Witam.

Mam pytanie związane ze środowiskiem Windows Server Active Directory i GPO.

Czy poniższy scenariusz ma prawo zadziałać ?

W “gpmc.msc” tworzę nową jednostkę organizacyjną (OU) “NoweOU1”.
Dalej w “dsa.msc” w kontenerze “Users” dodaje dwóch użytkowników : “NowyUzyt1” oraz “NowyUzyt2”.
Następnie w kontenerze “NoweOU1” tworzę grupę “NowaGrupaUzytkownicy1” i dodaję do tej grupy członków z kontenera “Users” : “NowyUzyt1” oraz “NowyUzyt2”.

Podobnie postępuję z komputerem lub komputerami:
W kontenerze “Computers” dodaje jeden komputer : “NowyKomp1”
Następnie w kontenerze “NoweOU1” tworzę grupę “NowaGrupaKomputery1” i dodaję do tej grupy komputer z kontenera “Computers” : “NowyKomp1”.

W “gpmc.msc” tworzę nowy obiekt GPO : “Polisa1” ( i edytuję ).
W zakładce ZAKRES i sekcji FILTROWANIE ZABEZPIECZEŃ
usuwam grupę “Użytkowników uwierzytelnionych”.
Dodaję dwie poprzednio utworzone grupy:
“NowaGrupaUzytkownicy1”
oraz
“NowaGrupaKomputery1”.

Utworzone GPO “Polisa1” linkuję do kontenera “NoweOU1”.

W konsoli wykonuję polecenie:

gpupdate /force

Od strony serwerowej to wszystko.

Czy hosty i uwierzytelnieni użytkownicy otrzymają prawidłowe ustawienia GPO ??

Z takim nickiem zadać pytanie z wersji serwerowych Windowsa to trzeba mieć tupet

gpudate oczywiście robisz na tym komputerze któego to dotyczy? Zrób też na użytkowniku zalogowanym na takim komputerze:

GPRESULT / H raport.html

Oczywiście…
Na kontrolerze domeny i klientach.

Diagnozowałem userów za pomocą GPRESULT na klientach wielokrotnie
i za każdym razem wspomniane GPO nie jest pobierane.

Co ciekawe gdy (za pomocą dsa.msc ) przeniosę (“wytnij”) utworzone wcześniej obiekty z dotychczasowych kontenerów (czyli komputer: NowyKomp1 i użytkownicy: NowyUzyt1, NowyUzyt2) do kontenera NoweOU1 to końcówki otrzymują zasady prawidłowo.

Także tutaj jest pytanie dlaczego pierwotne założenia nie chcą działać ?
Co może być przyczyną ? Brak jakichś uprawnień ?

Bo GPO może być zaaplikowane dla użytkownika lub komputera a nie na grupę AD.