Прежде чем разбираться, почему групповые политики не применяются как ожидается, необходимо убедиться, что инфраструктура Альт Домен работает штатно. Работа ГП в домене зависит от корректности работы контроллеров домена и репликации между ними.
Следует держать структуру групповых политик как можно более простой и не создавать лишние политик без необходимости. Рекомендуется использовать единую схему именования политик. Имя ГП должно давать однозначное понимание того, для чего она нужна.
30.1. Область действия и статус групповой политики
В каждой ГП есть два независимых раздела с настройками:
Если параметр политики настраивается в секции Компьютер, групповая политика должна быть привязана к OU с компьютерами. Соответственно, если настраиваемый параметр относится к конфигурации пользователя, нужно назначить политику на OU с пользователями. Также следует убедиться, что объект, к которому должна применяться политика находится в нужном OU с компьютерами или пользователями.
Если ГП настраивает только параметры пользователя или только параметры компьютера, неиспользуемый раздел можно отключить. Это снизит трафик ГП и позволит уменьшить время обработки ГП на клиентах.
Если определенный параметр политики не применяются на клиенте, необходимо проверить область действия (scope) групповой политики.
Статус групповой политики, назначенной на подразделение, можно проверить в
ADMC в свойствах этого подразделения на вкладке :
Изменить статус групповой политики можно в
ADMC в свойствах политики на вкладке :
Состояние объекта групповой политики указывается в значении атрибута
flags: объект GPO включён (значение 0, все настройки политики применяются к целевым объектам домена), отключён раздел
Конфигурация пользователя (значение 1, не применяются настройки пользовательских политик), отключён раздел
Конфигурация компьютера (значение 2, не применяются настройки из параметров GPO компьютера), объект GPO полностью отключён (значение 3, все настройки политики не применяются).
