Почему не применяется групповая политика к компьютеру или OU?
В этой обзорной статье я постараюсь разобрать типовые причины, из-за которых та или иная групповая политика может не применяться к подразделению (OU) или конкретному компьютеру / пользователю. Я думаю эта статья будет полезна как новичкам, так и профессионалам групповых политик AD для понимания принципов работы и архитектуры GPO. В первую очередь в статье я расскажу о возможных проблемах применения GPO, связанные с настройками самих политик на уровне домена, а не о траблшутинге применения GPO на клиентах. Практически все настройки, описанные в статье, выполняются в консоли редактора доменных групповых политик — Group Policy Management Console (GPMC.msc).
Симптомы
Рассмотрим следующий сценарий:
У некоторых компьютеров под управлением Windows Vista, Windows Server 2008, Windows Server 2008 R2 или Windows 7.
Настроить некоторые параметры групповой политики в домене.
Эти параметры групповой политики применяются к компьютерам.
В этом случае некоторые параметры групповой политики не применяются успешно. Кроме того следующее сообщение об ошибке регистрируется в журнале приложения компьютеров:
Имя журнала: приложения
Код события: 8194Категория задачи: (2)
Ключевые слова: классический
Описание: Клиентское расширение не удалось удалить параметры политики пользователя «Имя домена », поскольку он вызвал ошибку с кодом «0x8007000d данные являются недопустимыми.» Файл трассировки для получения дополнительных сведений см.
Наиболее распространенные сценарии появления ошибки «Нет доступа к целевой папке. Вам необходимо разрешение на выполнение этой операции» — попытка что-то изменить в одной из системных папок Windows или же, в некоторых случаях, при записи на флешку или создании каких-либо файлов на ней. В обоих случаях это сравнительно несложно решается.
В этой инструкции о том, как исправить ошибку «Нет доступа к целевой папке» для системных папок Windows 10, 8.1 и Windows 7 (первый раздел статьи) и эту же ошибку на флешки и других USB-накопителей (вторая часть). Во всех случаях, чтобы проделать указанные действия у вас должны быть права администратора на компьютере.
Нет доступа к целевой папке при операциях внутри системных папок
Предположим, что вам требуется выполнить какие-то изменения в системной папке (создание и копирование файлов и другие), вы уже стали владельцем папки, но при попытках действий в ней получаете сообщение о том, что вам необходимо разрешение на выполнение этой операции.
Прежде всего учитывайте, что действия над файлами в системных папках Windows потенциально опасны, будьте осторожны. Путь исправления проблемы будет следующим (возможно, вы уже выполняли часть описанных действий, но я изложу их все по порядку, пример приводится для Windows 10, в предыдущих ОС всё примерно так же):
takeown /F “путь_к_папке” (становимся владельцем папки)
takeown /F “путь_к_папке” /r /d y (становимся владельцем содержимого папки)
icacls “путь_к_папке” /grant Администраторы:F (даем полные права доступа к папке Администраторам)
icacls “путь_к_папке” /grant Администраторы:F /t (получаем полные права для всех вложенных папок и файлов)
В результате у вас должна появиться возможность выполнять любые действия в выбранной папке. Важно: учитывайте, что с папкой C:Program FilesWindowsApps это не получится: в последних версиях Windows 10 она защищена так, что никакие «стандартные» способы не работают, а содержимое этой папки зашифровано (EFS). Также может случиться, что и другие «по-особенному» защищенные системные папки или папки антивирусов не удастся разблокировать описываемым способом.
Нет доступа к целевой папке при записи на флешку или создании файлов и папок на ней
В случае, если сообщение об отсутствии доступа к целевой папке вы получаете при попытке скопировать что-либо на USB флешку, карту памяти или внешний жесткий диск, вполне вероятно, причина в установленных политиках доступа к съемным запоминающим устройствам.
Исправить это можно следующим образом:
- В редакторе реестра перейдите к разделуHKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindows
- Если в нем присутствует подраздел RemovableStorageDevices, удалите его.
Обычно, этого достаточно, чтобы снять ограничения на запись данных на флешку и изменение данных на ней, однако может потребоваться отключить и снова подключить накопитель, чтобы сделанные изменения вступили в силу. Суть параметров в этом разделе — блокировка доступа к флешке и другим съемным USB-накопителям.
Однако, если раздела RemovableStorageDevices в реестре не оказалось, можно попробовать применить первый метод: стать владельцем и получить права на доступ к папкам и файлам на флешке (только для накопителей с файловой системой NTFS).
Запросите разрешение от Администраторы
Если при попытке переместить, переименовать или удалить папку или файл, вы видите сообщение о том, что необходимо разрешение на выполнение этой операции, «Запросите разрешение от Администраторы на изменение этого файла или папки» (несмотря на то, что вы и так являетесь администратором на компьютере), то ниже — пошаговая инструкция, в которой показано, как запросить это разрешение на удаление папки или выполнение других необходимых действий над элементом файловой системы.
Заранее предупрежу, что во многих случаях, ошибка доступа к файлу или папке с необходимостью запросить разрешение от «Администраторы», связана с тем, что вы пытаетесь удалить какой-то важный элемент системы. Так что будьте внимательны и осторожны. Руководство подойдет для всех последних версий ОС — Windows 7, 8.1 и Windows 10.
Как запросить разрешение администратора на удаление папки или файла
На самом деле, запрашивать какое-либо разрешение, чтобы изменить или удалить папку нам не потребуется: вместо этого мы сделаем так, чтобы пользователь «стал главным и решал, что ему делать» с указанной папкой.
Это выполняется в два шага — первый: стать владельцем папки или файла и второй —предоставить себе необходимые права доступа (полные).
Примечание: в конце статьи имеется видео инструкция о том, что делать, если для удаления папки требуется запросить разрешение от «Администраторы» (на случай, если из текста что-то останется не ясным).
Изменение владельца
Кликните правой кнопкой мыши по проблемной папки или файлу, выберите пункт «Свойства», а затем перейдите на вкладку «Безопасность». В этой вкладке нажмите кнопку «Дополнительно».
Обратите внимание на пункт «Владелец» в дополнительных параметрах безопасности папки, там будет указано «Администраторы». Нажмите кнопку «Изменить».
В следующем окне (Выбор Пользователь или Группа) нажмите кнопку «Дополнительно».
После этого, в появившемся окне нажмите кнопку «Поиск», а затем найдите и выделите в результатах поиска своего пользователя и нажмите «Ок». В следующем окне также достаточно нажать «Ок».
Если вы изменяете владельца папки, а не отдельного файла, то логичным будет также отметить пункт «Заменить владельца подконтейнеров и объектов» (меняет владельца вложенных папок и файлов).
Установка разрешений для пользователя
Итак, мы стали владельцем, но, вероятнее всего, удалить его пока так и нельзя: нам не хватает разрешений. Вновь зайдите в «Свойства» — «Безопасность» папки и нажмите кнопку «Дополнительно».
Обратите внимание, есть ли в списке «Элементы разрешений» ваш пользователь:
- Если нет — нажимаем кнопку «Добавить» ниже. В поле субъект нажимаем «Выберите субъект» и через «Дополнительно» — «Поиск» (как и когда меняли владельца) находим своего пользователя. Устанавливаем для него «Полный доступ». Также следует отметить пункт «Заменить все записи разрешений дочернего объекта» внизу окна «Дополнительные параметры безопасности». Применяем все сделанные настройки.
- Если есть — выбираем пользователя, нажимаем кнопку «Изменить» и устанавливаем полные права доступа. Отмечаем пункт «Заменить все записи разрешений дочернего объекта». Применяем настройки.
После этого при удалении папки сообщение о том, что отказано в доступе и требуется запросить разрешение от Администраторы появиться не должно, равно как и при других действиях с элементом.
Видео инструкция
Ну и обещанная видео инструкция о том, что делать, если при удалении файла или папки Windows пишет, что отказано в доступе и требуется запросить разрешение от Администраторов.
Надеюсь, представленная информация помогла вам. Если же это не так, буду рад ответить на ваши вопросы.
0 / 0 / 0Регистрация: 31.01.2016Сообщений: 71
Server 2016Отказано в доступе!26.06.2020, 09:46. Показов 5606. Ответов 8
Здравствуйте все! Имеется сервер, установлена два диска. Первый ССД, там ОС, второй для файлов пользователей. Есть два раздела, один с расшаринными папками, второй для сервера, папка ВДС и тому подобное, на этот диск доступ только у админа! Вообщем отключили свет, ИБП нету, после включения не могу зайти на эти диски, пишет отказано в доступа! Смена разрешений через takeown и icacls ничего не дает,все те же отказано в доступе! Если загрузиться в винпе, там все норм! Заходит в любой раздел, делай что хочешь! Создал на диске еще раздел, хотел на него перекинуть файлы и удалить старый раздел! Но не все так просто, новый созданный раздел я создал загрузившись через винпе! Но в обычном режиме на него все равно нет доступа! Пробовал создать раздел в самой ОС, результат тот же! Как можно разобраться в данной проблеме? Заранее спасибо!
0
174 / 166 / 28Регистрация: 20.10.2014Сообщений: 1,037
Сообщение от CHESTER-ART
создайте раздел из 2016
Сообщение от antuanidze
Пробовал создать раздел в самой ОС, результат тот же!
Сообщение от CHESTER-ART
Вообще только к этим разделам потерялся доступ?
целиком на 2 диск, ХДД
Сообщение от CHESTER-ART
у всех или только у админа?
у всех
Сообщение от CHESTER-ART
Сообщение от antuanidze
Смена разрешений через takeown и icacls ничего не дает,все те же отказано в доступе!
п
Сообщение от CHESTER-ART
Что в КД , то же отсутствует?
роверяйте права, имена, пароли явки.
Извените но что значит КД? Есть partition wizard, там он видит все папки.
Сообщение от CHESTER-ART
может временный профиль еще подгружется?
на сколько я знаю ничего такого не замечено,а как можно еще убедиться в этом?Добавлено через 2 часа 42 минуты
КД я так понял это контроллер домена? Если так то это и есть он, есть ещё второй кд, но там только одна папка открыта для админа домена для бекапа с данного контроллера! Бекапятся только папки рассшаринные для каждого отдела со второго раздела!
0
Сообщение от CHESTER-ART
Смена владельца тома возможна?
Сообщение от antuanidze
Смена разрешений через takeown и icacls ничего не дает,все те же отказано в доступе!
Если менять через графический интерфейс, пишет отказано в доступе, но визуально владелец меняется! То есть после пишет нового владельца.Добавлено через 57 секунд
Еще я заметил что логи все равно ведутся, журналы я как раз таки перекинул на хдд, что бы на ссд меньше циклов было!Добавлено через 9 минут
Еще есть один нюанс! До этого сервер работал на другом компе и там почему то жесткие диски отображались в безопасном извлечении! После я перекинул хдд на новый комп, по мощнее, там так же они видны в трее. После в групповых политиках КД я включил политику для сьемных носителей, отключить все виды носителей(точно название не помню, но думаю вы поняли о чем речь), может это как то влиять? После я конечно выключил эту политику, но ничего не изменилось.Добавлено через 1 минуту
в биосе стоит AHCI, на всякий случай.
0
Вам необходимо получить доступ к папке WindowsApps, если вы хотите сделать резервную копию ваших приложений Windows или очистить место на жестком диске компьютера (HDD).
Операционная система Microsoft Windows поставляется с некоторыми ограниченными и скрытыми папками, которые обычно содержат файлы, которые помогают без проблем запускать Windows 11 или 10. Нарушение этих файлов может привести к системным ошибкам или полной неисправности ОС Windows.
Некоторыми из этих папок являются Program Data, System32, AppData, WindowsApps и т. д. Среди этих папок WindowsApps представляет особый интерес, поскольку этот диск занимает много места на диске, если вы не ограничиваете установку приложений из Магазина Windows.
Давайте узнаем больше о папке WindowsApps, ее назначении и о том, как получить доступ к папке WindowsApps, если вам нужно сделать резервную копию или очистить место на диске.
Что такое папка WindowsApps?
Папка WindowsApps доступна в Program Files каталога установки ОС Windows 10 или 11 и содержит файлы приложений для приложений Windows. Начиная с ОС Windows 8 Microsoft представила набор приложений, которые работают иначе, чем обычное программное обеспечение.
В прошлом Microsoft называла эти приложения приложениями в стиле Metro, приложениями Магазина Windows, приложениями универсальной платформы Windows (UWP), а теперь просто приложениями Windows. ОС Windows 10 или 11 хранит приложения Windows и другие приложения UWP, такие как «Ваш телефон», в папке WindowsApps.
Эта папка является очень безопасным местом в каталоге установки ОС Windows и защищена несколькими уровнями безопасности. Прежде всего, вы не увидите папку, пока не отобразите ее.
Во-вторых, обычные учетные записи пользователей и системных администраторов не имеют необходимых прав доступа к файлам для доступа к папке или проверки ее размера, вложенных папок, файлов и т. д. Microsoft зарезервировала необходимые права для учетной записи пользователя TrustedInstaller, которая является системной учетной записью.
TrustedInstaller управляет доступом для записи и чтения к папке WindowsApps, чтобы приложения Windows могли бесперебойно функционировать без какого-либо вмешательства со стороны пользователя.
Какова цель папки WindowsApps?
Папка WindowsApps — это убежище для всех приложений Windows, которые вы устанавливаете или поставляете с заводской версией вашей копии ОС Windows 10 или 11. Вот варианты использования этой папки:
Сохраняет пакеты UWP
Подобно Program Files и Program Files (x86) для обычного программного обеспечения Windows для ПК, WindowsApps является расположением файлов по умолчанию для всех приложений Windows или пакетов UWP. Однако соглашение об именовании подпапок отличается от Program Files.
Например, приложения Netflix для Windows будут иметь несколько папок со следующими именами: имя приложения, номер версии, архитектура ЦП (x64) и идентификатор Microsoft Store. Существует несколько папок, чтобы различать одно и то же приложение с разными архитектурами ЦП.
Работает как песочница Windows Apps
Обычное программное обеспечение Windows, такое как средство восстановления данных или средство устранения неполадок компьютера, может переопределять системные значения и вносить видимые изменения в экосистему ОС Windows. Вот почему такие функции Windows, как контроль учетных записей пользователей (UAC), права учетных записей пользователей и безопасность Windows, существуют для их контроля.
Однако приложения для Windows не могут вносить огромные изменения в операционную систему. Microsoft добилась этого, сохранив эти приложения в изолированной программной среде внутри папки WindowsApps. Эти приложения сами по себе не могут получить доступ к компьютерному оборудованию или данным и требуют разрешений на всех этапах.
Удобство пользователя
Большинство приложений для Windows не поставляются с исполняемыми файлами, как традиционное программное обеспечение. Вместо этого они представляют собой комбинацию автоматических сценариев командной строки и программ Java. Пользователям может быть сложно запускать такие приложения.
Кроме того, пользователи могут неосознанно вносить необратимые изменения в эти системные файлы, если у них есть доступ к файлам приложений Windows. Поэтому Microsoft Windows показывает значки приложений в меню «Пуск» и скрывает все внутренние данные для безопасности и удобства.
Как получить доступ к папке WindowsApps
Есть несколько способов получить доступ к папке WindowsApps. Шаги идентичны для операционных систем Windows 10 и Windows 11.
Фильтр безопасности GPO
Если вы используете нестандартные фильтры безопасности политик, проверьте, что для целевых групп нет явного запрета на применение GPO (Deny).
Статус групповой политики
Проверьте статус групповой политики, перейдя в консоли GPMC.msc в свойствах политики на вкладку Details. Обратите внимание на значение в поле GPO Status.
Как вы видите, доступно 4 варианта:
ДОБАВЛЕНО 18 дек. 2015
При попытке проделать это в очередной раз, мой компьютер заявил мол команды устарели и теперь пользуйтесь программой w32tm.exe
Поэтому привожу алгоритм:
запускаем cmd с правами админа
смотрим с кем система синхронизируется
w32tm /query /peers
заставляем синхронизироваться только с контроллером домена
w32tm /config /syncfromflags:domhier /update
синхронизировать сейчас
w32tm /resync /rediscover
(Просмотрено 15 024 раз, 2 раз за сегодня)
Область действия и порядок применения групповых политик (LSDOU)
Чтобы запомнить особенности порядка применения групповых политик в домене, нужно запомнить аббревиатуру LSDOU. Это аббревиатура позволяет запомнить порядок применения GPO:
Последние политики имеют наивысший приоритет. Т.е. если вы включили некий параметр Windows на уровне политики домена, но на целевом OU данный параметр отключается другой политикой – это означает, что нужный параметр в результате будет отключен на клиенте (выиграет ближайшая политика к объекту в иерархии AD).
При использовании параметра Forced у GPO выигрывает та, политика находится выше в иерархии домена (например, при включении Forced у политики Default Domain Policy, она выигрывает у всех других GPO).
Кроме того, администратор может изменить порядок обработки политик (Link Order) в консоли GPMC. Для этого нужно выбрать OU и перейти на вкладку Linked Group Policy Objects. В списке содержаться список GPO, которые применяются к данной OU с указанием приоритета. Политики обрабатываются в обратном порядке (снизу-вверх). Это означает что политика с Link Order 1 выполнится последней. Вы можете изменить приоритет GPO с помощью стрелок в левом столбце, передвинув ее выше или ниже в списке.
Замыкание групповой политики
У этой политики есть два возможных значение:
Причина
Эта проблема возникает, так как клиентских расширений групповой политики будет пытаться загрузить файл журнала, который сохраняется в следующем расположении:
Тем не менее некоторые файлы журнала, повреждена или недоступна. Таким образом соответствующие параметры групповой политики не применяются успешно.
Наследование групповых политик
Организационные подразделения с отключенным наследованием политик в консоли отображаются с синим восклицательным знаком.
Если политика не применяются на клиенте, проверьте, не находится ли он в OU с отключенным наследованием.
Имейте в виду, что доменные политики, для которых включено свойства “Enforced”, применяются даже на OU с отключённым наследованием (наследованные политики, которые применяются к контейнеру доступны на вкладке Group Policy Inheritance).
Проверка прав на политику
Объекты групповой политики, так же имеют свой ACL (лист доступа), это означает, что вы можете более тонко настраивать к каким объектам применяется данная политика. В редакторе «Управление групповой политикой» выберите ваш GPO. На вкладке «Область» найдите раздел «Фильтры безопасности«, он отображает к каким объектам применяется политика. Данный фильтр безопасности может включать объекты:
Если у вас тут выставлена другая группа или отдельные записи, то убедитесь, что нужный объект состоит в данном ACL. Хочу отметить, что если даже нужный объект присутствует в списке фильтра безопасности, то это не означает, что политика к нему применяется и тут дело все в том, что в 2014 году Microsoft изменила принцип чтения политики, таким образом, что у вас в делегированном фильтре безопасности обязательно должна присутствовать группа «Компьютеры домена» или «Прошедшие проверку» у которой должны быть прав на чтение политики. Вся соль в том, что когда вы удаляете группу «Прошедшие проверку» из фильтра безопасности, она удаляется и из вкладки делегирование.
Поэтому перейдите на вкладку «Делегирование» и проверьте наличие любой из групп «Прошедшие проверку» или «Компьютеры домена» и, что есть права на чтение. Если групп нет, то добавьте любую из них. Для этого нажмите кнопку «Дополнительно», далее добавить и выберите «Прошедшие проверку».
Удостоверьтесь, что выставлена галка «Чтение».
Тут же убедитесь, что нет запретов на нужный вам объект, в моем примере, это W10-CL03. Если есть снимите.
Обратите внимание на группу «КОНТРОЛЛЕРЫ ДОМЕНА ПРЕДПРИЯТИЯ (Enterprise Domain Controllers)» данная группа определяет, будет ли происходить репликация данной политики на другие контроллеры или нет, так что если политика отсутствует в папке SYSVOL на других контроллерах, то проверьте права у данной группы.
Еще одним механизмом фильтрации групповой политики, может выступать WMI фильтры. Если они есть и ваш объект не соответствует его требованиям, то вы не сможете применить политику. Посмотреть, это можно в соответствующем разделе. В моем примере есть WMI фильтр для ноутбуков, который не даст применения политики на стационарные компьютеры. Подробнее, о создании WMI фильтров и механизме проверки WMI фильтров, читайте по ссылкам. Ниже я покажу, как на конечном компьютере увидеть, что он не подошел из-за фильтрации GPO по WMI.
Диагностика применения GPO на стороне клиента
Также можете познакомиться со статей, описывающей принципы диагностики при слишком долгом применении политик на клиентах.
В заключении хочется сказать, что следует держать структуру групповых политик как можно более простым и не создавать лишние политик без необходимости. Используйте единую схему именование политик, имя GPO должно давать однозначное понимание того, для чего она нужна.
Использование программы диспетчера задач
Доступ к папке WindowsApps для определенного приложения из программы диспетчера задач — самый простой способ. Это также требует меньше усилий. Однако для доступа к его папке необходимо запустить целевую UWP (универсальную платформу Windows) или приложение Windows в фоновом режиме. Вот быстрые шаги, которые вы можете выполнить на ПК с Windows 11 или 10:
Шаг № 2: Чтобы запустить программу диспетчера задач, вы можете нажать эту комбинацию клавиш: Ctrl + Shift + Esc. Кроме того, вы можете найти папку диспетчера задач, выполнив поиск в строке поиска.
Шаг № 3: Найдите процесс приложения в диспетчере задач, прокрутив список или отсортировав его по именам.
Шаг № 4: Нажмите на стрелку раскрывающегося списка рядом с названием приложения, чтобы развернуть его процессы. Если стрелки раскрывающегося списка нет, перейдите к следующему шагу.
Шаг № 5: Щелкните правой кнопкой мыши значок приложения и выберите «Открыть расположение файла» в контекстном меню, которое следует.
Шаг № 6. Проводник Windows перенесет вас в изолированную подпапку WindowsApps для целевого приложения. В данном случае приложение WhatsApp.
Доступ к папке WindowsApps через диспетчер задач дает вам разрешение на просмотр. Например, вы можете просмотреть все файлы и папки приложения UWP и проверить их размер. Этот шаг хорош, если вы хотите сделать резервную копию файлов и папок приложения.
Этот процесс не позволяет удалять или перемещать файлы из папки WindowsApps. Чтобы получить доступ для записи и удаления, вам необходимо выполнить любой из следующих шагов.
Самый практичный и удобный способ получить доступ к папке WindowsApps — через программу Windows File Explorer. Этот процесс дает вам полный доступ для чтения и записи к этой папке. Таким образом, вы можете внести любые изменения, какие захотите.
Этот процесс также является обратимым, если вам потребуется ограничить доступ к папке WindowsApps после внесения необходимых изменений. Метод на основе File Explorer состоит из двух этапов. На первом этапе вам нужно отобразить папку WindowsApps.
На втором этапе вам необходимо получить эксклюзивные права на чтение и запись папки, изменив владельца папки. По умолчанию Microsoft назначила разрешение на чтение и запись учетной записи пользователя TrustedInstaller на вашем компьютере с Windows 10/11. Без лишних слов давайте отобразим и возьмем под контроль интересующую папку:
Шаг № 1: Нажмите на проводник на панели задач, чтобы получить доступ к окну «Этот компьютер».
Шаг № 2: На верхней ленте выберите «Просмотр».
Шаг № 3: Вы увидите «Параметры» в меню «Вид». Нажмите на это.
Шаг № 4: Теперь нажмите «Изменить папку и параметры поиска», чтобы открыть окно «Параметры папки».
Шаг № 5: Вы увидите три вкладки в окне «Параметры папки». Выберите ту, что посередине, вкладку «Вид».
Шаг № 6: Вкладка «Вид» состоит из двух разделов: «Просмотр папок» и «Дополнительные параметры».
Шаг № 7: В разделе «Дополнительные параметры» выберите параметр «Показывать скрытые файлы, папки и диски».
Шаг № 8: Теперь нажмите кнопку «Применить», чтобы сохранить изменения.
Шаг № 9: Если вы перейдете в папку Program Files в каталоге установки Windows 11, теперь вы должны найти папку WindowsApps в открытом состоянии.
Папка WindowsApps теперь видна. Но вы пока не можете получить к нему доступ. Вам нужно вручную стать владельцем папки, чтобы получить доступ для чтения и записи.
Для смены владельца вам потребуется учетная запись пользователя с правами администратора. Если вы не являетесь пользователем-администратором своего компьютера, вам необходимо выйти из этой учетной записи. Затем снова войдите в систему, используя учетную запись администратора.
Завершив переключение учетной записи пользователя Windows, вы можете выполнить следующие шаги для передачи права собственности на папку WindowsApps:
№1. Щелкните правой кнопкой мыши папку WindowsApps и выберите «Свойства».
№ 2. Находясь на экране «Свойства», щелкните вкладку «Безопасность», чтобы открыть дополнительные параметры. Нажмите «Дополнительно».
№3. На экране «Дополнительные параметры безопасности для WindowsApps» нажмите «Изменить».
№ 4. Вы увидите экран выбора пользователя или группы.
№ 5. В поле Имя объекта введите имя учетной записи пользователя вашего ПК с правами администратора.
№ 6. Вы можете просто написать имя учетной записи пользователя маленькими буквами. Система автоматически распознает его. Однако вам необходимо ввести правильное имя пользователя.
№ 7. Теперь нажмите «Проверить имена», чтобы заполнить полный адрес учетной записи пользователя.
№8. Нажмите «ОК», чтобы применить изменения.
№ 9. Теперь вы увидите имя своей учетной записи пользователя в окне «Дополнительные параметры безопасности для WindowsApps».
№10. Под именем вашей учетной записи пользователя вы увидите флажок «Заменить владельца» для подконтейнеров и объектов. Отметьте это поле.
№ 11. Теперь нажмите кнопку «Применить» и нажмите «ОК», чтобы начать процесс смены владельца.
№ 12. После завершения процесса нажмите «ОК» в последующем уведомлении.
№ 13. Обновите свой компьютер и попробуйте снова получить доступ к папке WindowsApps из Program Files, дважды щелкнув ее.
№ 14. Вы получите полный доступ к папке с правами на чтение и запись.
Теперь вы можете перемещать или удалять файлы из папки WindowsApps, если вы стали владельцем папки WindowsApps с помощью процесса, упомянутого выше. Однако будьте осторожны при внесении любых изменений во вложенные папки. Потому что, если вы удалите жизненно важные файлы приложения, соответствующее приложение Windows может больше не работать.
Этот шаг особенно полезен, когда вам нужно очистить место на диске. Если вы прекратили использовать определенные приложения Windows или удалили их, вы можете удалить их внутренние файлы из папки WindowsApps, чтобы сэкономить место на диске.
К чему применяется групповая политика (GPO)
Первое, на что я хочу обратить внимание, это ответить, что делает групповая политика. Все мы прекрасно знаем, что операционная система Windows, это набор служб и ключей реестра. Все настройки, которые вы видите и меняете в графическом режиме, по сути меняют ключи реестра. Понимая, это сразу можно сделать вывод:
Именно эту две сущности являются конечными объектами в политике GPO. В Active Directory объекты пользователей и компьютеров не лежат просто так, а располагаются в двух видах папок:
WMI фильтры GPO
В групповых политиках можно использовать специальные WMI фильтры. Это позволяет применить политику к компьютерам на основании некоторого WMI запроса. Например, мы можете создать WMI фильтр GPO для применения политики только к компьютерам с определенной версией Windows, к ПК в определенной IP подсети, только к ноутбукам и т.д.
При использовании WMI фильтров групповых политик вам нужно проверить корректность WMI запроса, который выбирает только те системы, которые вам нужны и не исключаются ваши целевые компьютеры. Вы можете протестировать WMI фильтр на компьютерах через PowerShell
Если запрос возвращает любые данные, значит WMI фильтр применится к этому компьютеру.
Делегирование GPO
На вкладке политики Delegation указаны разрешения, настроенные для данной групповой политики. Здесь можно увидеть каким группам даны права на изменения настроек GPO, а также на разрешение или запрет применения политики. Вы можете предоставить права на управление GPO из этой консоли или с помощью мастера делегирования в ADUC. Кроме того, наличие строки доступа для Enterprise Domain Controllers определяет возможность репликации данной политики между контроллерами домена Active Directory (это нужно иметь в виду при наличии проблем с репликацией политики между DC). Обратите внимание, что права на вкладке Delegation соответствуют NTFS правам, назначенным на каталог политики в папке SYSVOL
Не применяются политики к компьютеру домена
Добрый день! Уважаемые читатели и гости IT блога Pyatilistnik.org, в прошлый раз я вам показал, как я делал досрочное погашение ипотеки Сбербанка, поделился свои жизненным опытом. Сегодня я хочу вас научить, как находить и диагностировать причины, по которым у вас может не применяться назначенная вами групповая политика к компьютеру или пользователю или целому организационному подразделению. Мы рассмотрим все этапы, через которые проходит происходит взаимодействие с GPO. Разберем утилиты, которыми должен владеть системный администратор в задачи которого входит создание и назначение политик. Уверен, что данный пост будет вам полезен и интересен.
За, что Active Directory от Microsoft получила такую популярность? Одним из ответов на данный вопрос, будет функционал групповой политики. Все администраторы, как и большинство современных людей, существа очень ленивые и любят, когда все централизованно управляется и по возможности автоматизированно. Именно объекты GPO, позволяют производить настройки десятков, сотен и тысяч компьютеров, из одного места и практически по всем направлениям, например добавление принтеров, скриптов входа, профилей WiFi и многое другое.
Очень частые ситуации, что системный администратор создал новую групповую политику, применил ее на нужный ему объект, но эффекта это не дало и нужно понять почему она не применилась и вот тут начинающие системные администраторы попадают в просак, не понимая, где и что нужно искать. Ниже мы с вами разберем алгоритм действий, который поможет вам найти причину и восстановить работу применения групповой политики на нужный объект.
Инструменты диагностики групповой политики
Выше мы разобрали возможные места, где могла быть проблема, но по мимо них еще есть несколько инструментов, которые могут дать системному администратору информацию, о причинах, которые мешают применению GPO к нужному объекту.
Существуют три инструмента, которые вам покажут информацию, о применяемых политиках на объекты:
GPO Link Enabled
У каждого объекта GPO, который привязан к организационному контейнеру AD вы можете включить или отключить связь (применение политики). Для этого нужно включить или отключить опцию Связь включена (Link Enabled) в меню политики. Если связь для политики отключена, ее иконка становится бледной. При отключении связи политика перестает применяться к клиентам, но ссылка на объект GPO не удаляется из иерархии. Вы можете активировать данную связь в любой момент.
Синхронизация времени с контроллером домена
5 марта 2015
Проблема в следующем:
при введении компьютера в домен не синхронизируется время, из-за этого выходят ошибки:
– Часы данного сервера не синхронизированы с часами основного контроллера домена, при открытии файловой шары по имени компьютера (по IP всё работает).
– Синхронизация не выполнена поскольку нет доступных данных о времени, при выполнении команды w32tm /resync /rediscover на клиентской машине
– Нет доступа к компьютеру. Ошибка: Отказано в доступе. При попытке открыть управление локалюными пользователями и группами удаленно через консоль mmc.
Нужно выполнить на клиентской машине команды:
Узнать с кем синхронизируется время: net time /QUERYSNTP
Назначить для синхронизации контроллер домена: net time /SETSNTP:MYDOMAIN.NET
Синхронизировать время с указанным ранее сервером: net time /set
Но вот прикол, эта команда работает лишь в случае незначительного расхождения во времени между клиентом и контроллером домена!
Область действия (scope) GPO
Также проверьте, что объект, к которому вы пытаетесь применить политику находится в нужном OU с компьютерами или пользователями. Можно воспользоваться поиском по домену. OU, в котором находится объект содержится на вкладке Object в консоли ADUC.
Т.е целевой объект должен находится в OU, на который назначена политика (или во вложенном контейнере).
Алгоритм устранения проблем с GPO
Предположим, что у меня есть групповая политика, которая применяется на организационное подразделение «Client Computers«. Политика называется «Управление UIPI». По какой-то причине пользователь жалуется, что она у него не применилась.
Из информации, об области действия групповой политики, первое на что нужно обратить свое внимание, это находится ли объект пользователя или компьютера по нужному пути. Сделать, это просто в оснастке «Управление групповой политикой» найдите вашу политику и посмотрите к каким OU она применяется, это видно на вкладке «Область (Scope)», ее еще называют областью действия политики. В моем случае, это путь root.pyatilistnik.org/Client Computers.
Так как Active Directory, это иерархическая структура, то одна OU можете быть часть дерева из других и сама включать в себя большое количество организационных подразделений. Поэтому если у вас есть вложенность, то просто зайдя в нужную OU вы можете сразу не найти нужный объект. В таком случае воспользуйтесь поиском по Active Directory. Например у меня есть рабочая станция с которой идут жалобы на применение объекта GPO. В поиске выбираем в поле «Найти» компьютеры и в имени указываем w10-cl01, после чего нажимаем «Найти». В результатах поиска вы получите выдачу. Щелкаем по нужному объекту и переходим в нем на вкладку «Объект», где смотрим «Каноническое имя объекта«, по сути это его путь расположения в Active Directory. Сравниваем его с тем, что получили из области применения групповой политики и делаем вывод, попадает объект под действие или нет.
Далее убедитесь, что у вас элементарно включена связь объекта групповой политики с нужным организационным подразделением. Для этого в оснастке управления GPO, щелкните правым кликом по нужной политике и в контекстном меню проверьте, что установлена галка «Связь включена«, ее так же можно проверить на вкладке «Область» в столбце «Связь задействована», должно стоять значение «да».
Следующим моментом необходимо проверить, что политика не отключена на определенный объект. Для этого перейдите на вкладку «Сведения» на нужной GPO. Нас интересует строка «Состояние GPO». По умолчанию там стоит значение «Включено«, означающее, что политика будет пытаться примениться заданные в ней настройки к обоим типам объектов (Пользователю и компьютеру). Но может быть выставлено значение:
Он кстати будет иметь характерный значок с восклицательным знаком. Данный механизм создан специально, чтобы изолировать данную OU от ненужных политик GPO.
Использование Windows PowerShell
Процесс изменения владельца папки WIndowsApps на основе проводника Windows несколько сложен. Вам нужно правильно следовать инструкциям, иначе вы потеряете драгоценное время.
Существует простой автоматизированный процесс, который вы также можете попробовать с помощью Windows Powershell. Это надежная программа настройки и автоматизации задач для Windows. Все версии операционной системы Windows, начиная с Windows 7, поставляются с этой программой.
Таким образом, вы можете применить этот процесс, чтобы стать владельцем целевой папки как на компьютерах с Windows 10, так и на компьютерах с Windows 11. Вам также не нужно отображать скрытые файлы, папки и диски.
В ситуациях, когда вы не можете рисковать отображением системных файлов Windows, метод на основе Powershell является идеальным выбором. Вот шаги для выполнения команды Powershell, которая назначает вам необходимые разрешения для доступа и изменения папки WindowsApps:
Шаг № 1: Нажмите на увеличительное стекло поиска Windows 11.
Шаг № 2: Введите Powershell и подождите, пока приложение не появится.
Шаг № 3: Вы увидите приложение Windows Powershell в правой части консоли поиска.
Шаг № 4. Приложение покажет такие параметры, как «Открыть», «Запуск от имени администратора», «Открыть местоположение файла» и т. д.
Шаг № 4: Нажмите «Запуск от имени администратора», чтобы открыть программу.
Шаг № 6: После запуска программы выполните следующую команду. Вы можете скопировать приведенную ниже команду и вставить ее как есть в Powershell и нажать Enter.
takeown /f “C:Program FilesWindowsApps” /r
Шаг № 7: Команда Powershell takeown возвращает право собственности на файл или папку системному администратору. Опытные пользователи используют эту команду для облегчения передачи права собственности на пакетные файлы.
Шаг № 8: После синтаксиса takeown вам нужно использовать параметр /f, чтобы указать имя файла, папки или каталога.
Шаг № 9: Закрывающий параметр /r указывает Powershell передать право собственности на все файлы и подкаталоги администратору.
Шаг № 10: Powershell потребуется некоторое время, чтобы передать право собственности на папку WindowsApps и ее содержимое вашей учетной записи администратора.
Шаг № 11: Когда процесс будет завершен, появится мигающий курсор.
Доступ, который вы получаете, выполняя описанный выше процесс, аналогичен доступу к методу на основе проводника Windows. Вы только что автоматизировали процесс и исключили отображение системных файлов. Теперь вы можете создавать резервные копии, освобождать место или вносить изменения во внутренние файлы приложений Windows.
Заключительные слова
Теперь, когда вы хорошо разбираетесь в папке WindowsApps, вы можете ответственно вносить изменения в свою ОС Windows 10 или 11. Прежде чем удалять какие-либо файлы из этой папки, необходимо знать папку наизнанку, чтобы не совершить фатальной ошибки, которая может повредить всю операционную систему.
Если вы столкнулись с какими-либо проблемами с Windows 10 и вам нужны какие-то автоматические инструменты для решения этих проблем, вы можете воспользоваться этими 7 инструментами восстановления для решения проблем с Windows 10.
Существует исправление от корпорации Майкрософт. Однако данное исправление предназначено для устранения только проблемы, описанной в этой статье. Применяйте это исправление только в тех случаях, когда наблюдается проблема, описанная в данной статье. Это исправление может проходить дополнительное тестирование. Таким образом если вы не подвержены серьезно этой проблеме, рекомендуется дождаться следующего пакета обновления, содержащего это исправление.
Если исправление доступно для скачивания, имеется раздел «Пакет исправлений доступен для скачивания» в верхней части этой статьи базы знаний. Если этот раздел не отображается, обратитесь в службу поддержки для получения исправления.
Примечание. Если наблюдаются другие проблемы или необходимо устранить неполадки, вам может понадобиться создать отдельный запрос на обслуживание. Стандартная оплата за поддержку будет взиматься только за дополнительные вопросы и проблемы, которые не соответствуют требованиям конкретного исправления. Чтобы получить полный список телефонов поддержки и обслуживания клиентов корпорации Майкрософт или создать отдельный запрос на обслуживание, посетите следующий веб-сайт корпорации Майкрософт:
Примечание. В форме «Пакет исправлений доступен для скачивания» отображаются языки, для которых доступно исправление. Если нужный язык не отображается, значит исправление для данного языка отсутствует.
Предварительные условия
Чтобы применить это исправление, необходимо использовать одну из следующих операционных систем:
Пакет обновления 1 (SP1) для Windows Vista
Windows Server 2008 с пакетом обновления 2 (SP2)
Чтобы получить дополнительные сведения о получении пакета обновления для Windows Vista, щелкните следующий номер статьи базы знаний Майкрософт:
как получить последний пакет обновления для Windows Vista
Дополнительные сведения о том, как получить пакет обновления для Windows Server 2008, щелкните следующий номер статьи базы знаний Майкрософт:
Необходимость перезагрузки
Не требуется перезагружать компьютер после установки данного исправления.
Сведения о замене исправлений
Это исправление не заменяет ранее выпущенные исправления.
Сведения о файлах
Английский (США) версия данного исправления устанавливает файлы с атрибутами, указанными в приведенных ниже таблицах. Дата и время для файлов указаны в формате UTC. Дата и время для файлов на локальном компьютере отображаются в местном времени с вашим текущим смещением летнего времени (DST). Кроме того, при выполнении определенных операций с файлами, даты и время могут изменяться.
Важно. Исправления для Windows Server 2008 и Windows Vista исправления включены в те же пакеты. Однако только «Windows Vista» отображается на странице запрос исправления. Для получения пакета исправлений, который применяется к одной или обеих операционных систем, установите исправления, перечисленные в разделе «Windows Vista» на странице. Всегда смотрите раздел «Информация в данной статье относится к следующим продуктам» статьи для определения фактических операционных систем, к которым применяется каждое исправление.
Файлы, относящиеся к определенному продукту, этапу разработки (RTM, SP n) и направлению поддержки (LDR, GDR) можно определить путем проверки номера версий файлов, как показано в следующей таблице.
Результаты групповой политики
В оснастке GPMC есть возможность посмотреть какие политики применяются к нужному объекту групповой политики. Данный мастер называется «Результат моделирования групповой политики». Щелкаем по нему правым кликом и открываем мастер.
Выбираем нужный компьютер, к которому мы хотим проверить применение политики.
Если в момент добавления компьютера у вас выскочит ошибка «Сервер RPC-недоступен», то проверьте, что у вас запущена на нем служба WMI и в брандмауэре открыты порты для подключения к ней.
Так как я проверяю GPO для компьютера, то мне нет смысла отображать политику для пользователей.
Нажимаем далее. У вас появится отчет. Раскрыв его на вкладке «Сведения» вы увидите, какие политики применены, а какие нет.
Раскрыв подробнее политику, которая не смогла примениться, я вижу, что причиной всему был WMI фильтр.
Последним удобным инструментом диагностики и моделирования групповой политики, выступает функционал GPMC, под названием «Моделирование групповой политики«. В задачи которого входит проверка применения политики в существующей ситуации, так и просто тест без реальной прилинковки к OU, указав нужный объект. В оснастке GPMC выберите пункт «Моделирование групповой политикой» и щелкните по нему правым кликом, выбрав «Мастер моделирования групповой политики».
На первом шаге мастера моделирования групповой политики, будет простое уведомление, что к чему, нажимаем далее.
Далее вам будет предложен выбор, дабы указать нужный контроллер домена.
Теперь выбираем нужную OU, для которой мы будем тестировать групповую политику. Делается все через кнопку «Обзор». Я выбрал «Client Computers»
На следующем шаге мастера моделирования групповой политики, вам предоставят сэмулировать таки параметры:
Указываем в какой группе находится наш объект, к которому будет применяться политика.
далее вы можете применить любой из фильтров WMI, который вы хотите тестировать.
В итоге мы получаем результат моделирования групповой политики, тут можно посмотреть, что применилось, что нет.
Диагностика GPO через gpresult
Gpresult первое средство, которое позволит системному администратору определить на каком этапе есть проблемы с выполнением GPO. Откройте на клиентском компьютере или ноутбуке командную строку от имени администратора и введите команду:
В моем примере у меня есть политика для компьютера «Управление UIPI», поэтому я воспользуюсь gpresult для компьютера. Выполнив gpresult /r /scope:computer я вижу, что моя политика не применилась и числится в списке «Следующие политики GPO не были применены, так как они отфильтрованы». Фильтрация отказано в доступе (Безопасность). Из этого видно, что у компьютера просто нет прав на чтение политики.
Так же в логах Windows вы можете обнаружить событие с кодом ID 5313:
Local Group Policy Не применяется (пусто) Управление UIPI Отказано (безопасность)
А вот пример 5313, но с уже WMI фильтром:
Local Group Policy Не применяется (пусто) Управление UIPI Отказано (фильтр WMI)
Я для исключаю его из запрета применения и пробую новую попытку применения политики. Я делаю для начала обновление групповой политики через gpupdate /force и затем снова выполняю команду gpresult /r /scope:computer, где теперь вижу, что политика не применилась из-за WMI фильтра. Теперь уже понятно куда копать.
Получение данных GPResult с удаленного компьютера GPResult /s server01 /r, поможет администратору или технической поддержке собрать диагностические данные. Аналогичные действия вы можете выполнять и для пользователя, тут все аналогично. Теперь воспользуемся утилитой RSOP. Откройте окно выполнить и введите rsop.msc.
Начнется сбор применяемых политик.
По результатам, у вас откроется окно результирующей политики. Похожее на то, где вы редактируете политику GPO. Тут вы можете перемещаться по веткам и смотреть текущие значения.
Но это не удобно и мы можем совместить две утилиты gpresult и Resultant Set of Policies (RSoP), получив выгодный симбиоз. В командной строке введите:
