Групповые политики не применяются в Windows 10

Обновлено: 21.11.2024

Рекомендации по разработке групповой политики

Групповая политика — это набор параметров в реестре Windows, которые управляют безопасностью, аудитом и другими операционными режимами. Например, групповая политика позволяет запретить пользователям доступ к определенным файлам или параметрам в системе, запускать определенные сценарии при запуске или завершении работы системы или принудительно открывать определенную домашнюю страницу для каждого пользователя в сети. Ниже приведены рекомендации по групповой политике Active Directory, которые помогут вам защитить ваши системы и оптимизировать производительность групповой политики.

Не изменять политику домена по умолчанию и политику контроллера домена по умолчанию

Использовать политику домена по умолчанию только для учетной записи, блокировки учетной записи, пароля и параметров политики Kerberos; поместите другие настройки в другие объекты групповой политики. Политика домена по умолчанию применяется на уровне домена, поэтому она влияет на всех пользователей и компьютеры в домене.

Использовать политику контроллера домена по умолчанию только для политики назначения прав пользователя и политики аудита; поместите другие настройки в отдельные объекты групповой политики.

Однако даже для перечисленных выше политик лучше использовать отдельные объекты групповой политики.

Создайте продуманную структуру организационного подразделения (OU) в Active Directory

Наличие хорошей структуры подразделения упрощает применение и устранение неполадок групповой политики. Не смешивайте разные типы объектов AD в одних и тех же OU; вместо этого разделите пользователей и компьютеры на их собственные подразделения, а затем создайте вложенные подразделения для каждого отдела или бизнес-функции. Размещение пользователей и компьютеров в отдельных подразделениях упрощает применение компьютерных политик ко всем компьютерам и пользовательских политик только к пользователям. Легче создать объект групповой политики и связать его со многими OU, чем связать его с одним OU и иметь дело с компьютерами или пользователями, на которых политика не должна влиять. Однако не планируйте архитектуру вашей организационной единицы исключительно на основе того, как вы будете связывать с ней групповые политики.

Дайте объектам групповой политики описательные имена

Возможность быстро определить, что делает объект групповой политики, просто взглянув на имя, значительно упростит администрирование групповой политики. Присвоение объекту групповой политики общего имени, такого как «настройки компьютера», может запутать системных администраторов. Например, вы можете использовать следующие шаблоны именования:

• Политики для учетных записей пользователей: U_
• Политики для учетных записей компьютеров: C_
• Политики для компьютеров и учетных записей пользователей: CU_

Вот несколько примеров использования этих правил именования:

• U_SoftwareRestrictionPolicy
• U_Установка программного обеспечения
• C_DesktopSettings
• CU_AuditSettings

Создавайте каждый объект групповой политики в соответствии с его назначением, а не местом, с которым вы его связываете. Например, если вы хотите, чтобы объект групповой политики содержал параметры защиты сервера, поместите в него только параметры защиты сервера и пометьте его соответствующим образом.

Добавьте комментарии к своим объектам групповой политики

Помимо создания хороших имен, вы должны добавить комментарии к каждому объекту групповой политики, объясняющие, почему он был создан, его цель и какие параметры он содержит. Эта информация может оказаться бесценной годы спустя.

Не устанавливать объекты групповой политики на уровне домена

Каждый объект групповой политики, установленный на уровне домена, будет применяться ко всем объектам пользователей и компьютеров. Это может привести к тому, что некоторые параметры будут применены к объектам, которые вам не нужны. Таким образом, единственным объектом групповой политики, который должен быть установлен на уровне домена, является политика домена по умолчанию. Другие правила лучше применять на более детальном уровне.

Применить объекты групповой политики на корневом уровне подразделения

Применение объектов групповой политики на уровне подразделения позволит подчиненным подразделениям наследовать эти политики; вам не нужно связывать политику с каждой дочерней организационной единицей. Если у вас есть пользователи или компьютеры, которым вы не хотите наследовать параметр, вы можете поместить их в их собственное подразделение и применить политику непосредственно к этому подразделению.

Не используйте корневые папки «Пользователи» или «Компьютеры» в Active Directory

Эти папки не являются организационными единицами, поэтому с ними не могут быть связаны объекты групповой политики. Единственный способ применить политики к этим папкам — связать их с уровнем домена, но, как указано выше, этого следует избегать. Поэтому, как только в этих папках появится новый пользователь или объект компьютера, немедленно переместите его в соответствующую OU.

Не отключайте объекты групповой политики

Если объект групповой политики связан с подразделением и вы не хотите, чтобы он применялся, удалите ссылку вместо отключения объекта групповой политики. Удаление ссылки из OU не удалит GPO; он просто удаляет ссылку из OU и его настройки не применяются. Отключение объекта групповой политики предотвратит его полное применение в домене, что может вызвать проблемы, поскольку если вы используете эту групповую политику в другом подразделении, она больше не будет там работать.

Внедрить управление изменениями для групповой политики

Групповая политика может выйти из-под контроля, если вы позволите всем своим администраторам вносить необходимые изменения. Но отследить изменения в групповой политике может быть сложно, потому что журналы безопасности не могут дать вам полной картины того, какой именно параметр был изменен и как.Вы можете узнать, как отслеживать изменения в групповой политике, в Кратком справочном руководстве по аудиту групповой политики.

Наиболее важные изменения GPO должны обсуждаться с руководством и полностью документироваться. Кроме того, вы должны настроить оповещения по электронной почте об изменениях в критических объектах групповой политики, потому что вам нужно знать об этих изменениях как можно скорее, чтобы избежать простоя системы. Вы можете сделать это с помощью сценариев PowerShell или, что более удобно, с помощью программного обеспечения для ИТ-аудита, такого как Netwrix Auditor for Active Directory.

Избегайте использования блокирующего наследования политики и принудительного применения политики

Если у вас хорошая структура OU, вы, скорее всего, сможете избежать использования блокирующего наследования политик и принудительного применения политик. Эти параметры могут затруднить устранение неполадок и управление объектами групповой политики. Блокировка наследования политики и принудительное применение политики никогда не требуются, если структура подразделения спроектирована правильно.

Используйте небольшие объекты групповой политики для упрощения администрирования

Наличие небольших объектов групповой политики упрощает устранение неполадок, управление, разработку и внедрение. Вот несколько способов разбить объекты групповой политики на более мелкие политики:

• Настройки браузера
• Настройки безопасности
• Настройки установки программного обеспечения
• Настройки AppLocker
• Настройки сети
• Сопоставления дисков

Однако имейте в виду, что более крупные объекты групповой политики с большим количеством настроек потребуют меньше обработки при входе в систему (поскольку системам приходится делать меньше запросов на информацию об объектах групповой политики); загрузка многих небольших объектов групповой политики может занять больше времени. Однако большие объекты групповой политики могут иметь конфликты настроек объектов групповой политики, которые необходимо устранять, и вам придется уделять больше внимания наследованию объектов групповой политики.

Ускорение обработки GPO за счет отключения неиспользуемых компьютеров и пользовательских конфигураций

Если у вас есть объект групповой политики с настройками компьютера, но без пользовательских настроек, вам следует отключить конфигурацию пользователя для этого объекта групповой политики, чтобы повысить производительность обработки групповой политики при входе в систему. Вот некоторые другие факторы, которые могут вызвать медленное время запуска и входа в систему:

• Сценарии входа, загружающие большие файлы
• Сценарии запуска, загружающие большие файлы
• Сопоставление удаленных домашних дисков
• Развертывание огромных драйверов принтеров в настройках групповой политики
• Злоупотребление фильтрацией групповой политики по членству в группе AD
• Использование чрезмерных фильтров инструментария управления Windows (WMI) (дополнительную информацию см. в следующем разделе)
• Личные папки пользователей применяются через объект групповой политики.

Избегайте использования большого количества фильтров WMI

WMI содержит огромное количество классов, с помощью которых можно описать практически любые настройки пользователя и компьютера. Однако использование многих фильтров WMI замедлит вход пользователей в систему и приведет к ухудшению работы пользователей. По возможности старайтесь использовать фильтры безопасности поверх WMI, так как они требуют меньше ресурсов.

Используйте циклическую обработку в определенных случаях

Обработка замыкания на себя ограничивает пользовательские настройки компьютером, к которому применяется объект групповой политики. Обработка замыкания на себя обычно используется на терминальных серверах: пользователи входят на сервер, и вам нужно применять определенные пользовательские настройки, когда они входят только на эти серверы. Вам необходимо создать объект групповой политики, включить циклическую обработку и применить объект групповой политики к организационной единице, в которой есть серверы.

Используйте «gpresult» для устранения проблем с GPO

Команда gpresult отображает информацию о групповой политике для удаленного пользователя и компьютера. Кроме того, он показывает, сколько времени требуется для обработки объекта групповой политики. Эта команда доступна только в Windows 10 и Windows Server 2016. У утилиты gpresult много настроек; вы можете просмотреть их, введя команду «gpresult /?».

Использовать расширенное управление групповыми политиками (AGPM)

Создайте резервную копию групповых политик

Настройте ежедневное или еженедельное резервное копирование политик с помощью сценариев Power Shell или стороннего решения, чтобы в случае ошибок конфигурации вы всегда могли восстановить свои настройки.

Рекомендации по настройке GPO

Ограничение доступа к панели управления в Windows

Важно ограничить доступ к панели управления, даже если пользователь не является администратором на компьютере с Windows. Вы можете полностью заблокировать доступ к панели управления или разрешить ограниченный доступ определенным пользователям с помощью следующих политик:

• Скрыть указанные элементы панели управления
• Запретить доступ к панели управления и настройкам ПК
• Показать только указанные элементы панели управления

Не разрешать съемные носители

Съемные носители могут быть опасны. Если кто-то подключает зараженный диск к вашей системе, это распространяет вредоносное ПО по всей сети. В офисной среде лучше всего полностью отключить съемные диски с помощью политики «Запретить установку съемных устройств». Вы также можете отключить DVD-диски, компакт-диски и даже дисководы для гибких дисков, если хотите, но в первую очередь это касается съемных дисков.

Отключение автоматического обновления драйверов в вашей системе

Обновления драйверов могут вызвать серьезные проблемы у пользователей Windows: они могут вызвать ошибки Windows, падение производительности или даже ужасный синий экран смерти (BSOD). Обычные пользователи не могут отключить обновления, поскольку это автоматизированная функция. Параметры групповой политики Windows можно изменить, чтобы отключить автоматическое обновление драйверов, с помощью политики «Отключить поиск драйверов устройств в Центре обновления Windows». Однако вы должны указать идентификаторы оборудования устройств, на которых вы хотите остановить обновления. Вы можете найти эту информацию в диспетчере устройств.

Убедитесь, что доступ к командной строке ограничен

Командная строка очень полезна для системных администраторов, но в неумелых руках она может превратиться в кошмар, поскольку дает пользователям возможность запускать команды, которые могут нанести вред вашей сети. Поэтому лучше отключить его для обычных пользователей. Это можно сделать с помощью политики «Запретить доступ к командной строке».

Отключите принудительную перезагрузку на своих серверах

Если у вас включен Центр обновления Windows, вы, вероятно, знаете, что Windows вынуждает вас перезагрузить систему после обновления. Но некоторые пользователи не выключают свои компьютеры, уходя с работы, поэтому, если их рабочие столы будут принудительно перезагружены Центром обновления Windows, они могут потерять несохраненные файлы. Вы можете использовать параметры групповой политики, чтобы навсегда отключить эти принудительные перезапуски.

Отключить установку программного обеспечения с помощью AppLocker и политики ограниченного использования программ

Существует множество способов запретить пользователям устанавливать новое программное обеспечение в их системе. Это сокращает объем работ по техническому обслуживанию и помогает избежать очистки, необходимой при установке чего-либо некачественного. Вы можете предотвратить установку программного обеспечения, изменив настройки AppLocker и групповой политики ограничения программ и отключив запуск определенных расширений (например, «.exe»).

Отключите NTLM в вашей сетевой инфраструктуре

NTLM используется для компьютеров, входящих в рабочую группу, и для локальной проверки подлинности. В среде Active Directory необходимо использовать проверку подлинности Kerberos вместо NTLM, поскольку это более надежный протокол проверки подлинности, использующий взаимную проверку подлинности, а не метод запроса/ответа NTLM. NTLM имеет множество известных уязвимостей и использует более слабую криптографию, поэтому он очень уязвим для атак методом грубой силы. Вы должны отключить аутентификацию NTLM в своей сети с помощью групповой политики, чтобы разрешить только аутентификацию Kerberos, но сначала убедитесь, что и Microsoft, и сторонние приложения в вашей сети не требуют аутентификации NTLM.

В этом руководстве по устранению неполадок GPO я попытаюсь рассказать вам о типичных причинах, по которым определенный объект групповой политики (GPO) может не применяться к организационному подразделению (OU) или определенному компьютеру/пользователю домена. Я думаю, что эта статья будет полезна как новичкам, так и опытным администраторам групповых политик AD, чтобы понять, как работают групповые политики и архитектуру GPO. В статье описаны возможные проблемы с применением объектов групповой политики, связанные с параметрами политики на уровне домена, а также устранение неполадок с объектами групповой политики на клиентах Windows. Почти все параметры, описанные в статье, настраиваются с помощью Консоли управления групповыми политиками (GPMC.msc).

Прежде чем устранять неполадки, из-за которых групповая политика не применяется должным образом, убедитесь, что ваша инфраструктура AD работает правильно. Объекты групповой политики в домене зависят от правильного функционирования контроллеров домена и репликации между ними. Мы рекомендуем вам периодически проверять работоспособность ваших контроллеров домена AD с помощью dcdiag и состояние репликации с помощью PowerShell и инструмента repadmin.

Управление областью GPO

Если определенный параметр политики не применяется к клиенту, проверьте область действия объекта групповой политики. Если вы настраиваете параметр в разделе «Конфигурация компьютера», ваша групповая политика должна быть связана с OU с объектами-компьютерами. То же самое верно, если вы устанавливаете свои параметры в разделе «Конфигурация пользователя».

Чтобы применить пользовательские настройки к компьютерам, необходимо включить режим обработки обратной связи GPO (подробнее об этом ниже).

Также убедитесь, что объект, к которому вы пытаетесь применить объект групповой политики, находится в нужном компьютере или пользовательском контейнере AD (OU). Вы можете выполнять поиск по домену с помощью консоли ADUC ( dsa.msc ). Подразделение, в котором находится объект, указывается на вкладке Объект.

Это означает, что целевой объект должен находиться в подразделении, с которым связана политика (или во вложенном контейнере AD).

Как использовать фильтрацию безопасности групповой политики для применения объектов групповой политики к выбранным группам?

Проверьте параметры фильтрации безопасности в своей политике.По умолчанию все новые объекты GPO в домене имеют разрешения для группы «Прошедшие проверку». В эту группу входят все пользователи и компьютеры домена. Это означает, что политика будет применяться ко всем пользователям и компьютерам в пределах ее области действия.

В некоторых случаях вы хотите, чтобы конкретный объект групповой политики применялся только к членам определенной группы безопасности домена (или к определенным пользователям/компьютерам). Для этого необходимо удалить группу «Прошедшие проверку» из фильтра безопасности и добавить в фильтр целевую группу или учетные записи.

Если вы назначили группе фильтр безопасности, убедитесь, что нужный объект является членом этой группы AD.

Кроме того, убедитесь, что группа, которую вы добавили в фильтрацию безопасности, имеет разрешения на чтение и применение групповой политики с установленным флажком параметра Разрешить на вкладке GPO -> Делегирование -> Дополнительно.

Если вы используете нестандартные фильтры безопасности GPO, убедитесь, что нет явного запрета на использование GPO для целевых групп (Запретить).

Фильтрация групповой политики WMI

В GPO можно использовать специальные фильтры WMI. Это позволяет применить политику к вашим компьютерам на основе некоторого запроса WMI. Например, вы можете создать фильтр GPO WMI, чтобы применить политику только к компьютерам с определенной версией Windows, к компьютерам в определенной IP-подсети, только к ноутбукам и т. д.

При использовании фильтрации WMI групповой политики убедитесь, что ваш запрос WMI правильный. Он должен выбирать только те устройства, которые вам нужны, и ваши целевые компьютеры не исключаются. Вы можете протестировать фильтр WMI на любом компьютере с помощью PowerShell:

gwmi -Query 'выбрать * из Win32_OperatingSystem, где версия вроде "10.%" и ProductType="1"

Если запрос возвращает какие-либо данные, к этому компьютеру будет применен фильтр WMI.

Отключить настройки пользователя или компьютера в объекте групповой политики

Как мы уже упоминали, каждый объект групповой политики состоит из двух независимых разделов:

• Конфигурация компьютера — настройки, применяемые к компьютеру;
• Конфигурация пользователя — настройки пользователя.

Если ваш объект групповой политики настраивает только параметры пользователя или только параметры компьютера, вы можете отключить неиспользуемый раздел политики. Это уменьшит трафик объекта групповой политики и позволит сократить время обработки объектов групповой политики на клиентах.

Проверьте состояние объекта групповой политики на вкладке "Сведения" свойств политики в GPMC.msc. Обратите внимание на значение в раскрывающемся списке Статус объекта групповой политики.

Как видите, доступно 4 варианта:

• Все настройки отключены — все настройки политики отключены (объект групповой политики не применяется);
• Параметры конфигурации компьютера отключены — параметры только из конфигурации компьютера вашего объекта групповой политики не применяются;
• Настройки конфигурации пользователя отключены — настройки из раздела конфигурации пользователя не применяются;
• Включено — все настройки GPO применяются к целевым объектам AD (значение по умолчанию).

Делегирование групповой политики

Разрешения, настроенные для политики, отображаются на вкладке "Делегирование" объекта групповой политики. Здесь вы можете увидеть, какие группы могут изменять настройки GPO и применяется ли к ним политика. Вы можете предоставить права на управление объектами групповой политики из этой консоли или использовать мастер делегирования Active Directory в ADUC. Если есть разрешение на доступ «Контроллеры домена предприятия», эта политика может быть реплицирована между контроллерами домена Active Directory (обратите внимание на это, если у вас есть какие-либо проблемы с репликацией объектов групповой политики между контроллерами домена). Разрешения на вкладке "Делегирование" соответствуют разрешениям NTFS, назначенным для каталога политик в папке SYSVOL.

Блокировка наследования и принудительного применения в ссылке групповой политики

Наследование — это одна из основных концепций групповой политики. По умолчанию политики высокого уровня применяются ко всем вложенным объектам в иерархии домена.Однако администратор может заблокировать применение всех унаследованных политик к конкретному подразделению. Для этого щелкните правой кнопкой мыши подразделение в консоли управления групповыми политиками и выберите «Блокировать наследование».

Организационные подразделения с включенным параметром блокировки наследования отмечены синим восклицательным знаком в консоли.

Если групповая политика не применяется к клиенту, проверьте, находится ли он в организационной единице с заблокированным параметром наследования.

Обратите внимание, что доменные политики с включенным свойством Enforced применяются даже к OU с заблокированным наследованием (вы можете увидеть унаследованные политики, примененные к контейнеру, на вкладке Group Policy Inheritance).

Области GPO и порядок обработки политик (LSDOU)

Чтобы запомнить порядок применения групповых политик в домене, запомните аббревиатуру LSDOU. Объекты групповой политики применяются к клиентам в следующем порядке:

1. Локальные политики компьютера (Local), настроенные в консоли редактора Local GPO gpedit.msc (если они настроены неправильно, их можно сбросить);
2. Объект групповой политики на уровне сайта (Сайт);
3. Объект групповой политики на уровне домена (домен).
4. Объекты групповой политики на уровне организационного подразделения (Organizational Unit).

Последняя политика имеет наивысший приоритет. Это означает, что если вы включите какой-то параметр Windows на уровне домена, он может быть отключен другой политикой на уровне OU (победит самая близкая к объекту политика в иерархии AD).

При использовании параметра «Принудительно» побеждает политика, стоящая выше в иерархии домена (например, если в политике домена по умолчанию включен параметр «Принудительно», он будет иметь более высокий приоритет, чем любой другой объект групповой политики).

Администратор также может изменить порядок обработки политик с помощью консоли GPMC. Для этого выберите OU и перейдите на вкладку Linked Group Policy Objects. Существует список объектов групповой политики, применяемых к этому подразделению с указанным приоритетом. Политики обрабатываются в обратном порядке (снизу вверх). Это означает, что политика с Link Order 1 будет применяться последней. Вы можете изменить приоритет объекта групповой политики с помощью стрелок в левом столбце и переместить политику вверх или вниз в списке.

Управление включенными ссылками GPO

Для любого объекта GPO, связанного с подразделением AD, можно включить или отключить параметр Link Enabled. Если ссылка отключена, ее значок становится серым. Когда ссылка отключена, политика не применяется к клиентам, но ссылка на объект GPO не удаляется из иерархии домена. Вы можете включить ссылку GPO в любое время.

Объяснение режима обработки Loopback групповой политики

Например, если вы примените политику, параметры которой настроены в разделе «Конфигурация пользователя», к организационной единице с компьютерами, эти параметры не будут применяться к пользователю без использования замыкания на себя. Режим обратной связи включен в разделе «Конфигурация компьютера» -> «Административные шаблоны» -> «Система» -> «Групповая политика» -> «Настроить режим обратной обработки групповой политики пользователя».

Эта политика обработки замыкания на себя имеет два возможных режима:

Объединение — объекты групповой политики на основе местоположения пользователя применяются к компьютеру, а затем применяются объекты групповой политики, связанные с компьютером. В случае конфликта между политиками организационной единицы пользователя и организационной единицы компьютера приоритет имеют политики уровня конфигурации компьютера.

Обратите внимание, что при использовании обработки Loopback в режиме слияния политика фактически выполняется дважды. Учитывайте это при использовании сценариев входа в систему.

Использовать мастер моделирования групповой политики

Вы можете использовать функцию моделирования GPO в консоли управления политикой домена ( gpmc.msc ). Моделирование GPO позволяет администратору получить результирующие политики, которые будут применяться к определенному объекту Active Directory.

Перейдите в раздел "Моделирование групповой политики" и запустите мастер моделирования групповой политики.

Выберите подразделение или конкретного пользователя/компьютер, для которого вы хотите получить результирующий отчет о политике.

Затем ответьте на вопросы мастера моделирования GPO. В результате вы получите отчет (см. вкладку Details), в котором показано, какие политики применяются к объекту AD, а какие нет. Если политика применена или отклонена из-за фильтра GPO, это будет видно в отчете.

Включить ведение журнала отладки предпочтений групповой политики

В современных версиях Active Directory есть дополнительное расширение групповой политики — настройки групповой политики (GPP). GPP позволяет применять дополнительные настройки с помощью клиентских расширений GP. Например, с помощью GPP вы можете:

Для устранения неполадок с предпочтениями групповой политики можно использовать специальный режим ведения журнала — отслеживание предпочтений групповой политики.

Включить этот режим можно через параметр в разделе Конфигурация компьютера -> Политики -> Административные шаблоны -> Система -> Групповая политика -> Ведение журнала и трассировка. Существуют отдельные параметры регистрации для разных параметров GPP.

Например, я хочу проверить, как параметр реестра с настройками прокси-сервера применяется через объект групповой политики. Для этого я включаю параметр «Настроить ведение журнала и отслеживание предпочтений реестра». Здесь вы можете настроить параметры ведения журнала и отладки, а также размер журнала.

После применения политики к клиенту откройте файл C:\ProgramData\GroupPolicy\Preference\Trace\Computer.log, чтобы получить подробный статус GPP.

Отключите этот параметр GPO после завершения отладки GPP.

Кроме того, имейте в виду, что GPP имеет дополнительные параметры таргетинга на уровне элементов для фильтрации при применении политики.

Устранение неполадок с прикладными объектами групповой политики в клиентах Windows

gpresult, rsop.msc и средство просмотра событий Windows используются для устранения неполадок и отладки групповой политики на стороне клиента. Первые два инструмента предоставляют результирующий набор политик, которые были применены к устройству Windows.

Чтобы получить простой отчет об объектах групповой политики, примененных на компьютере, выполните команду:

Команда вернет список примененных объектов групповой политики и объектов групповой политики, которые не применялись. Список отфильтрованных объектов групповой политики может содержать следующие элементы:

• Не применено (пусто) — политика назначена, но не содержит настроек;
• Отказано (фильтр WMI) — политика не была применена, так как фильтр WMI не соответствует этому компьютеру;
• Отказано (безопасность) — ACL групповой политики не имеет разрешений на применение объекта групповой политики к этому объекту;
• Отключено (GPO) — раздел «Конфигурации компьютера или пользователя» отключен в настройках GPO.

Чтобы получить HTML-отчет с результирующим объектом групповой политики, используйте команду:

gpresult /h c:\reports\gpreport.html /f

HTMP-отчет gpresult RSoP содержит ошибки GPO, время обработки определенных политик и CSE, а также другую полезную информацию. Это поможет вам понять, почему некоторые объекты групповой политики обрабатываются слишком долго. В этом отчете показано, какие параметры политики были применены и какими конкретными объектами групповой политики.

Для обработки объектов групповой политики в Windows должна быть запущена служба клиента групповой политики ( gpsvc ). Убедитесь, что служба запущена с помощью PowerShell:

Также необходимо помнить, как обновляется групповая политика в Windows. По умолчанию объекты групповой политики обновляются в фоновом режиме каждые 90 минут + случайное смещение по времени от 0 до 30 минут. Однако администратор может изменить этот интервал с помощью параметра «Установить интервал обновления групповой политики для компьютеров» в разделе «Конфигурация компьютера» -> «Административные шаблоны» -> «Система» -> «Групповая политика» в объекте групповой политики.

Вы можете использовать Event Viewer для поиска событий обработки GPO. Отфильтруйте системный журнал по источнику групповой политики (Microsoft-Windows-GroupPolicy). Кроме того, внимательно просмотрите события в журналах приложений и служб -> Microsoft -> Windows -> Групповая политика -> Операционная.

Несколько дополнительных советов по отладке объектов групповой политики:

• При анализе политик паролей домена имейте в виду, что с помощью консоли управления групповыми политиками можно настроить только одну политику паролей домена (обычно в политике домена по умолчанию). Используйте подробные политики паролей, если вам нужно использовать отдельные политики блокировки паролей и учетных записей для определенных пользователей или групп;
• Я также рекомендую использовать инструмент Microsoft AGPM (расширенное управление групповыми политиками), который позволяет поддерживать версии для объектов групповой политики и правила их утверждения;
• Используйте центральное хранилище групповой политики для шаблонов ADMX. В этом случае вам не нужно вручную развертывать файлы admx групповой политики на всех компьютерах.

В заключение я рекомендую максимально упростить структуру объекта групповой политики и не создавать ненужных политик. Используйте прозрачную схему именования политик. Имя объекта групповой политики должно четко указывать, для чего он предназначен.

Выполняется настройка устройства, поэтому установка не будет завершена.

Текущий счетчик KMS не увеличивается при добавлении новой ОС Windows.

Без комментариев

Спасибо за визит! Здесь все о технологиях Microsoft. Подробнее о ConfigMgr и других технологиях.

После обновления SCCM 1606 Windows 10 не отображается на вкладке продукта

Не удалось загрузить полезные данные пользовательского интерфейса администратора

После обновления до 1606 проблема с консолью SCCM не открывается.

Обслуживание SCCM 1702: обновление зависло в состоянии установки

Ошибка SCCM 2012 MPcontrol с ошибкой расширения SAN2

SCCM Current Branch Reporting Services Point многие отчеты по умолчанию отсутствуют

Для сайта администрирования требуется, чтобы SQL SERVER TCP был включен и установлен на статический порт

Консоль SCCM удаленной системы не может просматривать отчеты

Обновление SCCM CB Deploy Office 365 продолжает завершаться ошибкой 0x87D0024A(-2016411062)

Серверы DMZ, подключающиеся к внутреннему MP

Последовательность задач завершилась с ошибкой с кодом 0x80070002

SCCM 1702 Точка создания отчетов не работает SQL 2016

Ошибка URL-адреса отчета Current Branch SCCM с сообщением «Произошла ошибка во время обработки отчета (rsProcessingAborted)»

Проблема с настройкой брокера службы реплики базы данных точки управления

Обновление клиента Office 365 достигло 50% с ошибкой 0x8000000e

Сбой SSRS после обновления CAS SQL с 2014 до 2019. Сервер RPC не прослушивается

Не удалось загрузить полезные данные пользовательского интерфейса администратора

Обслуживание SCCM 1702: обновление зависло в состоянии установки

Запрос сообщения о состояниях показывает пустой результат для запроса подробностей аудита

Миграция БД SQL SCCM 2012 R2

Руководство по устранению неполадок с последовательностью задач

Перенос исходного контента перенесенных приложений и пакетов

LAPS для macOS

Полное устранение неполадок экранного меню

Руководство по устранению неполадок MECM PXE

Руководство по устранению неполадок WindPE

Нет обновлений для всех клиентов в новой системе сайта

Не удалось установить обновление из-за ошибки 0x87d00692

Jamf Pro Cloud, интеграция с Apple Automated Device Enrollment (ранее DEP), продолжение.

Интеграция Jamf Pro Cloud с автоматической регистрацией устройств Apple (ранее DEP)

Я автор этой веб-страницы. Спасибо за посещение сайта и страницы обо мне! Мой сайт посвящен технологиям Microsoft. Подробнее о ConfigMgr и всех других интересующих меня технологиях. Однако больший процент моих сообщений связан с SCCM. Обычно мне нравится публиковать интересные вопросы, с которыми я сталкивался в своей повседневной технической жизни. вы найдете только те решения, которые приходят в мою повседневную жизнь.

Если ваша настроенная групповая политика не применяется к одному пользователю или конкретному компьютеру, в этой статье показано, как решить эту проблему.

Все мы знаем, что групповая политика — это надежный инструмент для управления пользователями и компьютерами в организации. Если вы применили объект групповой политики к определенному количеству пользователей или ко всем пользователям, но он не применяется к одному конкретному пользователю, эта статья для вас.

Может быть несколько факторов, которые могут повлиять на создание этой проблемы. Однако здесь учитываются наиболее распространенные причины. Вы можете попробовать приведенные ниже рекомендации и посмотреть, помогут ли они вам.

ИСПРАВЛЕНИЕ: групповая политика не применяется к одному пользователю/компьютеру

ИСПРАВЛЕНИЕ 1. Общие предложения

<р>1. Убедитесь, что пользователь является членом группы, к которой вы применяете GPO. Проверьте вкладку Scope для GPO. Для настройки политики на основе компьютера объект групповой политики должен быть связан с подразделением, в котором находится компьютер. Хотя, если это параметр политики на основе пользователя, необходимо связать правильное пользовательское подразделение.

<р>2. Убедитесь, что группа, к которой вы применяете объект групповой политики, является глобальной.

<р>3. Проверьте, правильно ли вы настроили параметр GPO. Некоторые заголовки GPO могут быть очень легко поняты неправильно, и, следовательно, они не настроены должным образом.Например, «Отключить UDP на клиенте».

<р>4. Проверьте состояние фильтрации WMI.

ИСПРАВЛЕНИЕ 2 – Проверить действующий доступ

Ниже шаги показаны для пользователя, но аналогичные шаги можно использовать и для компьютера.

<р>1. Откройте Управление групповыми политиками и нажмите на подразделение. На соответствующей правой панели на вкладке «Делегирование» выделите пользователя, к которому групповая политика не применяется. Нажмите кнопку «Дополнительно».

<р>2. В открывшемся окне выберите затронутого пользователя и нажмите «Дополнительно».

<р>3. В разделе Дополнительные параметры безопасности переключитесь на Эффективный доступ и нажмите Выбрать пользователя. В следующем окне найдите пользователя и вернитесь в это окно.

<р>4. Найдя пользователя, нажмите «Просмотреть действующие права доступа».

<р>5. Теперь должен отображаться эффективный доступ для выбранного пользователя. Вы должны убедиться, что у пользователя есть доступ к Применению групповой политики. Вы также можете повторно обеспечить другие разрешения. Если какое-то разрешение не соответствует требованиям, перейдите на вкладку Разрешения, выберите пользователя и нажмите Изменить и, наконец, настройте необходимые разрешения.

После того, как пользователь получит соответствующие разрешения, проблема исчезнет.

Надеюсь, это поможет!

Об авторе

Это сообщение написано Капилом Арья, Microsoft MVP.

О Капил Арье

В настоящее время Капил является Microsoft MVP в области Windows IT Pro. Он также является MVP Windows Insider и автором книги «Устранение неполадок групповой политики Windows». В 2015 году Microsoft India удостоила его звания «чемпиона Windows 10». Будучи страстным блогером Windows, он любит помогать другим в устранении их системных проблем. Капил работал с официальной группой Microsoft Community Engagement Team (CET) над несколькими общественными проектами. Вы можете следить за новостями/обновлениями и исправлениями для Windows.

Оставить ответ Отменить ответ

Что нового

24 часа назад

1 день назад

1 день назад

2 дня назад

4 дня назад

Последние комментарии

OBloody Hell : похоже, не работает на довольно недавней установке Lenovo. Просто нет. 2 дня назад

Кевин Скалли: В папках нет скриншотов. 2 дня назад

Пауло Франциско : Привет. Во-первых, спасибо за пошаговое руководство. Я хочу отметить, ты. 3 дня назад

Капил Арья: ^^ Исправлено, спасибо. 4 дня назад

Troy : Любая причина, по которой вы не вернули AppID и CLSID владельцу NT Service\. 4 дня назад

Небольшая проблема с одним из наших объектов групповой политики. По какой-то причине это не относится к моей тестовой машине с Windows 10. Я запустил Gpresult, в котором политика не указана ни в применяемых, ни в запрещенных политиках.

Я проверил все очевидные вещи, такие как фильтры WMI, область действия, фильтрацию безопасности, но ничего из этого не нашел. По сути, если бы у меня было 2 ноутбука, 1 с Win 7 и 1 с Win 10, в одном и том же месте в AD и я вошел в них с одним и тем же пользователем, ноутбук с Win 7 получит политику, которой нет у Win 10/

Я читал о замыкании на себя и не нашел, что это применимо ни к одному из них.

Кто-нибудь может подсказать, почему он даже не отображается в GPResult??

Участвуйте, чтобы выиграть еженедельные подарочные карты (от 100 евро), Oculus и наушники/колонки

Конкурс завершается 27 марта 2022 г. Конкурсы Каждую неделю узнайте больше о том, как Red Hat может помочь вам добиться простоты и цифровых инноваций, и ответьте на вопрос. Детали конкурса Просмотреть все конкурсы

15 ответов

при условии, что вы запустили gpupdate /force на хост-компьютере?

Да, я пробовал gpupdate и его 1803 Enterprise

адриан_йч

Вы используете контроллеры домена Server 2016 или Server 2012 DC с Win 10 ADMX?

Все еще работали под управлением 2008 R2. Я загрузил файлы ADMX 1803 и установил RSAT на свой компьютер (Windows 10)

Применяются и другие правила, пока я обнаружил, что это только одно, которое не применяется

адриан_йч

RSAT не имеет ничего общего с объектами групповой политики, поскольку они в основном позволяют подключаться к контроллеру домена.

Возможно, потребуется несколько схем контроллера домена и/или объектов контроллера домена, для которых потребуется DC Server 2012 или даже Server 2016.

Вы не можете ожидать, что серверная ОС, запущенная в 2008 году, будет иметь настройки для ОС, запущенной в 2017 или 2018 году. Даже если вы добавите исправления, обновления и т. д., будут ограничения.

Я не видел ни одного другого сообщения на форумах о том, что это может вызвать проблемы. Я знаю, что вы не можете использовать домен уровня 2003 для управления Windows 10, но я никогда не слышал о том, что вы не можете использовать уровень 2008 r2.

Кроме того, я понимаю вашу точку зрения, хотя я ожидаю увидеть некоторые ошибки

Кубер

Какие настройки вы применяете к этому проблемному объекту групповой политики?

Ну, там много всего, но, например, в первую очередь я хочу начать работать с Конфигурацией пользователя -> Политики -> Настройки Windows -> Перенаправление папок.

Может ли кто-нибудь взглянуть на это и посмотреть, относится ли это к перенаправлению папок, которые я пытаюсь сделать с помощью этой политики.

Если так, то извините, Адриан, вы были правы.

Это происходит только при меньшем количестве клиентов или вообще.

Иногда у меня случалось, что объект групповой политики не применялся из-за поврежденной записи в истории объекта групповой политики.

Под HKLM в разделе GPO есть ключ реестра с историей имен. Удалите последний ключ под этим ключом и перезагрузите систему.

Ключ: HKLM\software\Microsoft\windows\current version\group policy\History\*

лесдабни

Проверьте эту ссылку:

Посмотрите в разделе "Начать расширенное устранение неполадок".

лесдабни

Или вы можете использовать этот инструмент.

Мне пришлось запустить средство устранения неполадок совместимости, чтобы установить его на мою Windows 10 Pro, но оно работает.Он создаст для вас текстовый файл со всеми событиями и даже имеет режим мониторинга для просмотра в режиме реального времени.

Спасибо за ответы, посмотрю

Нашел причину, по-видимому, еще в 2016 году MS выпустила обновление для системы безопасности, которое сильно изменило способ применения групповой политики и означало, что для пользовательских политик вы должны были иметь аутентифицированных пользователей в фильтрации безопасности ИЛИ иметь компьютер, которым будет пользоваться пользователь. доступ к политике с правами на чтение в рамках делегирования.

Как только я добавил аутентифицированных пользователей, все заработало.

Очевидно, что к нашим образам Windows 7 это обновление не применялось, поэтому оно все еще работало там.

Спасибо за все ваши ответы.

Я не могу отблагодарить вас за то, что вы указали на это простое решение!

После нескольких дней исследований и устранения неполадок моя проблема была решена!

Эта тема заблокирована администратором и больше не открыта для комментариев.

Чтобы продолжить это обсуждение, задайте новый вопрос.

Эргономичное оборудование

Кто в США должен нести ответственность за предоставление эргономичного оборудования по запросу сотрудника? Это ИТ, поскольку ИТ предоставляет клавиатуры и мыши? Должен ли это быть HR, поскольку он эргономичен и несет потенциальную ответственность, если НЕ предоставляется? Должен ли это быть тот отдел.

Приветствие Xfinity (личный домашний Интернет)

Во-первых, мне больно. Я мог бы произнести речь «Он ставит передо мной задачу», как Хан в «Звездном пути 2: Гнев Хана». Просто замените «Они» на «Он». Но они сделали то, чего я хотел годами (десятилетиями?), так что, думаю, это должно быть признано. Ю.

Щелкни! SATCOM Threat, IE End of Life, Mac с кирпичами, Planet 9, Lego Delorean

Ваша ежедневная доза технических новостей. Вы должны это услышать. ФБР и CISA предупреждают об угрозах для сетей спутниковой связи Согласно новому предупреждению ФБР и CISA спутниковые сети находятся в зоне высокого риска. Согласно ZDNet.

Какими сверхспособностями вы хотели бы обладать?

Что может сделать ИТ-специалист со сверхспособностями? В каких ИТ-задачах вы бы их использовали и как?

Можно ли подключить интерфейс управления коммутатора к одному из его собственных портов коммутатора?

Недавно я понял, что у меня есть конфигурация коммутатора с непреднамеренным потенциальным побочным эффектом. У меня есть Aruba 6300F с несколькими виртуальными локальными сетями. Он работает в режиме уровня 3. Это работает следующим образом: я просто «включаю» функции маршрутизатора, а затем.

Читайте также:

  
• Программное обеспечение не может быть установлено, так как обновление недоступно через сервер обновлений mac os
  
• Rufus как создать загрузочную флешку Windows 10
  
• Как установить яндекс навигатор на windows ce
  
• Ошибка диспетчера кеша Windows 10
  
• Iperf как использовать окна