Почему не применяется групповая политика
Перейти к содержимому

Почему не применяется групповая политика

  • автор:

групповая политика не применяется к учетной записи пользователя для RunAs.exe «Запуск от имени другого пользователя»

В этой статье содержатся некоторые сведения о проблеме, групповая политика не применяется к учетной записи пользователя для RunAs.exe «Запуск от имени другого пользователя».

Область действия: Windows 10 — все выпуски
Исходный номер базы знаний: 4569309

Аннотация

Пользователь Windows может запускать программу или приложение от имени другого пользователя. Для этого пользователь выбирает команду run as different user context menu (или использует Runas.exe командной строки), а затем задает учетные данные альтернативной учетной записи.

Рекомендуется, чтобы пользователи выполняли свою обычную работу на рабочих станциях, используя собственные учетные данные. При необходимости они могут указать учетные данные альтернативной учетной записи (например, учетной записи с повышенными разрешениями) для запуска определенного приложения.

Однако при входе пользователя с использованием альтернативных учетных данных Windows не обрабатывает групповая политика для альтернативной учетной записи. Windows обрабатывает групповая политика для учетной записи пользователя, только если пользователь входит на свой рабочий стол с помощью пользовательского интерфейса входа. В отличие от этого, когда пользователь запускает приложение с помощью Runas.exe запуска от имени другого пользователя, Windows запускает отдельный процесс, который выполняется под альтернативными учетными данными. Такая операция не активирует групповая политика обработку.

Такое поведение является особенностью данного продукта.

Дополнительные сведения

Точно следуйте всем указаниям из этого раздела. Внесение неправильных изменений в реестр может привести к возникновению серьезных проблем. Прежде чем приступить к изменениям, создайте резервную копию реестра для восстановления на случай возникновения проблем.

групповая политика параметры не предназначены для применения к альтернативной учетной записи пользователя, указанной Runas.exe запуска от имени другого пользователя.

Runas.exe может загрузить профиль пользователя, связанный с альтернативной учетной записью. Если пользователь ранее выполнил вход в Windows на этой рабочей станции с помощью этой учетной записи, связанный профиль пользователя может содержать разделы реестра и значения, которые были заданы групповая политика обработки событий в это время. Однако это поведение зависит от того, /noprofile включает ли пользователь переключатель в команду. Если пользователь запускает процесс runas /noprofile или приложение с помощью, а затем указывает альтернативную учетную запись, Windows не загружает альтернативный профиль пользователя. Таким образом, альтернативный профиль пользователя не предоставляет надежный способ применения групповая политика параметров.

Если вы хотите запретить пользователям использовать Runas.exe запуска от имени другого пользователя, выполните следующие действия.

После применения этих параметров все функции, зависят от функции «Запуск от имени», не будут работать.

  1. Отключите вторичную службу входа (seclogon.exe).
  2. Используйте политики ограниченного использования программного обеспечения или AppLocker, чтобы запретить доступ к Runas.exe двоичному файлу.
  3. Используйте групповая политика, чтобы удалить пункт меню «Запуск от имени другого пользователя». Объект групповая политика (GPO) изменяется на User Configuration\Administrative Templates\Start Menu и Taskbar\Show «Run as different user» (Запуск от имени другого пользователя) в меню «Пуск».
  4. В реестре Windows задайте следующую запись:
    • Подраздел: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\
    • Имя записи: HideRunAsVerb
    • Тип: DWORD
    • Значение: 1

Обратная связь

Были ли сведения на этой странице полезными?

Клиентам Windows 7 периодически не удается применить групповую политику при запуске

Эта статья содержит решение проблемы, из-за которой клиенты Windows 7 периодически не могут применять групповую политику при запуске.

Применяется к: Windows 7 с пакетом обновления 1 (SP1)
Исходный номер базы знаний: 2421599

Симптомы

Клиенты Windows 7 периодически завершались сбоем обработки групповой политики при запуске или перезагрузке. В журнал системных событий регистрируются следующие события:

Ошибка 9/9/2010 2:43:29 PM NETLOGON 5719 Error 9/9/2010 2:43:31 GroupPolicy 1055

Причина

Поведение вызвано состоянием гонки между инициализацией сети, поиском контроллера домена и обработкой групповая политика. Если сеть недоступна, контроллер домена не будет находиться, и групповая политика обработка завершится ошибкой. После загрузки операционной системы и согласования и установки сетевого канала фоновое обновление групповая политика завершится успешно.

Условие отражается в следующей последовательности событий:

Information EventLog 6006 указывает на завершение работы системы
Information e1kexpress 33
Information EventLog 6005 указывает, что служба журнала событий запущена
Дата Dhcp-Client 50036 указывает, что служба DHCP-клиента запущена
Ошибка NETLOGON 5719 означает, что netlogon не удается связаться с контроллерами домена
Ошибка GroupPolicy 1055 указывает на сбой обработки групповой политики
Information GroupPolicy 1503 указывает, что обработка групповой политики выполнена успешно

Это также можно проверить с помощью netlogon журналов:

[SESSION] \Device\NetBT_Tcpip_: Transport Added () [SESSION] Winsock Addrs: (1) Address changed. [CRITICAL] NetpDcGetDcNext: _ldap._tcp.dc._msdcs.contoso.com.: Не удается запросить DNS. 1460 0x5b4 [CRITICAL] NetpDcGetNameIp: contoso.com .: данные, возвращаемые из DnsQuery, не возвращаются. [CRITICAL] DBG: NlDiscoverDc: не удается найти контроллер домена. [CRITICAL] DBG: NlSessionSetup: Session setup: cannot pick trusted DC [SESSION] DBG: NlSetStatusClientSession: Set connection status to c000005e [SESSION] DBG: NlSessionSetup: Session setup Failed

Решение

Чтобы обойти эту проблему, можно задать значение реестра для задержки приложения групповая политика:

  1. Откройте редактор реестра.
  2. Разверните следующий подраздел: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
  3. Щелкните правой кнопкой Winlogon мыши, наведите указатель мыши на «Создать», а затем выберите значение DWORD.
  4. Чтобы указать имя новой записи, введите GpNetworkStartTimeoutPolicyValue и нажмите клавишу ВВОД.
  5. Щелкните правой кнопкой GpNetworkStartTimeoutPolicyValue мыши и выберите команду «Изменить».
  6. В разделе «Базовая» выберите «Десятичное число».
  7. В поле данных «Значение» введите 60 и нажмите кнопку » ОК».
  8. Закройте редактор реестра и перезапустите компьютер.
  9. Если групповая политика скрипт запуска не выполняется, увеличьте GpNetworkStartTimeoutPolicyValue значение записи реестра.

Дополнительные сведения

Указанное значение должно быть достаточно длинным, чтобы убедиться, что соединение установлено. В течение периода ожидания Windows будет проверять состояние подключения каждые две секунды и продолжит работу системы, как только подключение будет подтверждено. Поэтому рекомендуется выполнять переключение с высокой стороны. Если система отключена по умолчанию (например, отключенный сетевой кабель, сервер вне сети и т. д.), Windows будет остановлена на весь период времени ожидания.

Его также можно определить с помощью групповая политика:

Расположение политики: политики конфигурации >> компьютеров Администратор >> имя параметра групповая политика шаблонов: ключ реестра времени ожидания обработки политики запуска: HKLM\Software\Policies\Microsoft\Windows\System!GpNetworkStartTimeoutPolicyValue

Если вы определите параметр групповой политики, он переопределит параметр вручную. Если параметры групповая политика вручную и групповая политика не определены, значение выбирается из следующего расположения реестра:

Так как время ожидания не определено, система использует собственный алгоритм для вычисления и получения среднего времени ожидания. Это значение хранится в указанном выше расположении реестра. Она может различаться в зависимости от системы и зависит от различных факторов, таких как предыдущие попытки входа.

Описание групповая политика «Время ожидания обработки политики запуска» не является подробным и не охватывает все сценарии. То, что в настоящее время политика не настроена, не означает, что мы будем использовать значение времени ожидания по умолчанию 30 секунд.

Почему GPO не применяется на группу?

61c8d44645aa2533376061.png

Я пытаюсь применить GPO на OU Astana-group в которым находится только группа cool-group в котором в свою очередь пользователь Yessen к которому я хочу применить политику (да по другому тут не объяснить. ) но так GPO не применяется но если я перемещу пользователя Yessen в OU Astana-group только в этом случае заработает политика в чем проблема?

  • Вопрос задан более двух лет назад
  • 386 просмотров

Комментировать

Решения вопроса 1

Alexey Dmitriev @SignFinder

Wintel\Unix Engineer\DevOps

GPO всегда применяется на OU, и может фильтроваться и применяться только на членов определенной группы объектов, находящихся в OU, к которому прилинкована GPO.

Ответ написан более двух лет назад

Нравится 1 6 комментариев

Почему не применяется групповая политика (как действовать?)?

Добрый день.
Имеется проблема с применением ГП на некоторых компьютерах.
При вводе gpupdate /force —
Не удалось успешно обновить политику компьютера. Обнаружены следующие ошибки:

Ошибка при обработке групповой политики. Попытка чтения файла «\\Имя_домени\SysVol\Имя_домени\Policies\\gpt.ini» с контроллера домена была неудачной. Параметры групповой политики не могут быть применены, пока не будет исправлена эта ситуация. Это может быть временным явлением, его возможные причины:
a) Ошибка разрешения имен или проблемы сетевого подключения к текущему контроллеру домена.
b) Запаздывание репликации Active Directory (созданный на другом контроллере домена файл еще не реплицирован на текущий контроллер домена).
c) Отключен клиент распределенной файловой системы (DFS).
Чтобы диагностировать сбой, просмотрите журнал событий или запустите GPRESULT /H GPReport.html из командной строки для просмотра сведений о результатах групповой политики.

626bc999a3783241505777.png

GPRESULT /H GPReport.html — делал, результате скриншоте

Этот политика в другом компьютере работает.
Уважаемые, подскажите какую сторону копать?

  • Вопрос задан более года назад
  • 2000 просмотров

Комментировать

Решения вопроса 0

Ответы на вопрос 2

borisdenis

Довольный Айтишникъ @borisdenis

626bdd9a844dc327752161.jpeg

В gpmc.msc на политику в соответствующей ветки дерева домена правой кнопкой => Связь включена?

Ответ написан более года назад

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *