Почему не применяется групповая политика
Перейти к содержимому

Почему не применяется групповая политика

  • автор:

групповая политика не применяется к учетной записи пользователя для RunAs.exe «Запуск от имени другого пользователя»

В этой статье содержатся некоторые сведения о проблеме, групповая политика не применяется к учетной записи пользователя для RunAs.exe «Запуск от имени другого пользователя».

Область действия: Windows 10 — все выпуски
Исходный номер базы знаний: 4569309

Аннотация

Пользователь Windows может запускать программу или приложение от имени другого пользователя. Для этого пользователь выбирает команду run as different user context menu (или использует Runas.exe командной строки), а затем задает учетные данные альтернативной учетной записи.

Рекомендуется, чтобы пользователи выполняли свою обычную работу на рабочих станциях, используя собственные учетные данные. При необходимости они могут указать учетные данные альтернативной учетной записи (например, учетной записи с повышенными разрешениями) для запуска определенного приложения.

Однако при входе пользователя с использованием альтернативных учетных данных Windows не обрабатывает групповая политика для альтернативной учетной записи. Windows обрабатывает групповая политика для учетной записи пользователя, только если пользователь входит на свой рабочий стол с помощью пользовательского интерфейса входа. В отличие от этого, когда пользователь запускает приложение с помощью Runas.exe запуска от имени другого пользователя, Windows запускает отдельный процесс, который выполняется под альтернативными учетными данными. Такая операция не активирует групповая политика обработку.

Такое поведение является особенностью данного продукта.

Дополнительные сведения

Точно следуйте всем указаниям из этого раздела. Внесение неправильных изменений в реестр может привести к возникновению серьезных проблем. Прежде чем приступить к изменениям, создайте резервную копию реестра для восстановления на случай возникновения проблем.

групповая политика параметры не предназначены для применения к альтернативной учетной записи пользователя, указанной Runas.exe запуска от имени другого пользователя.

Runas.exe может загрузить профиль пользователя, связанный с альтернативной учетной записью. Если пользователь ранее выполнил вход в Windows на этой рабочей станции с помощью этой учетной записи, связанный профиль пользователя может содержать разделы реестра и значения, которые были заданы групповая политика обработки событий в это время. Однако это поведение зависит от того, /noprofile включает ли пользователь переключатель в команду. Если пользователь запускает процесс runas /noprofile или приложение с помощью, а затем указывает альтернативную учетную запись, Windows не загружает альтернативный профиль пользователя. Таким образом, альтернативный профиль пользователя не предоставляет надежный способ применения групповая политика параметров.

Если вы хотите запретить пользователям использовать Runas.exe запуска от имени другого пользователя, выполните следующие действия.

После применения этих параметров все функции, зависят от функции «Запуск от имени», не будут работать.

  1. Отключите вторичную службу входа (seclogon.exe).
  2. Используйте политики ограниченного использования программного обеспечения или AppLocker, чтобы запретить доступ к Runas.exe двоичному файлу.
  3. Используйте групповая политика, чтобы удалить пункт меню «Запуск от имени другого пользователя». Объект групповая политика (GPO) изменяется на User Configuration\Administrative Templates\Start Menu и Taskbar\Show «Run as different user» (Запуск от имени другого пользователя) в меню «Пуск».
  4. В реестре Windows задайте следующую запись:
    • Подраздел: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\
    • Имя записи: HideRunAsVerb
    • Тип: DWORD
    • Значение: 1

Обратная связь

Были ли сведения на этой странице полезными?

Клиентам Windows 7 периодически не удается применить групповую политику при запуске

Эта статья содержит решение проблемы, из-за которой клиенты Windows 7 периодически не могут применять групповую политику при запуске.

Применяется к: Windows 7 с пакетом обновления 1 (SP1)
Исходный номер базы знаний: 2421599

Симптомы

Клиенты Windows 7 периодически завершались сбоем обработки групповой политики при запуске или перезагрузке. В журнал системных событий регистрируются следующие события:

Ошибка 9/9/2010 2:43:29 PM NETLOGON 5719 Error 9/9/2010 2:43:31 GroupPolicy 1055

Причина

Поведение вызвано состоянием гонки между инициализацией сети, поиском контроллера домена и обработкой групповая политика. Если сеть недоступна, контроллер домена не будет находиться, и групповая политика обработка завершится ошибкой. После загрузки операционной системы и согласования и установки сетевого канала фоновое обновление групповая политика завершится успешно.

Условие отражается в следующей последовательности событий:

Information EventLog 6006 указывает на завершение работы системы
Information e1kexpress 33
Information EventLog 6005 указывает, что служба журнала событий запущена
Дата Dhcp-Client 50036 указывает, что служба DHCP-клиента запущена
Ошибка NETLOGON 5719 означает, что netlogon не удается связаться с контроллерами домена
Ошибка GroupPolicy 1055 указывает на сбой обработки групповой политики
Information GroupPolicy 1503 указывает, что обработка групповой политики выполнена успешно

Это также можно проверить с помощью netlogon журналов:

[SESSION] \Device\NetBT_Tcpip_: Transport Added () [SESSION] Winsock Addrs: (1) Address changed. [CRITICAL] NetpDcGetDcNext: _ldap._tcp.dc._msdcs.contoso.com.: Не удается запросить DNS. 1460 0x5b4 [CRITICAL] NetpDcGetNameIp: contoso.com .: данные, возвращаемые из DnsQuery, не возвращаются. [CRITICAL] DBG: NlDiscoverDc: не удается найти контроллер домена. [CRITICAL] DBG: NlSessionSetup: Session setup: cannot pick trusted DC [SESSION] DBG: NlSetStatusClientSession: Set connection status to c000005e [SESSION] DBG: NlSessionSetup: Session setup Failed

Решение

Чтобы обойти эту проблему, можно задать значение реестра для задержки приложения групповая политика:

  1. Откройте редактор реестра.
  2. Разверните следующий подраздел: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
  3. Щелкните правой кнопкой Winlogon мыши, наведите указатель мыши на «Создать», а затем выберите значение DWORD.
  4. Чтобы указать имя новой записи, введите GpNetworkStartTimeoutPolicyValue и нажмите клавишу ВВОД.
  5. Щелкните правой кнопкой GpNetworkStartTimeoutPolicyValue мыши и выберите команду «Изменить».
  6. В разделе «Базовая» выберите «Десятичное число».
  7. В поле данных «Значение» введите 60 и нажмите кнопку » ОК».
  8. Закройте редактор реестра и перезапустите компьютер.
  9. Если групповая политика скрипт запуска не выполняется, увеличьте GpNetworkStartTimeoutPolicyValue значение записи реестра.

Дополнительные сведения

Указанное значение должно быть достаточно длинным, чтобы убедиться, что соединение установлено. В течение периода ожидания Windows будет проверять состояние подключения каждые две секунды и продолжит работу системы, как только подключение будет подтверждено. Поэтому рекомендуется выполнять переключение с высокой стороны. Если система отключена по умолчанию (например, отключенный сетевой кабель, сервер вне сети и т. д.), Windows будет остановлена на весь период времени ожидания.

Его также можно определить с помощью групповая политика:

Расположение политики: политики конфигурации >> компьютеров Администратор >> имя параметра групповая политика шаблонов: ключ реестра времени ожидания обработки политики запуска: HKLM\Software\Policies\Microsoft\Windows\System!GpNetworkStartTimeoutPolicyValue

Если вы определите параметр групповой политики, он переопределит параметр вручную. Если параметры групповая политика вручную и групповая политика не определены, значение выбирается из следующего расположения реестра:

Так как время ожидания не определено, система использует собственный алгоритм для вычисления и получения среднего времени ожидания. Это значение хранится в указанном выше расположении реестра. Она может различаться в зависимости от системы и зависит от различных факторов, таких как предыдущие попытки входа.

Описание групповая политика «Время ожидания обработки политики запуска» не является подробным и не охватывает все сценарии. То, что в настоящее время политика не настроена, не означает, что мы будем использовать значение времени ожидания по умолчанию 30 секунд.

Почему не применяется групповая политика (как действовать?)?

