Windows не удалось применить параметры mdm policy

Обновлено: 04.07.2024

ситуация такая - на 7-ке выключаю UAC - ползунок вниз до конца, после перезагрузки опять вверху на максимуме.
Причина - каждую загрузку очищается ветка HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System

Что бы там не находилось.

Антивирус (DrWeb с последними базами) установлен, всё чисто.
В автозагрузке ничего подозрительного нет.

Восстановление реестра не помогло, через несколько перезагрузок то же самое

Лечится только полной переустановкой системы с нуля.
Sfc /scannow - всё ОК
Только ГП не работают, пишет:

Обновление политики пользователя завершено успешно.
Не удалось успешно обновить политику компьютера. Обнаружены следующие ошибки:

Ошибка при обработке групповой политики. Windows не удалось применить основанные
на данных реестра параметры политики для объекта групповой политики "LocalGPO".
Параметры групповой политики не могут быть применены, пока не будет исправлена
эта ситуация. Сведения об имени и пути файла, вызвавшего эту ошибку, содержатся
в подробностях об этом событии.

Конфигурация компьютера
Процессор: Intel C2D E6750
Материнская плата: Asus P5K-VM
Память: 4 X 1024MB Kingston KVR800D2N5
HDD: Seagate Barracuda 7200.10 320GB sATAII
Видеокарта: Asus Radeon HD5570
Звук: HDA кодек Realtek ALC883
Блок питания: Antec 500W ATX
CD/DVD: SonyNEC Optiarc AD-7203S
Монитор: Acer 1934M
ОС: Windows 7 Ultimate 32-bit
Индекс производительности Windows: 5.4

Вполне вероятно, это его проделки. Удалить, именно удалить а не отключить. И по-тестить без него.

-------
Нефиг ставить то, к чему второй сервис-пак не вышел.
"Есть старое правило - чтобы не было геморроя, руки должны быть прямыми, а извилины - кривыми, но не наоборот." © Korzh

Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Удалил, то же самое, даже восстановление реестра не помогло (до веба).
Есть подозрения что остался какой-то адм. шаблон, но не в реестре, где-то на диске.
Как очистить с диска адм. шаблоны ?
Где они находятся ?

Как вернуть локальную политику безопасности в Win7 в первоначальное состояние ?

Конфигурация компьютера
Процессор: Intel C2D E6750
Материнская плата: Asus P5K-VM
Память: 4 X 1024MB Kingston KVR800D2N5
HDD: Seagate Barracuda 7200.10 320GB sATAII
Видеокарта: Asus Radeon HD5570
Звук: HDA кодек Realtek ALC883
Блок питания: Antec 500W ATX
CD/DVD: SonyNEC Optiarc AD-7203S
Монитор: Acer 1934M
ОС: Windows 7 Ultimate 32-bit
Индекс производительности Windows: 5.4

Как очистить с диска адм. шаблоны ?
Где они находятся ? »

х:\Windows\System32\GroupPolicy\User\registry.pol попробуте удалить. Перезагрузка.

Конфигурация компьютера
Процессор: Intel Core i7-3770K
Материнская плата: ASUS P8Z77-V LE PLUS
Память: Crucial Ballistix Tactical Tracer DDR3-1600 16 Гб (2 x 8 Гб)
HDD: Samsung SSD 850 PRO 256 Гб, WD Green WD20EZRX 2 Тб
Видеокарта: ASUS ROG-STRIX-GTX1080-O8G-11GBPS
Звук: Realtek ALC889 HD Audio
Блок питания: be quiet! Straight Power 11 650W
CD/DVD: ASUS DRW-24B5ST
Монитор: ASUS VG248QE 24"
ОС: Windows 8.1 Pro x64
Индекс производительности Windows: 8,1
Прочее: корпус: Fractal Design Define R4

выключите UAC, чтобы в реестре появился соответствующий параметр;
запустите Process Monitor и в меню Filter -> Filter задайте:
Path
begins with
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
Include
меню Filter -> включите флажок Drop Filtered Events ;
меню Options -> включите флажок Enable Boot Loging ;
перезагрузитесь и убедитесь, что ветка реестра очистилась;
снова запустите Process Monitor и сохраните лог в CSV -формате;
заархивируйте и выложите на любой файлообменник.

Vancouver,
СПАСИБО.
Проблема решена, из-за этого файлика 3 раза винду переустанавливал с нуля.
c:\Windows\System32\GroupPolicy\Machine\Registry.pol - на этом компе имел размер 1728 байт и состоял из нулей .
Надо же - век живи - век учись .

Petya V4sechkin,
Спасибо за методу решения подобных проблем.

ЗЫ
МС конечно в таких ситуациях поступает подло - им нужно чекать все hives, участвующие в загрузке.
Хотя-бы в евентах что-нибудь оставили, чтобы не искать иголку в стоге сена.
IMHO

Последний раз редактировалось YURETZS, 20-03-2013 в 22:51 .

*1
sfc /scannow - Защита ресурсов Windows не обнаружила нарушений целостности.
Система является клоном. А именно, поставил систему на HDD. Потом накатил её на SSD.
В система что на HDD контроль и включается и отключается без проблем. А в системе на SSD после перезагрузки выставляется на максимум.

*2 Нашёл в "Управлении компьютером", "Просмотр событий" "Журналы Windows" "Система".
Следующую запись об ошибке. Код события 1096
"Ошибка при обработке групповой политики. Windows не удалось применить основанные на данных реестра параметры политики для объекта групповой политики "LocalGPO". Параметры групповой политики не могут быть применены, пока не будет исправлена эта ситуация. Сведения об имени и пути файла, вызвавшего эту ошибку, содержатся в подробностях об этом событии."
Снова вопрос в файле C:\Windows\System32\GroupPolicy\Machine\registry.pol
буду копать в эту сторону.

*3 gpupdate /force - результата не дало. Пишет тоже самое что и в *2 и рекомендует выполнить команду по созданию отчёта в котором из полезного отсылка к записи об ошибке в журнале с описанием **.

*4 Система Win7 SP1 + набор обновлений от simplix.info (в частности UpdatePack7R2-20.12.10.exe)

Последний раз редактировалось Виктор.Савинов@vk, 10-01-2021 в 09:12 . Причина: Дополнение *4

Конфигурация компьютера
Процессор: Intel Core i7-3770K
Материнская плата: ASUS P8Z77-V LE PLUS
Память: Crucial Ballistix Tactical Tracer DDR3-1600 16 Гб (2 x 8 Гб)
HDD: Samsung SSD 850 PRO 256 Гб, WD Green WD20EZRX 2 Тб
Видеокарта: ASUS ROG-STRIX-GTX1080-O8G-11GBPS
Звук: Realtek ALC889 HD Audio
Блок питания: be quiet! Straight Power 11 650W
CD/DVD: ASUS DRW-24B5ST
Монитор: ASUS VG248QE 24"
ОС: Windows 8.1 Pro x64
Индекс производительности Windows: 8,1
Прочее: корпус: Fractal Design Define R4

Виктор.Савинов@vk, какая-то системная служба удаляет раздел реестра
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System

По фильтрованному CSV ничего конкретного выяснить невозможно.
Сделайте полный лог (меню Filter -> Reset Filter) в PML-формате.

Попутно были устранены д.р ошибки в журнале системы (загрузки драйвера для флешки) удалён ОО Defrag. Не связанные с проблемой. Основным решением проблемы считаю проделанное ниже.

Я пытаюсь развернуть MSI через групповую политику в Active Directory. Но это ошибки, которые я получаю в журнале событий системы после входа в систему:

Не удалось выполнить назначение приложения XStandard из установки политики. Ошибка: %% 1274
Не удалось удалить назначение приложения XStandard из установки политики. Ошибка: %% 2
Не удалось применить изменения в настройках установки программного обеспечения. Установка программного обеспечения, развернутого с помощью групповой политики для этого пользователя, была отложена до следующего входа в систему, поскольку изменения должны быть применены до входа пользователя в систему. Ошибка: %% 1274
Установка программного обеспечения боковой стороны клиентской системы групповой политики не смогла применить одну или несколько настроек, поскольку изменения должны быть обработаны до запуска системы или входа в систему. Система будет ожидать завершения обработки групповой политики до следующего запуска или входа в систему для этого пользователя, и это может привести к медленной загрузке и загрузке.

Вы видите ужасное бедствие асинхронной обработки политик. Это не «функция» (и была отключена по умолчанию в Windows 2000, но по умолчанию включена в Windows XP и выше) и вызывает именно то, что вы видите, - недетерминированное поведение при обработке некоторых типов настроек объекта групповой политики.

В объекте групповой политики, который применяется к этому компьютеру, добавьте следующий параметр:

После того, как вы установили это (и разрешите репликацию объекта групповой политики, если вы находитесь в среде с несколькими DC), сделайте «gpupdate /force /boot» на данном ПК. Он перезагрузится, и вы увидите, как происходит установка программного обеспечения.

«Всегда ждать сети при запуске компьютера и входе в систему» немного замедляет запуск и вход в систему, поскольку все расширения GPO разрешены для обработки, но вверху является то, что все расширения GPO могут обрабатываться.

Я попробовал Всегда ждать подключения к сети при запуске компьютера и входе в систему - Включено из ответа от @Evan Anderson, но это было только после того, как я добавил этот параметр ниже, а также, что позволило установить программное обеспечение. Не уверен, что это комбинация обоих настроек или нет. Теперь он работает, поэтому я оставляю обе настройки.

В групповой политике, применяемой к этим рабочим станциям, перейдите к:

Конфигурация компьютера> Политики> Административные шаблоны> Система> Групповая политика

Включить Укажите время ожидания обработки политики запуска . Установить Количество времени для ожидания (в секундах) : = 120

120 может быть излишним, но это сработало для меня. Другие форумы предложили установить это на 30 секунд. Несмотря на то, что 30 секунд по умолчанию (когда политика не установлена), для них работало 30 секунд.

Это может произойти, если приложение уже установлено, но msiexec не может его удалить. Наиболее распространенным сценарием является предыдущая ручная установка с выбранным «Только для меня» вместо «Все, кто входит в систему на этом компьютере».

И я просто нашел другую причину этой ошибки. Если у вас есть «Spanning Tree», настроенное на коммутаторе ethernet, подключенном к рабочей станции проблем, это задерживает активацию порта коммутатора при загрузке ПК. Отключение Spanning Tree для порта коммутатора или включение «Spanning Tree Portfast» для коммутатора решило эту проблему на нескольких моих рабочих станциях.

У меня была такая же проблема, но ни одна из исправлений выше не работала. Я, наконец, понял, что еще один объект групповой политики пытался установить программное обеспечение до моего, и он ошибся с ошибкой %% 1274, потому что сам объект групповой политики имел неправильные разрешения. По какой-то причине этот отказ не позволял моему GPO устанавливать, даже если у меня были правильные разрешения. Как только я отключил другой объект групповой политики, мой GPO установлен правильно.

Изменение « Время ожидания обработки политики запуска » работало для меня. Он был установлен на 30 секунд, но некоторые рабочие станции все еще терпели неудачу с %% 1274.

Я поднял его до 90 секунд, и они были счастливы.

Иногда ваша групповая политика может быть испорчена. Попробуйте удалить весь раздел реестра HKLM /SOFTWARE /Microsoft /Windows /CurrentVersion /групповая политика. Вероятно, вы найдете все, что потребуется от GP, после перезагрузки. Вы можете сначала создать резервную копию своего реестра .

Я столкнулся с тем же поведением с несколькими ноутбуками. Они работали отлично на пару лет, а затем внезапно они не установили никакого нового программного обеспечения через gpo. Принуждение настройки «Время ожидания обработки политики запуска», похоже, устранило проблему. Как уже говорилось, должен по умолчанию 30 секунд, но для меня казалось, что ноутбуки вообще не ожидали при запуске для политик, но пропустили прямо. Все ноутбуки были win7x64, DCs Server2008R2 и Server2012.

У нас была такая же проблема. Наконец, мы выяснили, что наши ноутбуки были RADIUS аутентифицированы для Wi-Fi, и сетевая установка не могла начаться до тех пор, пока пользователь не войдет в систему с учетными данными AD (потому что до сих пор не удалось подключиться к сети для удаленного запуска файлов установки). И после того, как пользователь вошел в систему, было слишком поздно, поскольку установка должна была начаться до этого.

Когда клиент подключился через Ethernet, он работал как шарм!

Я регистрировался на клиентских компьютерах как пользователь домена с правами администратора Enterprise /Domain и смог без проблем получить доступ к общей папке, содержащей установочные пакеты MSI. Хотя в какой-то момент он попытался получить доступ к нему через \ IP \ share_path_to_msi_packages_folder с другого ПК, не являющегося доменом, и продолжал получать всплывающее окно входа в систему. В принципе, даже если один разрешает всем пользователям и группам домена или другим пользователям или «всем» разрешениям на чтение и запись в общей папке, он все равно не работает и запрашивает у меня имя пользователя /пароль, тем самым не позволяя локальному клиенту вытаскивать пакеты, на которые указывает объект групповой политики , Это вызвано анонимным доступом по умолчанию . После включения его и предоставления разрешений на чтение и запись в папку MSI удалось успешно выполнить большинство пакетов, и только synology-cloud-station-3.1.-3320.msi не удалось (нужно изучить его). Я также смог получить доступ к общей папке с любой машины без домена.

101 Не удалось выполнить назначение приложения 7-Zip 9.20 (версия x64) из политики установки базовых пакетов DOMAIN. Ошибка: %% 1274

103 Не удалось выполнить назначение приложения 7-Zip 9.20 (версия x64) из политики установки базовых пакетов DOMAIN. Ошибка: %% 1274

108 Не удалось применить изменения в настройках установки программного обеспечения. Установка программного обеспечения, развернутого с помощью групповой политики для этого пользователя, была отложена до следующего входа в систему, поскольку изменения должны быть применены до входа пользователя в систему. Ошибка: %% 1274

1112 Не удалось применить изменения в настройках установки программного обеспечения. Установка программного обеспечения, развернутого с помощью групповой политики для этого пользователя, была отложена до следующего входа в систему, поскольку изменения должны быть применены до входа пользователя в систему. Ошибка: %% 1274

СЕРВЕР DC1 (PDC) + DC2 (BDC) + DC3 (DBC) Стандарт Windows 2012 R2 полностью обновлен

КЛИЕНТЫ Windows 7 Pro SP1 (очистка Dell, полностью обновленные, конфликтующие пакеты, такие как старый Adobe Flash, удаленный)

Вы уже пробовали на клиентах:

gpupdate /force
gpupdate /force /boot (оба попросят перезагрузить и выбросить ошибку, чтобы политики не были применены)
gpresult /r (хорошо выглядит)
оба сервера и клиенты могут обращаться к общему диску, где хранятся пакеты MSI.
перезагрузка нескольких раз DC1 и клиентов после изменений в объекте групповой политики

GPO отключает UAC:

* Computer Configuration * Policies * Windows Settings * Security Settings * Local Policies * Security Options ELEVATE WITHOUT PROMPTING: User Account Control: Behaviour of the elevation prompt for administrators in Admin Approval Mode DISABLE: User Account Control: Detect application installation and prompt for elevation DISABLE: User Account Control: Run all administrators in Admin Approval Mode

* Computer Configuration * Policies * Software Installation * 7-Zip 9.20 (x64 edition) v9.20 Assigned \LANIP\Utils\Software\GPO\7zip-7z920-x64.msi * Google Chrome v66.41 Assigned \LANIP\Utils\Software\GPO\googlechromestandaloneenterprise.msi * Mozilla Firefox (en-GB) v35.0 Assigned \LANIP\Utils\Software\GPO\firefox-35.0.1-en-gb-msi * Synology Cloud Station v3.1 Assigned \LANIP\Utils\Software\GPO\synology-cloud-station-3.1.-3320.msi

Все объекты групповой политики помещаются в объекты групповой политики, а затем связаны из объектов групповой политики непосредственно в нашем домене. Другие настройки, такие как ограничения IE от другого объекта групповой политикинастройка таким же образом применима к клиенту правильно.

Другие ошибки в AD, DHCP, DNS не работают, машины получают IP-адреса и могут разрешать имена через nslookup, а также пинговать друг друга на IPv4 /IPv6.

Windows 2012 R2

В групповой политике, применяемой к этим рабочим станциям, перейдите к:

Конфигурация компьютера> Политики> Административные шаблоны> Система> Групповая политика

Включить время ожидания обработки политики запуска. Set Количество времени ожидания (в секундах): = 120

Файл MDM.admx, также известный как файл Windows Group Policy Language-neutral, был создан компанией Microsoft для разработки Windows 10. Файлы ADMX относятся к категории типов файлов XML (Windows Group Policy Language-neutral).

Файл MDM.admx впервые был выпущен для ОС Windows 10 07/29/2015 с Windows 10. По нашим данным, этот файл является последним обновлением от компании Microsoft.

Продолжайте читать, чтобы найти загрузку правильной версии файла MDM.admx (бесплатно), подробные сведения о файле и порядок устранения неполадок, возникших с файлом ADMX.

Совместимость с Windows 10, 8, 7, Vista, XP и 2000

Средняя оценка пользователей

Сведения о разработчике и ПО
Программа:	Windows 10
Разработчик:	Microsoft
Программное обеспечение:	Windows
Версия ПО:	10

Сведения о файле
Размер файла (байты):	1258
Дата первоначального файла:	03/18/2017
Дата последнего файла:	03/18/2017

Информация о файле	Описание
Размер файла:	1258 bytes
Дата и время изменения файла:	2017:03:18 18:19:41+00:00
Дата и время изменения индексного дескриптора файлов:	2017:11:05 07:07:55+00:00
Тип файла:	XML
Тип MIME:	application/xml

✻ Фрагменты данных файлов предоставлены участником Exiftool (Phil Harvey) и распространяются под лицензией Perl Artistic.

Общие ошибки выполнения MDM.admx

Ошибки файла MDM.admx часто возникают на этапе запуска Windows, но также могут возникать во время работы программы. Эти типы ошибок ADMX также известны как «ошибки выполнения», поскольку они возникают во время выполнения Windows. К числу наиболее распространенных ошибок выполнения MDM.admx относятся:

Не удается найти MDM.admx.
MDM.admx — ошибка.
Не удалось загрузить MDM.admx.
Ошибка при загрузке MDM.admx.
Не удалось зарегистрировать MDM.admx / Не удается зарегистрировать MDM.admx.
Ошибка выполнения — MDM.admx.
Файл MDM.admx отсутствует или поврежден.

Программа: C:\Windows\PolicyDefinitions\MDM.admx

Среда выполнения получила запрос от этого приложения, чтобы прекратить его необычным способом.
Для получения дополнительной информации обратитесь в службу поддержки приложения.

В большинстве случаев причинами ошибок в ADMX являются отсутствующие или поврежденные файлы. Файл MDM.admx может отсутствовать из-за случайного удаления, быть удаленным другой программой как общий файл (общий с Windows) или быть удаленным в результате заражения вредоносным программным обеспечением. Кроме того, повреждение файла MDM.admx может быть вызвано отключением питания при загрузке Windows, сбоем системы при загрузке или сохранении MDM.admx, наличием плохих секторов на запоминающем устройстве (обычно это основной жесткий диск) или заражением вредоносным программным обеспечением. Таким образом, крайне важно, чтобы антивирус постоянно поддерживался в актуальном состоянии и регулярно проводил сканирование системы.

Шаг 1. Восстановите компьютер до последней точки восстановления, «моментального снимка» или образа резервной копии, которые предшествуют появлению ошибки.

Чтобы начать восстановление системы (Windows XP, Vista, 7, 8 и 10):

Если на этапе 1 не удается устранить ошибку MDM.admx, перейдите к шагу 2 ниже.

Шаг 2. Запустите средство проверки системных файлов (System File Checker), чтобы восстановить поврежденный или отсутствующий файл MDM.admx.

Средство проверки системных файлов (System File Checker) — это утилита, входящая в состав каждой версии Windows, которая позволяет искать и восстанавливать поврежденные системные файлы. Воспользуйтесь средством SFC для исправления отсутствующих или поврежденных файлов MDM.admx (Windows XP, Vista, 7, 8 и 10):

Следует понимать, что это сканирование может занять некоторое время, поэтому необходимо терпеливо отнестись к процессу его выполнения.

Если на этапе 2 также не удается устранить ошибку MDM.admx, перейдите к шагу 3 ниже.

Шаг 3. Выполните обновление Windows.

Если ни один из предыдущих трех шагов по устранению неполадок не разрешил проблему, можно попробовать более агрессивный подход (примечание: не рекомендуется пользователям ПК начального уровня), загрузив и заменив соответствующую версию файла MDM.admx. Мы храним полную базу данных файлов MDM.admx со 100%-ной гарантией отсутствия вредоносного программного обеспечения для любой применимой версии Windows . Чтобы загрузить и правильно заменить файл, выполните следующие действия:

Windows 10: C:\Windows\PolicyDefinitions\

Если этот последний шаг оказался безрезультативным и ошибка по-прежнему не устранена, единственно возможным вариантом остается выполнение чистой установки Windows 10.

21.03.2019

Active Directory, Групповые политики

комментариев 8

Область действия (scope) GPO

Если некой параметр политики не применятся на клиенте, проверьте область действия (scope) групповой политики. Если вы настраиваете параметр в секции Конфигурация компьютера (Computer Configuration), значит ваша групповая политика должна быть привязана к OU с компьютерами. Соответственно, если настраиваемый параметр относится к Конфигурация пользователя (User configuration).

Также проверьте, что объект, к которому вы пытаетесь применить политику находится в нужном OU с компьютерами или пользователями. Можно воспользоваться поиском по домену. OU, в котором находится объект содержится на вкладке Object в консоли ADUC.

Т.е целевой объект должен находится в OU, на который назначена политика (или во вложенном контейнере).

Фильтр безопасности GPO

Если вы решили изменить этот фильтр безопасности, чтобы политика применялась только к членам определенной группы безопасности домена (или конкретным пользователям/ компьютерам), удалив группу Authenticated Users, убедитесь, что целевой объект (пользователь или компьютер) добавлен в эту группу AD. Также проверьте, что для группы, которую вы добавили в Security Filtering на вкладке GPO -> Delegation -> Advanced в списке разрешений присутствуют права Read и Apply group policy с полномочиями Apply.

Если вы используете нестандартные фильтры безопасности политик, проверьте, что для целевых групп нет явного запрета на применение GPO (Deny).

WMI фильтры GPO

В групповых политиках можно использовать специальные WMI фильтры. Это позволяет применить политику к компьютерам на основании некоторого WMI запроса. Например, мы можете создать WMI фильтр GPO для применения политики только к компьютерам с определенной версией Windows, к ПК в определенной IP подсети, только к ноутбукам и т.д.

При использовании WMI фильтров групповых политик вам нужно проверить корректность WMI запроса, который выбирает только те системы, которые вам нужны и не исключаются ваши целевые компьютеры. Вы можете протестировать WMI фильтр на компьютерах через PowerShell

gwmi -Query ‘select * from Win32_OperatingSystem where Version like "10.%" and ProductType="1"‘

Если запрос возвращает любые данные, значит WMI фильтр применится к этому компьютеру.

Статус групповой политики

Проверьте статус групповой политики, перейдя в консоли GPMC.msc в свойствах политики на вкладку Details. Обратите внимание на значение в поле GPO Status.

Как вы видите, доступно 4 варианта:

All setting disabled – все настройки политики отключены (не применяются);
Computer configuration settings disabled – не применяются настройки из параметров GPO компьютера;
User configuration settings disabled – не применятся настройки пользовательских политик;
Enabled – все настройки политики применяются к целевым объектам AD (значение по –умолчанию).

Делегирование GPO

На вкладке политики Delegation указаны разрешения, настроенные для данной групповой политики. Здесь можно увидеть каким группам даны права на изменения настроек GPO, а также на разрешение или запрет применения политики. Вы можете предоставить права на управление GPO из этой консоли или с помощью мастера делегирования в ADUC. Кроме того, наличие строки доступа для Enterprise Domain Controllers определяет возможность репликации данной политики между контроллерами домена Active Directory (это нужно иметь в виду при наличии проблем с репликацией политики между DC). Обратите внимание, что права на вкладке Delegation соответствуют NTFS правам, назначенным на каталог политики в папке SYSVOL

Наследование групповых политик

Наследование это одна из основных концепции групповых политик. Политики верхнего уровня по-умолчанию применяются ко всем вложенным объектам в иерархии домена. Однако, администратор может заблокировать применение всех наследованных политик на определенный OU. Для этого в консоли GPMC нужно щелкнуть ПКМ по OU и выбрать пункт меню Block inheritance.

Организационные подразделения с отключенным наследованием политик в консоли отображаются с синим восклицательным знаком.

Если политика не применяются на клиенте, проверьте, не находится ли он в OU с отключенным наследованием.

Имейте в виду, что доменные политики, для которых включено свойства “Enforced”, применяются даже на OU с отключённым наследованием (наследованные политики, которые применяются к контейнеру доступны на вкладке Group Policy Inheritance).

Область действия и порядок применения групповых политик (LSDOU)

Чтобы запомнить особенности порядка применения групповых политик в домене, нужно запомнить аббревиатуру LSDOU. Это аббревиатура позволяет запомнить порядок применения GPO:

Локальные политики компьютера (Local), настроенные через gpedit.msc (при некорректной настройке их можно сбросить);
Групповые политики уровня сайта (Site);
Групповые политики уровня домена (Domain);
Групповые политики уровня организационного подразделения (Organizational Unit).

Последние политики имеют наивысший приоритет. Т.е. если вы включили некий параметр Windows на уровне политики домена, но на целевом OU данный параметр отключается другой политикой – это означает, что нужный параметр в результате будет отключен на клиенте (выиграет ближайшая политика к объекту в иерархии AD).

При использовании параметра Forced у GPO выигрывает та, политика находится выше в иерархии домена (например, при включении Forced у политики Default Domain Policy, она выигрывает у всех других GPO).

Кроме того, администратор может изменить порядок обработки политик (Link Order) в консоли GPMC. Для этого нужно выбрать OU и перейти на вкладку Linked Group Policy Objects. В списке содержаться список GPO, которые применяются к данной OU с указанием приоритета. Политики обрабатываются в обратном порядке (снизу-вверх). Это означает что политика с Link Order 1 выполнится последней. Вы можете изменить приоритет GPO с помощью стрелок в левом столбце, передвинув ее выше или ниже в списке.

GPO Link Enabled

У каждого объекта GPO, который привязан к организационному контейнеру AD вы можете включить или отключить связь (применение политики). Для этого нужно включить или отключить опцию Связь включена (Link Enabled) в меню политики. Если связь для политики отключена, ее иконка становится бледной. При отключении связи политика перестает применяться к клиентам, но ссылка на объект GPO не удаляется из иерархии. Вы можете активировать данную связь в любой момент.

Замыкание групповой политики

При включении опции Режим замыкания групповой политики (Loopback Processing mode) вы можете применить к компьютеру настройки, которые содержаться в секции GPO с настройками пользователями. Например, если вы примените к OU с компьютерами политику, в которой настроены параметры в секции User Configurations, эти политики не будут применены к пользователю бзз использования замыкания. Режим Loopback Processing включается в разделе Computer Configuration -> Administrative Templates -> System -> Group Policy -> Configure user Group Policy Loopback Processing mode.

У этой политики есть два возможных значение:

В этом режиме политика отрабатывает дважды, об этом нужно помнить при использовании; logon скриптов.

Диагностика применения GPO на стороне клиента

Вы можете провести диагностику применения групповых политик на стороне клиента с помощью утилит gpresult, rsop.msc и журнала событий Windows. При использовании Event Viewer нужно использовать фильтр по источнику GroupPolicy (Microsoft-Windows-GroupPolicy), а также в журнале Application and Services Logs -> Microsoft -> Windows -> Group Policy -> Operational.

Также можете познакомиться со статей, описывающей принципы диагностики при слишком долгом применении политик на клиентах.

В заключении хочется сказать, что следует держать структуру групповых политик как можно более простым и не создавать лишние политик без необходимости. Используйте единую схему именование политик, имя GPO должно давать однозначное понимание того, для чего она нужна.