Прежде чем разбираться, почему групповые политики (ГП) не применяются ожидаемым образом, необходимо убедиться, что инфраструктура Альт Домен работает штатно.
Работа ГП в домене зависит от корректной работы контроллеров домена и успешной репликации между ними.
Если политика верная, но все равно не применяется через gpupdate, стоит проверить ACL на sysvol
[root@dc /]# samba-tool ntacl sysvolcheck
В случае ошибок, восстановить права:
[root@dc /]# samba-tool ntacl sysvolreset
36.1. Область действия и статус групповой политики
Каждая групповая политика (GPO) состоит из двух независимых разделов:
Компьютер — параметры, применяемые к компьютеру;
Пользователь — параметры применяемые к пользователям.
Если политика настраивает компьютеры, она должна быть привязана к OU с компьютерами.
Если политика настраивает пользователей, её следует привязать к OU с пользователями.
Следует убедиться, что целевой объект (компьютер или пользователь) действительно находится в нужной OU.
Если ГП настраивает только параметры пользователя или только параметры компьютера, неиспользуемый раздел можно отключить. Это сокращает трафик при обновлении политик и уменьшает время обработки на клиенте.
Если определенный параметр политики не применяются на клиенте, необходимо проверить область действия (на какую OU привязана политика) и статус политики (включена ли она).
Статус групповой политики, назначенной на подразделение, можно проверить в
ADMC. Необходимо открыть свойства нужного подразделения и перейти на вкладку :
Здесь отображаются все GPO, привязанные к OU, и их текущий статус (включены/отключены).
Изменить статус групповой политики можно в
ADMC в свойствах политики на вкладке :
Состояние GPO указывается в значении flags:
0 — политика включена: применяются настройки и для компьютера, и для пользователя;
1 — отключена конфигурация пользователя;
2 — отключена конфигурация компьютера;
3 — политика полностью отключена: не применяется ни к компьютерам, ни к пользователям.
