Компьютер является членом следующих групп безопасности — не применяется. У кого была такая ошибка?
Добрый день!
Исходные данные:
Доменная сеть на Windows Server 2012 R2 с таким же режимом работы домена. Клиентские компы 99% Windows 10 Pro.
Проблема:
В Active Directory создается группа для фильтрации GPO и туда добавляются компьютеры (к GPO группа пока не привязана и это значения не имеет).
На компьютере делается gpupdate /force и отправляется в ребут. После загрузки делаем gpresult /r /scope computer и видим, что в разделе "Компьютер является членом следующих групп безопасности" группы нет. ОК. Повторяем процедуру gpupdate-reboot-gpresult, результат тот же, группы нет.
Сама группа находилась сначала в отдельном OU, потом была перемещена в Users.
Решение проблемы:
Опытным путем было выяснено, что если на компьютер действует политика назначения программного обеспечения, (не важно какого, проверено на разных политиках) то он не вступает ни в какие группы после перезагрузки, т.е. в разделе "Компьютер является членом следующих групп безопасности" группа не появляется (даже спустя неделю). Как только для тестового компа на политику назначения софта ставится запрет чтения и применения, группа сразу же появляется.
Такое поведение справедливо только для Windows 10, серверные ОС добавлялись без проблем, одна из машин на Windows 7 тоже без проблем приняла группу.
Еще провели эксперимент на свежем тестовом домене, там на Windows 10 такое поведение не подтвердилось. Сервер был 2016-й.
Вопрос:
У кого похожая конфигурация домена (контролер домена = 2012R2, компы = Windows 10), можете проверить? Кто-то сталкивался с таким багом?
Причина понятна, а решение не совсем. То ли у нас домен кривой, то ли ошибка 2012-й / 10-ки и пора переезжать.
Алексей, речь не о перекрывающихся политиках.
Политика назначения софта блокирует применение членства компьютера в группе домена. Членство в группе домена - это не политика.
Дебилизм какой-то усматриваю в данной проблеме я, мой йунный падаван. Причину и следствие путаешь ты, кажется мне.
Групповая политика применяется на клиенских компах, а не компы формируют ее, о йунный падаван. Отредактируй этот параметр политики на контроллере домена, и клиентский комп при перезагруке или принудительном обновлении войдет в эту группу безопасности. Еще раз для упоротых: не надо вводить комп в группу вручную через оснастку «компьютеры и пользователи», если хотите регулировать членство через GPO.
Понятно тебе, падаван, или и дальше тупить будешь?