Как правильно создать групповую политику Server 2012 R2?

Question

[N1k1nv]

Приветствую всех!
Задача: создать групповую политику, которая запускает определенный .ехе файлик с определенными ключами и распространить его на все ПК.
Как делаю я: открываю на контроллере домена "Управление групповой политикой", открываю Лес -> Домены -> Название моего домена -> и там делаю "Создать объект групповой политики в этом домене и связать его", автоматом выставляются фильтры безопасности "Прошедшие проверку", т.е. это, так понимаю, все доменные пользователи, кто авторизовались при входе в Windows. Далее, открываю саму политику и выставляю все настройки, указываю сетевой путь до .exe файлика, параметры запуска и т.д. Заметил важный момент: если указать в "общие" - "Выполнять только для зарег. пользователя", и ниже - учетка админа, то политика создаётся и распространяется на ПК, но мне то нужно чтобы он выполнялась "Выполнять все зависимости от регистрации пользователя", т.е. так понимаю, это когда админ не залогинен, то политика будет от его имени выполняться? Если да, то мне так и нужно, только в этом случае политика не применяется и в журнале ошибки постоянно летят:
"Элемент предпочтения компьютер "Start_GPO" в объекте групповой политики "GPOtest {46A131D0-0FA5-4907-8E7B-A40B10C820C2}" не применен по причине ошибки с кодом '0x80070005 Отказано в доступе.' Эта ошибка была отключена.

Answer 1

[20ivs]

указываю сетевой путь до .exe

у пользователей, к которым применяется политика, есть доступ к этой директории?

Comments

[N1k1nv]

да, конечно доступ у всех есть к сетевой шаре

Answer 2

[Виктор]

Далее, открываю саму политику и выставляю все настройки

Вы настраиваете параметры в разделе "Пользователь" или "Компьютер" в политике?
В первом случае, работать будет только при логине, так как в контексте пользователя, во втором случае можно настроить запуск при старте компьютера, выполнятся будет от имени системы.

И, конечно, нужны доступы к директории, как выше написали.
Если у вас домен, можете положить в папку \\имядомена\netlogon, оттуда все могут читать

Comments

[N1k1nv]

в разделе "Конфигурация компьютера" -> "Настройка" -> "Параметры панели управления" -> там "Назначенные задания", создаю задание

[N1k1nv]

Так почему проблема то возникает "Отказано в доступе" ? Что, интересно, не нравится политике?

[Виктор]

N1k1nv, Скажите, а вам не больше ли подойдёт скрипт автозапуска, почему планировщик?
Имейте ввиду, что доступ к шаре нужно дать не пользователю, а компьютеру (или всем на чтение), потому что лезет такое задание не от доменной пользовательской УЗ.

[N1k1nv]

Виктор, можно и скрипт автозапуска запилить, только где его настраивать?

[N1k1nv]

через планировщик то тоже все должно работать, надо просто с проблемой разобраться, что не нравится политике, почему она не применяется.

[Виктор]

N1k1nv, У меня русская винда, каюсь, Политики->Конфигурация Windows->Сценарии->Автозагрузка.
Туда вставляете, bat, cmd и тд.

[Виктор]

N1k1nv, Вы проверили, может ли недоменная УЗ запустить ваш файл с указанной шары? То есть, есть ли доступ к шаре в для компьютера, а не для доменного пользователя?