sergey vasin

The IT blog

Update 3159398 — изменения в применении объектов групповой политики

leave a comment »

После установки обновления 3159398 на клиентских компьютерах может возникнуть проблема с применением групповых политик. В частности, некоторые объекты групповых политик, которые исправно до этого применялись, перестанут это делать.

Затрагивает это не все политики, а только пользовательские политики, применение которых ограничивается дескрипторами безопасности.

Другими словами, если вы применяете объект групповой политики ко всем пользователям и в настройках безопасности, касающихся применения политики, указываете Authenticated Users, то ничего не случится. Эта политика продолжит применяться и после установки обновления.

Однако, если вы регулируете область применения какого-либо объекта групповой политики посредством настроек Security Filtering (например, политика применяется только для определенной группы пользователей), то после устаноски обновления этот объект перестанет применяться.

Случится это потому, что обновление 3159398 вносит изменения в механизм получения объектов групповой политики с контроллера домена. Раньше получение объектов групповой политики, применяющихся к компьютеру производилось посредством учетной записи компьютера. И тут никаких изменений не произошло.

Что касается пользовательских политик, то раньше их получение с контроллера домена происходило под учетной записью пользователя. Теперь же получение пользовательских политик происходит так же как и компьютерных политик — под учетной записью компьютера.

Теперь, если в дескрипторе безопасности групповой политики указана группа Some_Special_Users, то область применения этой политики ограничивается пользователями, воздящими в эту группу. Тут все правильно. Но когда компьютер с установленным обновлением 3159398 пытается получить содержимое этой групповой политики с контроллера домена, он делает это под своей учетной записью и, соответственно, у него ничего не выходит, так как об учетной записи компьютера в дескрипторе безопасности ничего не сказано.

Что теперь предлагается делать. Как написано в статье на сайте Microsoft, если вы не используете фильтрацию посредством прав доступа, то в качестве группы для применения групповой политики вы можете указать Authenticated Users, куда входят и учетных записи компьютеров. Нужно сказать, что эта группа указывается в настройках прав доступа объектов групповых политик по умолчанию.

Если же вашей целью является ограничение применения групповой политики членами какой-либо группы (например Some_Special_Users), то в настройках безопасности к указанной группе рекомендуется добавить группу Domain Computers. Таким образом применение пользовательской политики будет регулироваться членством в группе Some_Special_Users, а присутствие в дескрипторе безопасности группы Domain Computers позволит компьютерам получить эту групповую политику с контроллера домена.

Также стоит добавить, что вышеописанное справедливо и для следующих обновлений:

3163017: Cumulative update for Windows 10: June 14, 2016
3163018: Cumulative update for Windows 10 Version 1511 and Windows Server 2016 Technical Preview 4: June 14, 2016
3163016: Cumulative Update for Windows Server 2016 Technical Preview 5: June 14 2016


Страницы в социальных сетях:

Twitter: https://twitter.com/vsseth
Facebook: https://fb.com/inpowershell
VKontakte: https://vk.com/inpowershell


Реклама

Written by Сергей Васин

Апрель 17, 2017 в 12:20

Опубликовано в Group Policy

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s