Вопрос или проблема
Я создал GPO для добавления сетевого принтера. Я хотел бы связать GPO с группой Active Directory, содержащей пользователей, но мне не удалось добиться этого. Вместо этого я заметил, что если я использую фильтрацию безопасности или делегирование и добавляю учетную запись компьютера, это работает. Когда я пытаюсь сделать это с учетной записью пользователя (индивидуально или как часть группы AD), GPO не применяется.
Настройки GPO используют Конфигурацию пользователя > Параметры > Настройки панели управления > Принтеры.
Это просто так работает? Я неправильно настраиваю, или есть что-то еще, что мешает этому работать с учетными записями пользователей?
Спасибо!
В делегировании добавьте Компьютер домена, Только чтение для GPO.
Когда вы удаляете Аутентифицированных пользователей из группы безопасности, объект компьютера не может обработать GPO и, следовательно, не может применить эту GPO для пользователя.
Это изменение, которое Microsoft сделала для защиты хранилища GPO, но это может повлиять на все ваши GPO пользователей, когда группа аутентифицированных пользователей удалена.
Ответ или решение
При настройке групповой политики (GPO) для добавления сетевого принтера с использованием конфигурации пользователя, важно помнить, что эта политика должна применяться к компьютерам в сети, а не непосредственно к учетным записям пользователей. Таким образом, основная проблема заключается в том, что GPO, применяемая через конфигурацию пользователя, требует, чтобы GPO сначала была обработана на уровне компьютера, прежде чем она сможет быть применена к пользователям, входящим в систему под этим компьютером.
Вот наиболее распространенные шаги для корректной настройки GPO для добавления сетевых принтеров:
-
Создание и настройка GPO:
- Убедитесь, что ваша GPO содержит нужные настройки для добавления принтера. Это находится в разделе «Конфигурация пользователя» > «Параметры» > «Панель управления» > «Принтеры».
-
Настройка целевой группы:
- Вместо того, чтобы использовать фильтрацию безопасности и назначать GPO на уровне пользователей или групп, вам нужно оставить GPO привязанным к объектам компьютеров. Убедитесь, что GPO применима для компьютеров, используя их учетные записи.
-
Фильтрация безопасности:
- В настройках GPO добавьте группу «Authenticated Users» и задайте необходимые права доступа. Если удалить эту группу, граничная политика может не применяться, поскольку объекты компьютеров не смогут ее обработать.
-
Делегирование прав:
- В разделе делегирования добавьте разрешения для объекта «Domain Computers» с правами на чтение. Это даст разрешение всем компьютерам домена считывать и применять настройки, которые установлены в GPO.
-
Проверка применения GPO:
- После настройки GPO выполните команду gpupdate /force на целевом компьютере или перезагрузите его, чтобы применить изменения. Вы также можете использовать инструменты, такие как Resultant Set of Policy (RSoP) или Group Policy Results в Group Policy Management Console, чтобы увидеть, применяется ли ваша GPO к нужным пользователям или группам.
-
Проверка ограничений:
- Убедитесь, что нет других ограничений или конфликтующих политик, которые могут предотвратить применение вашей GPO. Перепроверьте путь к принтеру и убедитесь, что он доступен и правильно настроен.
Важно понимать, что из-за изменений в политике управления, созданных Microsoft для защиты хранилища GPO, важно, чтобы хотя бы на одном уровне GPO сохранялась возможность для её применения к объектам компьютеров, чтобы пользовательские политики могли быть обработаны и применены корректно.