Добрый день.
Имеется проблема с применением ГП на некоторых компьютерах.
При вводе gpupdate /force —
Не удалось успешно обновить политику компьютера. Обнаружены следующие ошибки:

Ошибка при обработке групповой политики. Попытка чтения файла «\\Имя_домени\SysVol\Имя_домени\Policies\\gpt.ini» с контроллера домена была неудачной. Параметры групповой политики не могут быть применены, пока не будет исправлена эта ситуация. Это может быть временным явлением, его возможные причины:
a) Ошибка разрешения имен или проблемы сетевого подключения к текущему контроллеру домена.
b) Запаздывание репликации Active Directory (созданный на другом контроллере домена файл еще не реплицирован на текущий контроллер домена).
c) Отключен клиент распределенной файловой системы (DFS).
Чтобы диагностировать сбой, просмотрите журнал событий или запустите GPRESULT /H GPReport.html из командной строки для просмотра сведений о результатах групповой политики.

626bc999a3783241505777.png

GPRESULT /H GPReport.html — делал, результате скриншоте

Этот политика в другом компьютере работает.
Уважаемые, подскажите какую сторону копать?

  • Вопрос задан более года назад
  • 1899 просмотров

Комментировать

Решения вопроса 0

Ответы на вопрос 2

borisdenis

Довольный Айтишникъ @borisdenis

626bdd9a844dc327752161.jpeg

В gpmc.msc на политику в соответствующей ветки дерева домена правой кнопкой => Связь включена?

Ответ написан более года назад

Почему не применяется групповая политика к компьютеру/пользователю или OU?

date

15.11.2022

user

itpro

directory

Active Directory, Групповые политики

comments

комментариев 10

В этой обзорной статье я постараюсь разобрать типовые причины, из-за которых определенная групповая политика может не применяться к подразделению (OU) или конкретному компьютеру/пользователю. Думая, что эта статья будет полезна как новичкам, так и опытным администраторам групповых политик AD для понимания принципов работы и архитектуры GPO. Статья описывает возможные проблемы применения GPO, связанные с настройками самих политик на уровне домена, и с траблшутингом применения GPO на клиентах. Практически все настройки, описанные в статье, выполняются в консоли редактора доменных групповых политик — Group Policy Management Console ( GPMC.msc ).

Прежде чем разбираться, почему групповые политики не применяются как ожидается, убедитесь, что ваша инфраструктура AD работает штатно. Работа GPO в домене зависит от корректности работы контроллеров домена и репликации между ними. Рекомендуем периодически проверять здоровье контроллеров домена AD с помощью dcdiag и состояние репликации с помощью PowerShell и утилиты repadmin.

Убедитесь, что контроллер домена доступен с клиента, и на клиенте применены корректные настройки DNS.

Область действия (scope) GPO

Если определенный параметр политики не применятся на клиенте, проверьте область действия (scope) групповой политики. Если вы настраиваете параметр в секции Конфигурация компьютера (Computer Configuration), значит ваша групповая политика должна быть привязана к OU с компьютерами. Соответственно, если настраиваемый параметр относится к Конфигурация пользователя (User configuration), значит нужно назначить политику на OU с пользователями.

Чтобы применить пользовательские настройки к компьютерам, нужно включить GPO loopback processing (об этом ниже).

Область действия (scope) GPO

Также проверьте, что объект, к которому вы пытаетесь применить политику находится в нужном OU с компьютерами или пользователями. Можно воспользоваться поиском по домену с помощью в консоли ADUC. OU, в котором находится объект указан на вкладке Object.

определить OU объекта в AD

Т.е целевой объект должен находится в OU, на который назначена политика (или во вложенном контейнере).

Фильтрация обработки GPO с помощью групп безопасности

Проверьте значение фильтра безопасности политики (Security Filtering). По-умолчанию на всех новых объектах GPO в домене присутствуют разрешения для группы»Authenticated Users«. Эта группа включает в себя всех пользователей и компьютеры домена. Это означает, что данная политика будет применяться для всех пользователей и компьютеров, которые попадают в область ее действия.

gpo Security Filtering - Authenticated Users

В некоторых случаях вам нужно, чтобы определенная политика применялась только к членам определенной группы безопасности домена (или конкретным пользователям/ компьютерам). Для этого нужно удалить группу Authenticated Users из фильтра безопасности и добавить в фильтр целевую группу или учетную запись.

Если вы назначили фильтр на группу, проверьте что нужный объект состоит в этой группе AD.

Также проверьте, что для группы, которую вы добавили в Security Filtering на вкладке GPO -> Delegation -> Advanced в списке разрешений добавлены права Read и Apply group policy с полномочиями Allow.

права на применение GPO

Если вы используете нестандартные фильтры безопасности политик, проверьте, что для целевых групп нет явного запрета на применение GPO (Deny).

Использование WMI фильтров в GPO

В групповых политиках можно использовать специальные WMI фильтры. Это позволяет применить политику к компьютерам на основании некоторого WMI запроса. Например, мы можете создать WMI фильтр GPO для применения политики только к компьютерам с определенной версией Windows, к устройствам в определенной IP подсети, только к ноутбукам и т.д.

WMI фильтры GPO

При использовании WMI фильтров групповых политик вам нужно проверить корректность вашего WMI запрос. Нужно убедится, что WMI запрос выбирает только целевые компьютеры. Вы можете протестировать WMI фильтр на любом компьютере через PowerShell

gwmi -Query ‘select * from Win32_OperatingSystem where Version like «10.%» and ProductType=»1″‘

Если запрос возвращает любые данные, значит WMI фильтр и GPO применяться к этому компьютеру.

gwmi - тестирование wmi фильтра на компьютере

Статус групповой политики

Как мы уже упоминали, в каждой GPO есть два независимых раздела с настройками:

  • Computer Configuration – параметры, применяемые к компьютеру
  • User Configuration – параметры пользователей

Если ваша GPO настраивает только параметры пользователя ил только параметры компьютера, неиспользуемый раздел можно отключить. Это снизит трафик GPO и позволит вам уменьшить время обработки GPO на клиентах. применять политики

Проверьте статус групповой политики, перейдя в консоли GPMC.msc в свойствах политики на вкладку Details. Обратите внимание на значение в поле GPO Status.

GPO Status enabled

Как вы видите, доступно 4 варианта:

  • All setting disabled – все настройки политики отключены (не применяются);
  • Computer configuration settings disabled – не применяются настройки из параметров GPO компьютера;
  • User configuration settings disabled – не применятся настройки пользовательских политик;
  • Enabled – все настройки политики применяются к целевым объектам AD (значение по –умолчанию).

Делегирование GPO

На вкладке политики Delegation указаны разрешения, настроенные для данной групповой политики. Здесь можно увидеть каким группам даны права на изменения настроек GPO, а также на разрешение или запрет применения политики. Вы можете предоставить права на управление GPO из этой консоли или с помощью мастера делегирования в ADUC. Кроме того, наличие строки доступа для Enterprise Domain Controllers определяет возможность репликации данной политики между контроллерами домена Active Directory (это нужно иметь в виду при наличии проблем с репликацией политики между DC). Обратите внимание, что права на вкладке Delegation соответствуют NTFS правам, назначенным на каталог политики в папке SYSVOL.

Delegation GPO - права на политики

Наследование групповых политик

Наследование — это одна из основных концепций групповых политик. Политики верхнего уровня по-умолчанию применяются ко всем вложенным объектам в иерархии домена. Администратор может заблокировать применение всех наследованных политик на определенный OU. Для этого в консоли GPMC нужно щелкнуть правой кнопкой по OU и выбрать пункт меню Block inheritance.

групповые политики - заблокировать наследование Block inheritance

Организационные подразделения с отключенным наследованием политик в консоли отображаются с синим восклицательным знаком.

отключено наследование GPO на OU

Если политика не применяются на клиенте, проверьте, не находится ли он в OU с отключенным наследованием.

Имейте в виду, что доменные политики, для которых включено свойства “Enforced”, применяются даже на OU с отключённым наследованием (наследованные политики, которые применяются к контейнеру доступны на вкладке Group Policy Inheritance).

GPO Enforced

Область действия и порядок применения групповых политик (LSDOU)

Чтобы запомнить особенности порядка применения групповых политик в домене, нужно запомнить аббревиатуру LSDOU. Это аббревиатура позволяет запомнить порядок применения GPO:

Последние политики имеют наивысший приоритет. Т.е. если вы включили некий параметр Windows на уровне политики домена, но на целевом OU данный параметр отключается другой политикой – это означает, что нужный параметр в результате будет отключен на клиенте (выиграет ближайшая политика к объекту в иерархии AD).

При использовании параметра Forced у GPO выигрывает та политика, которая находится выше в иерархии домена (например, при включении Forced у политики Default Domain Policy, она выигрывает у всех других GPO).

Кроме того, администратор может изменить порядок обработки политик (Link Order) в консоли GPMC. Для этого нужно выбрать OU и перейти на вкладку Linked Group Policy Objects. В списке содержаться список GPO, которые применяются к данной OU с указанием приоритета. Политики обрабатываются в обратном порядке (снизу-вверх). Это означает что политика с Link Order 1 выполнится последней (ее приоритет наибольший). Вы можете изменить приоритет GPO с помощью стрелок в левом столбце, передвинув ее выше или ниже в списке.

порядок применения групповых политик Link Order

GPO Link Enabled

У каждого объекта GPO, который привязан к организационному контейнеру AD вы можете включить или отключить связь (применение политики). Для этого нужно включить или отключить опцию Связь включена (Link Enabled) в меню политики. Если связь для политики отключена, ее иконка становится бледной. При отключении связи политика перестает применяться к клиентам, но ссылка на объект GPO не удаляется из иерархии. Вы можете активировать данную связь в любой момент.

включить связь gpo

Замыкание групповой политики

При включении опции Режим замыкания групповой политики (Loopback Processing mode) вы можете применить к компьютеру настройки, которые содержаться в секции GPO с настройками пользователями. Т.е. режим замыкания GPO позволяет применить политики пользователя в зависимости от компьютера, на который он логинится.

Например, если вы примените к OU с компьютерами политику, в которой настроены параметры в секции User Configuration, эти политики не будут применены к пользователю без использования замыкания. Режим Loopback Processing включается в разделе Computer Configuration -> Administrative Templates -> System -> Group Policy -> Configure user Group Policy Loopback Processing mode.

У этой политики есть два возможных значение:

    Режим Merge (слияние) – к компьютеру применяться GPO основанные на расположении пользователя, а потом GPO, привязанные к компьютеру. При возникновении конфликтов между политиками OU пользователя и OU компьютера, политики уровня Computer Configuration будут иметь более высокий приоритет.

Обратите внимание, что при использовании Loopback processing в режиме Merge политика фактически выполняется дважды. Учитывайте это, если используете Logon-скрипты.

Configure user Group Policy Loopback Processing mode - Замыкание групповой политики

Моделирование групповых политик

Вы можете использовать функцию моделирования GPO в консоли управления доменными политиками (gpmc.msc). Моделирование GPO позволяет администратору получить итоговых политик, которые будут применены к конкретному объекту.

Перейдите в раздел Group Policy Modeling и запустите мастер Group Policy Modelling Wizard.

мастер моделирования GPO

Выберите OU или конкретного пользователя/ компьютер, для которого вы хотите получить результирующую политику.

выбрать компьтер, пользователя или OU для моделирования применяемых настроек GPO

Далее следуйте вопросам мастера моделирования GPO. В результате вы получите отчет (вкладка Details), на котором видно какие политики применены к объекту AD, а какие нет. Если политика применена или отклонена из-за фильтра GPO, это также будет видно в отчете.

отчет по результирующим gpo

Group Policy Preferences

В современных версиях Active Directory есть дополнительное расширение групповых политики – Group Policy Preferences (GPP). GPP позволяют применить через GPO дополнительные настройки через клиентскую часть (GP client-side extensions). Например через GPP вы можете:

  • Установить принтеры через GPO
  • Предоставить права локального администратора на доменном компьютере
  • Подключить сетевые диски
  • Распространить параметры реестра
  • Скопировать папки и файлы на компьютеры пользователей
  • И т.д.

Для диагностики применения Group Policy Preferences можно использовать специальный режим логирования — Group Policy Preferences Tracing.

Включить это режим можно через параметр в разделе Computer Configuration -> Policies -> Administrative Templates -> System -> Group Policy -> Logging and Tracing. Есть отдельные настройки логирования для разных параметров GPP.

Например, я хочу проверить как применяется параметр реестра с настройками прокси через GPO. Для этого я включаю политику Configure Registry preference logging and tracing. Здесь можно настроить параметры логирования и отладки и размер журнала.

лог файлы для group policy preferences

После применения политики на клиенте, откройте файл C:\ProgramData\GroupPolicy\Preference\Trace\Computer.log для получения подробного статуса о применении GPP.

Отключить этот параметр GPO после окончания отладки.

Кроме того, не забывайте, что в GPP есть дополнительные возможности фильтрации условий применения политики — Item Level Targeting.

Диагностика применения GPO на стороне клиента

Для диагностики применения групповых политик на стороне клиента используются утилиты gpresult, rsop.msc и журнала событий Windows. Первые два инструмента позволяют получить результирующий набор политик, которые применились на клиенте.

Для получения базового отчета о применённых на компьютере GPO , выполните команду:

Команда вернет список примененных GPO (Applied Group Policy Object) и GPO, которые не применились. В списке отфильтрованных GPO могут быть такие пункты:

  • Not Applied (Empty) -политика назначена, но не содержит настроек
  • Denied (WMI Filter) -политика не применена из-за того, что параметры ее WMI фильтра не соответствуют данному компьютеру;
  • Denied (Security) — в ACL групповой политики отсутствуют разрешения для применения GPO для этого компьютера;
  • Disabled (GPO) -Computer или User Configurations секция отключена в настройказ GPO

gpresult показывает политики которые были отфильтрованы

Для получения HTML отчета с результирующими GPO используйте команду:

gpresult /h c:\gp-report\report.html /f

В отчете HTMP отчете RSoP gpresult можно найти ошибки применения GPO, а также время применения конкретных политики и CSE. Это позволяет понять, почему некоторые GPO применяются на компьютере слишком долго. В таком отчете видно, какие параметры политик применены и какими конкретными GPO.

Не забывайте, что на клиенте для работы GPO должна быть запущена служба Group Policy Client (gpsvc). Проверьте, что служба запущена с помощью PowerShell:

служба клиента gpo - gpsvc

Также нужно помнить, как обновляются групповые политики в Windows. По-умолчанию GPO обновляются в фоновом режиме в интервале от 90 до 120 минут. Однако администратор может изменить этот интервал с помощью параметра Set Group Policy refresh interval for computers в секции GPO Computer Configuration -> Administrative Templates -> System -> Group Policy.

Вы можете найти события обработки GPO в Event Viewer. Воспользуйтесь фильтром в журнале System по источнику GroupPolicy (Microsoft-Windows-GroupPolicy). Также внимательно изучите события в журнале Application and Services Logs -> Microsoft -> Windows -> Group Policy -> Operational.

фильтр журнала событий Microsoft-Windows-GroupPolicy

Несколько дополнительных советов при отладке GPO:

  1. При анализе применения доменных политик паролей, не забывайте, что в домене может быть только одна политика паролей, настроенная с помощью GPMC (обычно это Default Domain Policy). Если вам нужно использовать отдельные политики паролей и блокировки для определенных пользователей или групп, используйте раздельные (гранулированные) политики паролей Fine-Grained Password Policy;
  2. Также хочется напомнить о существовании инструмента Microsoft AGPM (Advanced Group Policy Management), который вести версионность для GPO и правила их утверждения;
  3. Используйте центральное хранилище административных шаблонов GPO. В этом случае вам не нужно будет вручную устанавливать admx файлы групповых политик на всех компьютерах.

В заключении хочется сказать, что следует держать структуру групповых политик как можно более простой и не создавать лишние политик без необходимости. Используйте единую схему именование политик. Имя GPO должно давать однозначное понимание того, для чего она нужна.

Предыдущая статьяПредыдущая статья Следующая статья Следующая статья

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *