Недавно мы очистили наш домен, Active Directory, групповые политики и т. д. Наша зона DNS MCSDCS находилась в неправильном месте, наш SYSVOL не реплицировался, потому что был заблокирован из-за ошибки переполнения журнала более года, а наш центральный репозиторий определений политик в какой-то момент сам себя уничтожил. Так что в целом наш домен пострадал от многих лет прохождения через слишком много разных системных администраторов с разным уровнем опыта, а также был обновлен с 2000 по 2003 год, а затем с 2003 по 2008 год, и мы готовимся сделать еще одно обновление в течение следующего года.
В любом случае, одна из проблем, с которой мы столкнулись, была очень раздутой политикой домена по умолчанию, в нее были добавлены всевозможные случайные настройки. Некоторые настройки, я полагаю, были в какой-то момент устарели, и я не мог найти их, чтобы отключить в редакторе. Я вытащил много материала в более тематические объекты групповой политики, убедился, что они все еще консолидированы и т. д. Как только мы это сделали, все наши настройки RDP вернулись к значениям по умолчанию практически на всех машинах в здании — не на всех, хотя и не на всех, но и не было очевидной другой закономерности, основанной на OU пользователя или ПК, или Win 7 против Win 10 и т. д. Мы не используем брандмауэр Windows, так что это не настройки, связанные с брандмауэром. Это конкретные настройки на вкладке Свойства системы > Удаленный.
Это тот момент, когда я понял, что наши шаблоны администрирования в центральном репозитории были уничтожены (я сам немного новичок в администрировании доменов Windows). Я предположил, что либо политика домена по умолчанию, либо одна из других политик, которые я исправлял или удалял, включала некоторые настройки, которые я не мог видеть в редакторе в GPO, потому что у нас даже не был загружен этот шаблон политики. Поэтому после загрузки шаблонов по умолчанию я отредактировал правильные настройки, применил GPO, принудительно выполнил обновление... и ничего. Я сделал так, что принудительное применение было принудительно, я убедился, что оно затронет моего пользователя, подтвердил в GPRESULT, а затем я даже связал его в подразделениях USER и PC, ближайших к моим объектам AD... и все равно ничего.
Я вручную добавил два ключа реестра в GPO для разрешения удаленного рабочего стола и не требующего NLA. Все еще ничего. Я могу переключать эти ключи реестра вручную, и изменение настроек обратно на панели свойств системы изменяет ключи обратно для подтверждения, но GPO не изменяет ключи.
Я запустил GPRESULT для параметра scope:computer и увидел следующее:
Настройки этого объекта групповой политики отображаются в разделе «Настройки».
Политика отображается в разделе «Примененные объекты групповой политики» и имеет значение «Применено = Да».
Правильный победивший объект групповой политики указан в индивидуальных настройках, в ключах реестра указано «result:success».
Да, эти настройки не меняются на моем ПК после нескольких GPUPDATE /FORCE, перезагрузок, ожидания цикла обновления GPO (плюс максимальное значение смещения) и никаких изменений!
Может ли кто-нибудь указать мне правильное направление? Любая помощь будет оценена по достоинству!
РЕДАКТИРОВАТЬ:
Конкретные настройки: Подход к шаблону администратора: Компоненты Windows/Службы удаленных рабочих столов/Узел сеансов удаленных рабочих столов/Подключения Разрешить пользователям удаленно подключаться с помощью служб удаленных рабочих столов — Включено
Компоненты Windows/Службы удаленных рабочих столов/Хост сеансов удаленных рабочих столов/Безопасность Требовать проверку подлинности пользователя для удаленных подключений с использованием проверки подлинности на уровне сети - Отключено
Подход к ключу реестра: HKEY_LOCAL_MACHINE SYSTEM\CurrentControlSet\Control\Terminal Server fDenyTSConnections REG_DWORD 0x0 (0)
HKEY_LOCAL_MACHINE SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp UserAuthentication REG_DWORD 0x0 (0)
Они ОБА являются компьютерными изменениями.
Я пробовал это с GPO в области действия ПК OU, а также пытался поместить GPO в области действия и пользователя, и ПК.
решение1
Мне следовало бы прочитать ваш вопрос более внимательно.
Вы ищете параметры групповой политики не в том месте реестра. Параметры групповой политики (из раздела «Административные шаблоны») записываются в одно из следующих четырех мест реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\политики
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies
HKEY_CURRENT_USER\SOFTWARE\policies
HKEY_ CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies
Изменение ключей реестра вручную, как вы это сделали, — это своего рода отвлекающий маневр. Вы ожидаете, что групповая политика изменит эти ключи, и, не увидев ожидаемых результатов, приходите к выводу, что групповая политика не применяется... но, как показывают результаты GPRESULT, вы просто ищете изменения не там, где нужно.
Когда эти параметры настраиваются групповой политикой, вы должны увидеть это в графическом интерфейсе. На изображении ниже параметр недоступен, что означает, что он управляется групповой политикой:
На изображении ниже параметр доступен, то есть он не управляется групповой политикой:
