: я вижу что вы умнее Индусов. Не было бы проблемы - Вы тоже не нужны были бы. А так проблема есть, а толку нет.

[Дмитрий]

Вадим Чопоров: gpresult говорит что применена Default Domain Policy которая в корне.

[Вадим Чопоров]

Дмитрий: Она и будет применяться, та, что более узкая, если применяется и конфликтует с более высокой (DDP) будет перетирать параметры более широкой, т.к. применяется позже - но применяться будут обе. Ваша вторая политика в gpresult не попадает?

[Вадим Чопоров]

Дмитрий: и зачем вы RPC отключаете?

[Дмитрий]

Вадим Чопоров: верно, не попадает.

[Дмитрий]

Вадим Чопоров: Оно по умолчанию в дефолтной политике отключено.

[Дмитрий]

Вадим Чопоров: причем в моделировании на контроллере домена к группе применяются две политики. Default и та, что я создал в этой группе(OU)

[Вадим Чопоров]

Дмитрий: вот это прочитайте https://habrahabr.ru/post/304202/ - возможно ваш случай, и я бы в дефолтной включил RPC. ЗЫ у меня была трабла описанная в статье.

Answer 1

[klimat]

rsop.msc на клиенте что говорит в свойствах компьютера/пользователя?

Comments

[Дмитрий]

Говорит, что нет там параметра из политики OU

Answer 2

[Дмитрий]

gpresult говорит что применена Default Domain Policy которая в корне домена.
Журнал говорит: Параметры групповой политики для этого компьютера обработаны успешно. Были обнаружены и применены новые параметры из 1 объектов групповой политики.