Почему не применяются групповые политики (WIndows Server 2019)?

Question

[Юрий Ерусалимский]

Как-то странно работают групповые политики в домене. Сам домен весьма простой, один контроллер домена на Windows Server 2019, несколько десятков машин внутри той же подсети, которые выходят в сеть Интернет. На контроллере домена заведены политики, без каких либо WMI фильтров, запретов наследования политик. У всех политик указано в фильтре безопасности группа пользователей "Прошедшие проверку", у них же всех в правилах делегирования абсолютно одинаково выглядят правила делегирования, прошедшие проверку имеют права на чтение политик. НО! Прикол в том, что только несколько политик при этом реально распространяются на машины, остальные машины в принципе не видят как таковые. Проверял через "gpupdate /force" и "gpresult /r" на итоговых машинах, система на конечном компе отчитывается об успешном обновлении политик для компьютера и пользователя, однако не видит большую часть политик (именно не отображает, даже не показывает, что они отфильтрованы, как будто их в принципе нет). Есть какие-то идеи, как это побороть?
Инструкции общего характера я уже все просмотрел, в начале сабжа написал, что с правами всё в норме, политики не работают, хоть я их введу в корне домена, хоть для конкретной OU, не видны в обоих случаях. Кстати говоря, те политики, что видны компам, находятся в корне домена с такими же политиками по настройкам, которые при этом не видны конечным компам.

Comments

[Alexey Dmitriev]

Сделайте gpresult /h gpres.html от администратора и поиском по html файлу ищите политики, которые как вам кажется - некорректно применяются. Они там есть? в Denied Policies например? Или их вообще нет?
Если нет-они или не прикатились на машину (gpupdate /force), либо что-то их блокироует - например на OU заблокировано наследование политик.
Прилинкуйте проблемную политику напрямую к OU объектов (компьютеры, пользователи) - к которым она должна применяться.

Answer 1

[ettaluni]

Может тебе нужно применить политики для компьютера, а настроил ты их для пользователя? А gpresult показывает политики для компьютера, gpresult /USER вроде, чтобы для юзера показала. И вообще перезагружаться нужно, когда с политиками мучаешься.
Также тебе могут мешать другие политики на которых настроено замыкание, тебе может мешать твоя сеть когда политики не успевают их применить, и пес знает что еще. Советую любые новые политики отрабатывать на тестовой машине.