GPO 顯示在使用者設置下應用,但僅包含電腦設置
我在使用我的策略並將它們應用到我的 Windows 10 機器上時遇到了問題。
我在域級別的頂部應用了幾個 GPO,有些僅包含電腦設置,有些僅包含使用者設置,有些包含兩者。
如果我執行 GPresult /r,我可以看到在使用者設置下應用了一個 GPO,其中包含使用者和電腦設置。我可以看到在使用者設置下應用了 GPO,即使該策略不包含使用者設置。最後,我可以看到在包含使用者設置的使用者設置下應用的 GPO。
更奇怪的是,在使用者設置下,我有 2 個 GPO 顯示為未應用(未知原因),其中一個是預設域策略,但它們都不包含任何使用者設置!
據我所知,所有電腦策略都正確應用,問題僅在於使用者設置。
我需要弄清楚為什麼 GPO 顯示為已應用,即使它們不包含使用者設置,以及為什麼它顯示應用也不包含使用者設置的 GPO 的未知原因。
編輯: gpresult 的螢幕截圖:
請注意,我啟用了環回模式,這就是它們出現兩次的原因。
編輯:目前委託設置
我們的預設域策略目前具有以下設置:
創作者所有者 - 特殊
經過身份驗證的使用者 - 閱讀、申請
系統 - 除了完全控制和應用之外的一切
域管理員 - 讀取、寫入、創建子對象
域電腦 - 讀取、應用
企業管理員 - 讀取、寫入、創建子對象
企業域控制器 - 閱讀
編輯:
因此,在使用與以前完全相同的設置重新創建“DOM-IE-CompatView”GPO 後,它不再顯示為“未應用(未知原因)”
我是否也應該使用 dcgpofix 將預設域策略恢復為其預設設置?
應用 GPO 是因為對電腦和使用者配置設置都進行了評估,除非您將 GPO 狀態(在 GPO 的詳細資訊選項卡上)配置為禁用使用者配置設置. 只有這樣它們才不會被應用。組策略引擎不知道沒有配置使用者設置,因此它應用 GPO,此時客戶端擴展評估 GPO 以查看是否有任何他們負責的設置需要應用. GPO 沒有配置實際的使用者設置,因為您沒有在 GPO 中配置任何使用者設置,但組策略引擎仍然需要應用 GPO,並讓 CSE 評估 GPO 以獲取他們可能需要配置的設置。如果您希望組策略引擎不應用 GPO,則需要將 GPO 狀態設置為User configuration settings disabled。
本文將使您更好地了解組策略處理的工作原理。我認為您最感興趣的資訊是標記為:
組策略引擎如何處理客戶端擴展:
https://technet.microsoft.com/en-us/library/cc784268(v=ws.10).aspx
您可以發布預設域策略的範圍、詳細資訊和委派選項卡的螢幕截圖嗎?
組策略權限的工作方式發生了重大變化。如果您應用了更新檔 KB3163622,並使用安全篩選來確定 GPO 的應用方式,您可能必須對幾乎每個組策略的權限方案進行一些更改。
這是一篇討論發生了什麼變化以及如何解決問題的文章:http: //www.infoworld.com/article/3084930/microsoft-windows/microsoft-acknowledges-permission-problems-with-ms16-072-patches-kb -3159398-3163017-3163018-3163016.html
基本上,您需要確保域電腦和/或經過身份驗證的使用者可以讀取每個 GPO。
為此,請使用組策略管理 RSAT 工具並瀏覽到您的組策略對象。切換到“委託”選項卡,並確保域電腦和/或經過身份驗證的使用者具有讀取權限。對於缺少這些權限的 GPO,您需要點擊“高級…”按鈕並向經過身份驗證的使用者和/或域電腦添加“讀取”權限。
不要添加“應用組策略”權限,除非您希望該策略普遍應用。
之後,您應該能夠執行 GPUPDATE /FORCE /BOOT 以使您的系統恢復良好狀態。