[решено] GPO и клиенты Windows 7 Pro x32 - Компьютерный форум OSzone.net

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Windows Server 2012/2012 R2 (http://forum.oszone.net/forumdisplay.php?f=117)

- - [решено] GPO и клиенты Windows 7 Pro x32 (http://forum.oszone.net/showthread.php?t=322556)

GPO и клиенты Windows 7 Pro x32

Коллеги, вопрос+частичное решение,
столкнулся с такой странной ситуацией:

новый сервер Windows Server 2012 R2 x64, из чистого образа. Клиенты Windows 7 Pro x32 с интегрированными обновлениями и слегка модифицированным unattended.xml (выбор версии home-pro-max при установке). Клиенты разлиты из образа, sysprep'а не было. Поднят домен. В домен клиенты вводились по отдельности.
После развёртывания оказалось, что настройки из default domain policy клиенты не воспринимают. На клиенте это выглядит как "ОК, политика применена" и в журналах не регистрируются ошибки, но по gpresult в политике вместо Default domain policy стоит "Н/Д". Типа он политику применил, только её не было ни одной, но всё ОК (атлично ваще).
На сервере другая ситуация. Ошибок в журналах тоже нет. А вот при попытке зафорсить обновления политик из консоли вид такой: ошибка RPC на всех компах, кроме того, который в домен вошёл первым. Стал грешить на SID. Но sysprep /generalize не решает проблему (SID специально проверял, меняется), политика по-прежнему приходит "пустая", при этом на сервере статус клиента с обновлённым сидом меняется на "ОК".

Помогло создание другой (новой) политики. После её подключения: с сервера она не форсится ни на один клиент (та же ошибка RPC), зато на клиентах отрабатывает как надо.

Если кто сталкивался, отпишитесь.

ffs2001, проверьте наличие Authenticated Users или Domain Computers в разрешениях по инструкции
Deploying Group Policy Security Update MS16-072 KB3163622

Вот оно что.
Т.е. именно МАШИНЫ (компьютеры), а не "пользователи", должны входить в группу. Которой, в свою очередь, должны быть даны права как на ЧТЕНИЕ, так и на ПРИМЕНЕНИЕ групповой политики.

Отличие применения от чтения для меня не очевидно. К тому же, при добавлении группы через граф. интерфейс нет опции "Чтение ПЛЮС применение", только "ЧТЕНИЕ", а потом сразу "ИЗМЕНЕНИЕ".
А в общем окне чтение+применение отображается как "Чтение с учётом фильтрации...", что ещё больше запутывает.

В новой политике автоматически добавляется группа "прошедшие проверку" с правами на чтение И применение.

Petya V4sechkin, благодарю

Цитата:

Цитата ffs2001

Т.е. именно МАШИНЫ (компьютеры), а не "пользователи" »

Не совсем верно. Всё зависит от того, какие разделы в политике настроены и на какие OU идёт применение, плюс разные другие модификации. При создании новой политики, все права идут по-умолчанию и она отрабатывает и на компьютерах, и на пользователях, если настроены обе ветки, так же пользователи с компьютерами находятся в той OU, к которой применяется данная политика.