Active-Directory

Windows 8.1 - 組策略設置設置,但離線時不執行

  • March 17, 2016

環境資訊:帶有 3 個 2012 R2 域控制器的 Windows 域。

我正在嘗試在 kiosk 模式下建構 Windows 8.1,只有一個可以訪問特定網站的瀏覽器。

在 GPO 的幫助下 - 部分啟用了使用者設置和 GPO 環回處理 - 我將 Internet Explorer(使用 -k 選項 -> 全屏 Kiosk 模式)設置為自定義使用者界面,因此不會有 Windows Explorer,只有 IE,大多數 Windows 快捷方式不起作用,鍵盤上的 windows 鍵已啟用。使用者(“域訪客”組中的域帳戶)自動登錄。在電腦上,我從使用者中刪除了“域使用者”組,並直接添加了 kiosk 使用者。

這工作正常,只要電腦線上。當我拔下網路電纜時,Windows 正在引導資源管理器而不是自定義使用者界面,並且應該在後台執行的任務 - 也通過 GPO 配置 - 沒有啟動。我可以看到所有設置,即自定義使用者界面的系統資料庫項設置為 IE Kiosk 模式,所以 Windows 應該知道所有設置…但它們只是被忽略,只要電腦沒有連接到我們的 DC !

這不僅是這台自助服務終端電腦的問題 - 我一直認為 GPO 是在本地記憶體和執行的,因此筆記型電腦將在我們的網路中從我們的 DC 獲取設置,當筆記型電腦離開建築物並且使用者正在工作時在火車上,我們的設置應該仍然適用!我錯了嗎?或者我做錯了什麼?

編輯:

嘗試不使用環回處理,但沒有成功。禁用環回處理->重新啟動後沒有使用者設置-正如預期的那樣。為使用者創建了一個新的 GPO,連結它,啟用它 -> 重新啟動,然後應用使用者設置。但是:在沒有網路連接的情況下重新啟動,並且設置不適用。

編輯2:

再進行一些測試,看起來好像電腦設置已正確應用,但使用者設置被忽略了。他們甚至從系統資料庫中消失了(我確信這在以前沒有發生過……)。

經過更多測試,最終這些設置仍在離線應用中。

問題似乎出在“域來賓”組。我想阻止這個使用者登錄我們校園的其他機器,因為為了實現自動登錄,我必須將明文密碼放在系統資料庫中。這就是我將使用者從“域使用者”組中刪除並將他添加到“域訪客”組的原因。然後我將使用者自己添加到“高級使用者”組中,並在本地機器上測試“使用者”組。兩者都不起作用,只有在我將使用者添加到“域使用者”組之後,策略才在重新啟動後應用,並且沒有連接到 DC。奇怪的。

引用自:https://serverfault.com/questions/760644