Решено Не применяется групповая политика к пользователям

[Sveta_NA]

Не могу понять, почему в домене не применяются групповые политики для пользователей?
Если создать политику для компьютеров -то отрабатывает нормально.

Для примера создаю нового пользователя "user", создаю новый OU "AAA", добавляю пользователя в новый OU.
Делаю какую-нибудь простенькую политику в конфигурации пользователя, например: Конфигурация пользователя - Политики - Административные шаблоны - Система - Доступ к съемным запоминающим устройствам - Съемные диски: Запретить чтение.
Теперь применяю эту политику к OU, где находится пользователь, ребутаю его комп (для чистоты эксперимента) и..... ничего не применяется. Создаю другие политики для пользователя - все тоже самое, не применяются. Хоть сто раз делай gpupdate /force или ребут.
Естественно политика включена, фильтры безопасности и делегирование по умолчанию настроены для прошедших проверку. Добавляла в фильтр безопасности и "Компьютеры домена" и конкретного пользователя - не помогает.

Делаю любую политику для конфигурации компьютера - и все ок, политики тут же работают.

dcdiag - ошибок нет
repadmin /replsum - ошибок нет
C:\ProgramData\Microsoft\Group Policy - чистила
В моделировании пишет что политика применена
В rsop ее нет, ошибок тоже нет

В чем еще может быть дело?

 

[Gonzo]

А что за версии windows server и клиентов ? Может административные шаблоны не те
gpresult ?

 

[Sveta_NA]

А что за версии windows server и клиентов ? Может административные шаблоны не те
gpresult ?

Windows Server 2019 и Win 10 Pro
gpresult запущенный с правами администратора показывает что все политики компьютера применены и единственную примененную политику пользователя - Default Domail Policy, любые другие игнорируются.
Административные шаблоны лежат в центральном хранилище административных шаблонов GPO в Active Directory. У всех одинаковые.

 

[NanoSuit]

Хм. Может политика не так настроена - если про блокировку USB. Я обычно GPO для этих целей не использовал - обычно либо через DLP систему или Kaspersky Security Center.
Попробуйте еще раз пробежаться по настройкам - возможно что то упустили, политика может к OU не привязана или еще что то

To block USB storage devices while allowing other USB devices like mice and keyboards in a Windows domain network, you can use Group Policy settings. Here's how you can achieve this:

Note: Before proceeding, make sure you have administrative access to the Active Directory domain and the Group Policy management console.

1. Open Group Policy Management:
   
   Press Win + R, type gpmc.msc, and press Enter. This will open the Group Policy Management Console.
2. Create a New Group Policy Object:
   • In the left pane, expand your domain and right-click on "Group Policy Objects."
   • Select "New" and give your new GPO a name like "USB Storage Restriction."
3. Edit the Group Policy Object:
   • Right-click on the newly created GPO and select "Edit."
4. Navigate to the Policy Settings:
   • In the Group Policy Management Editor, navigate to Computer Configuration -> Administrative Templates -> System -> Removable Storage Access.
5. Configure USB Device Restrictions:
   • In the right pane, you'll see various policies related to removable storage devices.
   • The policy you want to configure is likely named "All Removable Storage classes: Deny all access."
   • Double-click on this policy to edit it.
6. Enable the Policy:
   • In the policy properties window, select the "Enabled" radio button.
   • Click on the "Show" button next to "Removable Disks: Deny Execute access" to configure exceptions.
   • Add the following exceptions for USB devices that should still be allowed:
     • HIDClass (for keyboards and mice)
     • KeyboardClass
     • MouseClass
7. Apply and Save:
   • After configuring the policy and exceptions, click "OK" to save the changes.
8. Link the GPO to the Desired Organizational Unit (OU):
   • Close the Group Policy Management Editor.
   • In the Group Policy Management Console, right-click on the desired organizational unit (OU) where you want to apply this USB restriction.
   • Select "Link an Existing GPO" and choose the "USB Storage Restriction" GPO you just created.
9. Force Group Policy Update:
   • On the client computers, you can open a command prompt and run the following command to force an immediate Group Policy update:
     
     bashCopy codegpupdate /force<br>
10. Testing:
    • Test the policy by plugging in various USB devices. USB storage devices should be denied access while mice and keyboards should work as expected.
11. Safe Mode Consideration:
    • The Group Policy settings generally apply even in Safe Mode. However, keep in mind that users with administrative privileges might still be able to modify some settings or potentially bypass restrictions.

Always thoroughly test any Group Policy changes in a controlled environment before applying them to your production network. Additionally, Group Policy settings can vary based on Windows versions, so the steps may slightly differ depending on the version you are using.

 

[Sveta_NA]

Заметила интересную вещь. Если в политике GPO, которая не применяется для пользователей, сделать настройку: "Конфигурация компьютера - политики - административные шаблоны - система - групповая политики - настройка режима обработки замыкания пользовательской групповой политики", то эта политика начинает применяться. То есть получается опять же - срабатывают только настройки конфигурации для компьютера. Но я не хочу чтобы работало только через такой костыль. Хочу чтобы нормально отрабатывала политика конфигурации пользователя.

Хм. Может политика не так настроена - если про блокировку USB. Я обычно GPO для этих целей не использовал - обычно либо через DLP систему или Kaspersky Security Center.
Попробуйте еще раз пробежаться по настройкам - возможно что то упустили, политика может к OU не привязана или еще что то

Политика блокировки внешних устройств - была просто для примера, как самая простая. Проблема не в блокировке USB, а в том что политики почему-то не применяются к пользователям - их нет в gpresult, нет в rsop
Все настройки политики, область применения, фильтры безопасности, нацеливание на OU, делегирование - 100 раз проверила. Но к пользователям не применятся. К компьютеру - без проблем.

 

[Sveta_NA]

Немного уточню вопрос: у всех в домене GPO c настройками пользователя нацеленная на OU c юзерами не работает без loopback ?
Но loopback опять же надо применять к OU с компьютерами, а я хочу применить политику к OU с пользователями.

 

[Sveta_NA]

Разобралась в чем было дело!

Существовала одна групповая политика нацеленная на общую OU с computers. В ней был настроен режим обработки замыкания групповой политики (loopback) со значением "Замена". Соответственно любые групповые политики с конфигурацией пользователя переставали работать на компьютерах в этом OU.

Всем спасибо! Проблема решена, тему можно закрывать.

 

[Surf_rider]

Разобралась в чем было дело!

Существовала одна групповая политика нацеленная на общую OU с computers. В ней был настроен режим обработки замыкания пользовательской групповой политики (loopback) со значением "Замена". Соответственно любые групповые политики с конфигурацией пользователя переставали работать на компьютерах в этом OU.

Всем спасибо! Проблема решена, тему можно закрывать.

Вам спасибо за решение.