GP не распространяется на созданные группы безопасности
 

Всем доброго времени суток...
WS 2003 R2, права админа на контороллере домена...

в AD созданна группа "основная" :
локальная в домене / группа безопасности...

... набита юзерами, которые так же состоят еще в одной группе, н/п или в "бухгалтерия" или "операторы"
так же: локальная в домене / группа безопасности

через GPMC создаю GPO...
задача стоит так, что необходимо чтобы одна из политик действавала на всех, т.е. на группу "основная",
а остальные распотронялись соответственно по другим двум группам...

Вроди бы все просто - задал в свойстве GPO "...can only apply to the following group's..." необходимую группу.


Но вот незадача, ничего не применяется... причем... эксперимент показал, что ежели я там укажу
какую ни будь группу из встроенных участников безопасности н/п "пользователи домена", то применяется нормально,

Подскажите пожалуйста, в чем может быть проблема...

"пользователи домена" или "прошедшие проверку"
после смена членства в группе делался logoff-logon?
сама ГП куда прилинкована?
это вы о security filtering говорите?

убрал GPMC...
решил по старинке через mmc

вот как оно выглядит:
в AD создан OU которй набит учетками, компами, локальными группами.
Через оснастку mmc прикручиваю к контейнеру (OU) групповую политику, в свойствах выбираю "не перекрывать"...
gpupdate - на сервере и на клиенте.
...Тишина...
Для нагляности применения, выставленно ограниченное число элементов Панели управления... ничерта не применяется!
результирующая политика для контейнера тоже ничего не показывает, хотя в его свойствах групповая политики отображена - единственнная в списке, ничего не понимаю..

плохая идеяскрины
а gpmc умеет делать Result Policy - крайне удобно

сейчас сделаю скрины...
так-же еще одна проблемма, не могу посмотреть результирующую политику.
"Сервер RPC недоступен"
И на сервере и на клеенте службы WMI и RPC работают, режим "авто", в журнале ошибок нет.

может тогда и 1030/1058 в логах то есть? :)
поэтому и ГП не применяется?
в общем давайте картину в целом, и GPMC очень поможет

вот скрины, какиие еще нужны?
в логах только 10009.

1. я не помню что означет синий восклицательный знак на значке домена в GPMC, может коллеги подскажут.
2. интересует содержимое группы "сети (основная группа)"
3. после изменения члентсва в группе нужно перезагрузить ПК, а пользователя перелогинить.
4. AFAIK есть(были) какие-то проблемы с именованием хостов через _ (могу ошибаться, у меня это было в win2k домене)

Блокировать наследование.

Означает, что на политику поставлена галка "Не наследовать" (Block Inheritance)
Не нужно.

в нее входят все учетки юзеров из контейнера SETI
она никаким другим группам не принадлежит:
локальная в домене / группа безопасности
Ну это вообщем-то входило в мои планы, я ранее так делал - без GPMC, там в свойствах GP есть такая возможность,
делал для того, чтобы не выключать перекрывание во вложенных OU где сть свои политики.

Я таки обнаружил причину см. SETI(GP.M.Wizard).jpg
но не знаю о чем идет речь...
Acces Denied (Security Filtering) - что это?

...

Проблема решена...
задача - я пока не понимаю почему, но необходимо явно указать область распостранения политки не только на выбранные группы, но и на "Прошедшие проверку", или включить последних в свои группы...

GPMS (Security Filtering)... обязательно "Прошедшие проверку" !

Ранше помнится это было по умолчанию, а вот для фильтрации надо было
явно запрещать

ну да решили и ладно....
теперь другая проблема.