Группы с ограниченным доступом

nokogerra · Отправлено: **13:27, 22-10-2013** | #3

скриншоты прилагаю.
в rsop указано что есть gpo имеющие более высокий приоритет, и политика не пыталась настроить параметр, но выше только дефолтная политика, которую я не правил и в которой нет ничего о restricted groups, приложу часть winlogon.log, НО если бы политика действительно не работала, то созданной мной группы вообще бы не было в локальных администраторах, к тому же проблема только при удалении пользователя из группы, при добавлении в группу он получает права даже без gpupdate, вот в деталях:

В случае с restricted groups: после создания объекта gpo и gpupdate на машине все работало нормально, добавил пользователя в группу "Adm" (которая в свою очередь является членом builtin\Администраторы), и даже без gpupdate 2й пользователь получил права администратора, т.е. клиентская ось нормально определила что он в группе "Adm". Тут же удаляю пользователя из группы, но права остаются. Делаю gpupdate + restart guest, права все равно остаются, хотя он уже не в группе Adm, и соответственно не в группе builtin\Администраторы. После удаления объекта gpo да, группа Adm удалилась из локальной группы администраторов.

В случае с GPP: после создания объекта gpo и gpupdate на машине все работало нормально, добавил пользователя в группу "Adm", пользователь не получил права даже после gpupdate + restart guest, отключил привязку объекта gpo к ou, gpupdate, снова включил привязку, gpupdate+restart guest - нет эффекта, пользователь все равно не получил прав.

winlogon.log: