Category Archives: GPO

GPO – rozwiązywanie problemów ( troubleshooting )

W przypadku problemów ze źle działającymi polisami dobrze sprawdzić:

Czy polisa jest w ogóle podpięta do konkretnego OU;
Czy link jest włączony / aktywny (Policy properties -> Scope -> Enabled: Yes). Symbolizuje to również niebieska strzałeczka przy podpiętym linku. Jeśli link nie jest aktywny – strzałeczka jest szara.
Czy nie ma zaznaczonego Security Filtering (Policy properties -> Scope -> Security Filtering);
Czy nie ma zaznaczonego WMI Filtering (Policy properties -> Scope -> WMI Filtering);
Czy polisa jest włączona (lub dla jakiej sekcji jest wyłączona) (Policy properties -> Details -> GPO Status);
Kolejności ładowania polis i dziedziczenia – czy nie jest przypadkiem zablokowane aplikowanie polisy, która jest podpięta do kontenera nadrzędnego.
Enforce Policy jest regułą nadrzędną i wymusza aplikowanie polisy do podrzędnych OU, nawet gdy mają one zaznaczoną regułę blokującą dziedziczenie – Block Inheritance. Polisa wymuszająca dziedziczenie zostanie zaaplikowana jako ostatnia. Kolejności ładowania polis wyświetla zakładka Group Policy Inheritance po kliknięciu na OU);
Zmianę kolejności ładowania polis podpiętych tylko do konkretnego OU można dokonać po kliknięciu na OU a następnie na zakładkę Linked Group Policy Objects (strzałki po lewej stronie).
Czy polisa jest obsługiwana przez dany system operacyjny (zazwyczaj notka Supported on: pod radio buttonami Not Configured, Enabled, Disabled) lub okienko pomocy.
Czy polisa nie wymaga restartu komputera lub przelogowania użytkownika (polecenie gpupdate /force wyświetli odpowiedni komunikat jeśli tak będzie).
Group Policy Result – można uruchomić z poziomu GPMC lub na systemie klienckim, wydając polecenie gpresult /H:gpresult.html
Czy kontroler domenty, do którego jest aktualnie podłączony komputer jest faktycznie tym, który przetwarza polisy (podłączenie można sprawdzić poprzez wydanie polecenia: start -> cmd -> komenda set -> wyświetlona zmienna LOGONSERVER=). Może się okazać, że w dużym środowisku komputer / użytkownik może być podłączony do jednego DC, a mieć przetwarzane polisy (tzw. secure channel) przez inny DC. Wyświetlenie kontrolera domeny, który przetwarza polisy można wykonać poprzez wydanie na końcówce komendy: nltest /sc_query:nazwadomeny.local
Czy wersja polisy dla użytkownika różni się od wersji polisy dla komputera (w zakładce Details: User Version, Computer Version);
Czy kontrolery są poprawnie replikowane: http://obsluga-it.pl/sprawdzanie-poprawnej-replikacji-miedzy-kontrolerami-domeny/

GPO – wymuszenie ładowania polis przy każdym starcie komputera lub logowaniu użytkownika

Domyślnie polisy ładują się tylko raz, a następnie silnik GPO sprawdza, czy polisa się nie zmieniła lub nie została odpięta. Istnieje jednak polityka – ustawienie GPO, która wymusza każdorazowe ładowanie polis:

Computer configuration \ System \ Group Policy \  Configure security policy processing

Wystarczy że w/w ustawienie pojawi się tylko w jednej polisie podpiętej do wyznaczonego OU aby wszystkie inne podpięte polisy do tego OU wykonywały się za każdym razem.

GPO – Synchroniczne i asynchroniczne ładowanie polisy

Synchroniczne ładowanie – zanim użytkownikowi pojawi się pole do logowania, najpierw ładują się polisy komputera. Zanim użytkownik zobaczy pulpit, muszą załadować się polisy użytkownika. Ładowanie synchroniczne Jest wolniejsze i bardziej uciążliwe z punktu widzenia użytkownika.

Asynchroniczne ładowanie polisy – ładują się podczas logowania i pracy na komputerze.

Polityki związane z:
– folderami wspólnymi (przekierowaniem folderów);
– instalacją oprogramowania;
– mapowaniem napędów i folderów;
ustawiają flagę mówiącą, że następny cykl ładowania polityk musi się odbywać synchronicznie, poprzez restart komputera lub przelogowanie użytkownika.

Wymuszenie synchronicznego ładowania polisy:

Computer Configuration\Policies\Administrative Templates\System\Logon\Always wait for network at computer startup and user logon

Aktualizacja GP odbywa się tylko w połączeniu z DC. Jeżeli komputer straci kontakt z DC nie zachodzi żadna aktualizacja GP – silnik GP nie pracuje. GP nie jest cachowane do aplikowania off-line.

GPO – WMI Filtering – przypisanie polisy tylko komputerom z Windowsem 10

Aby skonfigurować filtr WMI należy kliknąć prawym przyciskiem myszy na WMI Filters (Pomiędzy Group Policy Objects i Starter GPOs), nastepnie New WMI Filter, nazwać filtr oraz wpisać zapytanie w sekcję Queries.

SELECT * FROM Win32_OperatingSystem WHERE Version like "10.%" AND Product Type = "1"

GPO – loopback processing mode. Skonfigurowanie implementacji polis tak, aby konfiguracja komputera zastępowała konfigurację użytkownika.

Computer Configuration \ Administrative Templates \ System \ Group Policy \ Configuring user Group Policy loopback processing mode.

GPO – wyszukiwanie polis

Wyszukiwanie polis bezpośrednio w GPMC:
Aby wyszukać polisę należy kliknąć prawym klawiszem myszy na kategorię, np Administration Templates -> filter Option, zaznaczyć Enable Keyword Filters.

Wyszukiwanie polis na stronach Microsoft:
https://gpsearch.azurewebsites.net
https://admx.help
Group Policy Settings Reference Spreadsheet for Windows 11 2022 Update (22H2) – v3.0 (stan na dzień 06.04.2024) – https://www.microsoft.com/en-us/download/details.aspx?id=105391

GPO – Security Filtering. Przypisanie polisy określonym grupom.

W kategorii Scope -> Security Filtering można wybrać grupy, którym polityka ma zostać zaaplikowana. Tak wybrana grupa domyślnie ma zaznaczone Allow na uprawnieniach: Read oraz Apply group policy.
Aby danej grupie nie aplikowała się polisa należy zaznaczyć Deny na Apply group policy.

Obsługa IT

Obsługa informatyczna firm i użytkowników indywidualnych. Optymalne rozwiązania informatyczne. Kielce. Strona w budowie, na razie się pozycjonuje :-)