Добрый день!

Имеется домен Winsows Server 2008 R2. Находится в первой подсети 192.168.1.0. Активирована политика запрета доступа к USB носителям. (Компьютер - Административные шаблоны - система - Доступ к съёмным запоминающим устройствам.) Применено на группу Domain Computers.

Есть другая группа, которая прописана в безопасности к политике на запрет выполнения этой политики.

Добавляю комп в эту группу и после ребута политика успешно отменяется в первой подсети. А вот во второй 192.168.2.0, третьей 192.168.3.0 и тд не хочет отменяться.

С остальными политиками проблем нет. Ума не приложу, что делать...

Надо не эту политику запрещать, а делать противополитику, которая разрешает USB. И разрешить считывать её и применять тем, кому нужно.

Недавно только делал обратную политику. Не помогает.

Да и к тому же, в первой подсети всё нормально отменяется.

Ну что, ни у кого мыслей по этому вопросу нет?

Как запасной вариант поставить каспера на раб.станции и запретить доступ к USB либо сторонним софтом, ну или доводи до конца свой случай.
Может загадка кроется в очереди групп? одна политика имеет высший приоритет,чем другая, и соответственно перекрывает её, у ильи рудя есть доклад на эту тему, попробуй свою политику на запрет USB применить не к одной группе, а к домену вообще.

посмотрите GP Result

Вообще что-то странное творится: отключил эту политику совсем. GPRESULT показывает, что её нет на машине, а RSOP показывает что есть. Комп естественно перезагружал. Теперь эта политика и не отменяется вовсе.

Ну раз вы всё делали правильно, должно работать. Если неправильно, но настаиваете, что правильно — что ж, мы этого не видим, никаких подтверждений нет.

А какие подтверждения я могу привести? Я же описал как сделано..
Кстати, в отчёте GPRESULT есть некоторая запись :

Состояние компонента

Имя компонента

Состояние

Время последней обработки

Инфраструктура групповой политики Успешно 14.05.2014 12:29:57
Group Policy Local Users and Groups Успешно 14.05.2014 12:29:42
Group Policy Registry Успешно 14.05.2014 12:29:55
Scripts Успешно 14.05.2014 12:29:47
Security Успешно 14.05.2014 12:29:55
Software Installation В ожидании 14.05.2014 12:29:57

Software Installation не удалось завершить обработку политики, так как для применения параметров требуется перезагрузка системы. Попытка применить эти параметры групповой политики будет выполнена при следующей перезагрузке компьютера.

Возможно, в журнал были записаны дополнительные сведения. Откройте в журнале событий консоли или приложений вкладку событий политики и просмотрите события, записанные с 14.05.2014 12:29:55 по 14.05.2014 12:29:57.

Wireless Group Policy Успешно 14.05.2014 12:29:40
Реестр Неудачно 14.05.2014 12:29:40

Реестр не удалось выполнить из-за указанной ниже ошибки.

Неопознанная ошибка

Может быть какой-то трабл с реестром?

Можете хотя бы скриншоты показать, как политики стыкуются.

А что именно заскринить? Оснастку GPO?

Хотя бы. Чтобы видеть, какая политика куда пристыкована. И из этой же оснастки скрин GPResult проблемной машины.

Убрал совсем эту политику, вроде всё восстановилось. Попробую создать заново.
Вопрос: получается нельзя организовать исключение из этой политики группой?
Политика применяется на компьютер, есть специальная группа, в которую входят компы, на которых политика не должна применяться. Разве нельзя в разрешениях политики прописать запрет применения на эту группу?

Можно, но следует учесть, что членство в группе вступает в силу не мгновенно.
Также нужно учесть порядок стыковки политик, чтобы не было, что усб сначала разрешается для группы, а потом поверху перекрывается запретом для всех.