Oggetto Criteri di gruppo non applicato a Windows 7 e versioni successive

Esistono due controller di dominio. Il primario funziona su Windows Server 2008 R2 e il secondario su Windows Server 2012.

Quando creo un oggetto Criteri di gruppo sul controller principale, questo viene immediatamente copiato sul controller di dominio secondario con tutti i file e gli script.

Nell'oggetto Criteri di gruppo nella sezione Configurazione utente, ho impostato le variabili di ambiente di sistema, oltre a creare una cartella sul desktop e collegamenti in essa.

Il filtro di sicurezza dell'ambito dell'oggetto Criteri di gruppo contiene un gruppo di utenti, che si trova nella cartella Utenti del controller di dominio. I membri che vi entrano si trovano in diverse unità organizzative.

Se ho effettuato l'accesso a computer che eseguono Windows XP SP3, il criterio viene eseguito immediatamente o dopo l'esecuzione gpupdate /force. Sui computer con una versione del sistema operativo Windows 7 e versioni successive (Windows 8.1, Windows 10): il criterio non funziona e non si applica all'utente.

In gpresult /scope user /z > c:\gpo_dump.logVedo che l'utente è membro del gruppo necessario, ma non trova l'oggetto Criteri di gruppo nella sezione Oggetti Criteri di gruppo applicati e nella sezione Oggetti Criteri di gruppo non accettati. Perché? Eseguire gpupdate /forcee alcune volte il riavvio non aiuta.

In base alla data della tua domanda, credo di conoscere la risposta al tuo problema.

È stato rilasciato l'aggiornamento MS Security il 14/06/2016 che ha modificato il comportamento degli oggetti Criteri di gruppo con le impostazioni utente! Un sacco

Fino ad ora tutti gli oggetti Criteri di gruppo con qualsiasi impostazione utente sono stati applicati nel contesto di sicurezza dell'utente. Pertanto, i criteri sono stati applicati fintanto che l'utente era elencato nel filtro di sicurezza (come lo hai).

Ma con il comportamento dopo l'aggiornamento MS vengono applicati nel contesto del computer. Pertanto, se hai un utente o un gruppo nel filtro di sicurezza, non è sufficiente applicare le impostazioni dell'utente nel criterio. È inoltre necessario disporre dell'autorizzazione di lettura per il computer da cui l'utente accede all'oggetto Criteri di gruppo. Non è necessario elencarlo nel filtro di sicurezza ma è necessario aggiungere almeno l'autorizzazione LEGGI (nella scheda delega oggetti Criteri di gruppo) al computer o a un gruppo di cui fa parte questo computer.

Quindi, fondamentalmente, se l'utente A si sta connettendo da computerB, avrai l'utente A elencato nel filtro di sicurezza e il computerB dovrà avere l'autorizzazione READ sull'oggetto Criteri di gruppo (non l'autorizzazione politica di applicazione). Vedi questo link Distribuisci MS16-072 che spiega tutto e offre anche script per riparare gli oggetti Criteri di gruppo interessati. MS suggerisce di aggiungere l'autorizzazione READ per gli utenti autenticati a tutti gli oggetti Criteri di gruppo (ecco a cosa serve lo script che forniscono), ma penso che Domain Computers sia un po 'più sicuro.

Questo mi ha infastidito per settimane. Non sono riuscito a capire perché alcuni oggetti Criteri di gruppo hanno smesso improvvisamente di funzionare. È tutto per questo. Gradirei se un cambiamento così massiccio avesse più pubblicità perché gestivo un ambiente totalmente insicuro da molto tempo perché veniva applicato un oggetto Criteri di gruppo non restrittivo. So che dovrei ma non leggo davvero tutti gli aggiornamenti MS che sto applicando. Spero che questo aiuti il ​​tuo caso.

Ecco lo script per aggiungere autorizzazioni di lettura agli utenti autenticati a tutti gli oggetti Criteri di gruppo che non dispongono di autorizzazioni per gli utenti autenticati.

    # Copyright (C) Microsoft Corporation. All rights reserved.

$osver = [System.Environment]::OSVersion.Version
$win7 = New-Object System.Version 6, 1, 7601, 0

if($osver -lt $win7)
{
    Write-Error "OS Version is not compatible for this script. Please run on Windows 7 or above"
    return
}

Try
{
    Import-Module GroupPolicy
}
Catch
{
    Write-Error "GP Management tools may not be installed on this machine. Script cannot run"
    return
}

$arrgpo = New-Object System.Collections.ArrayList

foreach ($loopGPO in Get-GPO -All)
{
    if ($loopGPO.User.Enabled)
    {
        $AuthPermissionsExists = Get-GPPermissions -Guid $loopGPO.Id -All | Select-Object -ExpandProperty Trustee | ? {$_.Name -eq "Authenticated Users"}
        If (!$AuthPermissionsExists)
        {
            $arrgpo.Add($loopGPO) | Out-Null
        }
    }
}

if($arrgpo.Count -eq 0)
{
    echo "All Group Policy Objects grant access to 'Authenticated Users'"
    return
}
else
{
    Write-Warning  "The following Group Policy Objects do not grant any permissions to the 'Authenticated Users' group:"
    foreach ($loopGPO in $arrgpo)
    {
        write-host "'$($loopgpo.DisplayName)'"
    }
}

$title = "Adjust GPO Permissions"
$message = "The Group Policy Objects (GPOs) listed above do not have the Authenticated Users group added with any permissions. Group policies may fail to apply if the computer attempting to list the GPOs required to download does not have Read Permissions. Would you like to adjust the GPO permissions by adding Authenticated Users group Read permissions?"

$yes = New-Object System.Management.Automation.Host.ChoiceDescription "&Yes", `
    "Adds Authenticated Users group to all user GPOs which don't have 'Read' permissions"
$no = New-Object System.Management.Automation.Host.ChoiceDescription "&No", `
    "No Action will be taken. Some Group Policies may fail to apply"
$options = [System.Management.Automation.Host.ChoiceDescription[]]($yes, $no)
$result = $host.ui.PromptForChoice($title, $message, $options, 0)  
$appliedgroup = $null
switch ($result)
{
    0 {$appliedgroup = "Authenticated Users"}
    1 {$appliedgroup = $null}
}
If($appliedgroup)
{
    foreach($loopgpo in $arrgpo)
    {
        write-host "Adding 'Read' permissions for '$appliedgroup' to the GPO '$($loopgpo.DisplayName)'."
        Set-GPPermissions -Guid $loopgpo.Id -TargetName $appliedgroup -TargetType group -PermissionLevel GpoRead | Out-Null
    }
}

Se si preferisce impostare l'autorizzazione di lettura per i computer di dominio anziché per l'autenticazione. Gli utenti cambiano questo 0 {$appliedgroup = "Authenticated Users"}in quello0 {$appliedgroup = "Domain Computers"}

Aggiungendo per chiarimenti:

Qualunque computer, utente o gruppo a cui si desidera applicare le impostazioni dell'oggetto Criteri di gruppo deve essere elencato nel filtro di sicurezza. Elencare un utente di computer o un gruppo nel filtro di sicurezza significa effettivamente che si stanno concedendo al computer, all'utente o a un gruppo due autorizzazioni sull'oggetto Criteri di gruppo: una autorizzazione è LEGGI e l'altra è APPLICA LA POLITICA DEL GRUPPO. La scheda della delega ti dà la possibilità di assegnare le autorizzazioni all'oggetto Criteri di gruppo in modo più dettagliato, ma puoi verificare che se aggiungi un computer, un utente o un gruppo nella scheda del filtro di sicurezza, questo apparirà nella scheda della delega con queste due autorizzazioni LEGGI e APPLICA.

Aggiungendo un computer, un utente o un gruppo a una scheda di delega e dandogli l'autorizzazione LEGGI NON si applica l'oggetto Criteri di gruppo. Gli stai solo permettendo di leggere l'oggetto Criteri di gruppo.

Quindi riassumiamo:

• per ottenere le IMPOSTAZIONI DI UN COMPUTER GPO è necessario che il computer (o un gruppo in cui si trova) sia elencato nel filtro di sicurezza.
• Affinché le IMPOSTAZIONI UTENTE di un oggetto Criteri di gruppo vengano applicate, è necessario che l'utente (o un gruppo in cui si trova) sia elencato nel filtro di sicurezza E sia necessario fornire al computer (o al gruppo in cui si trova) da cui l'utente accede all'oggetto Criteri di gruppo un Leggi l'autorizzazione per l'oggetto Criteri di gruppo.

Spero che questo lo chiarisca per te.