Active-Directory

未應用 Windows 更新 GPO

  • April 12, 2017

我有一個在 Windows Server 2008 R2 上執行的域 - 有點舊,當然,但它執行得很好。

最近我注意到公司的機器似乎從 Internet 下載更新,而不是我們內部的 WSUS 伺服器。

我已經開始調查,我注意到沒有應用 WSUS 策略(使用 進行測試rsop.msc)。

政策設置正確 - 畢竟,他們以前工作過。

我想知道這是否是因為我們有越來越多的系統執行 Windows 10,但這感覺不對,因為我很確定幾週前我的 Windows 10 也從本地 WSUS 下載了更新 - 你可以當 Windows 顯示某些設置由系統管理員管理時,請告知這種情況。

gpupdate /force執行也不會在客戶端機器上拋出任何錯誤。

此外,與 WSUS 相關的一個特定 GPO 仍在工作 - 它設置客戶端定位。

有什麼問題?如何嘗試調試這些與 WSUS 相關的 GPO?

對於組策略,您首先要查看應用(或不應用)什麼以及為什麼應該使用 GPRESULT 命令。它與好的 ol rsop.msc 非常相似,但我發現在幾個設置中還有一些額外的好處。

首先查看應用了哪些組策略,哪些被過濾掉了:(如果從行為不端的電腦上執行此操作,您可以省略“/S <target PC>”)

gpresult /S &lt;target machine name&gt; /R

這將使您了解 GPO,我發現我最常見的問題是有人嘗試在我期望應用的 GPO 上修改 WMI 過濾,並且他們設法排除了 PC(在這種情況下,您會看到“拒絕(WMI 過濾器)”消息)

您可以做的下一件事實際上是檢查所有應用的 GPO 的設置,以確保它們是您所期望的。(/F 覆蓋任何現有的 gpresult.htm 文件,或者您可以只更改文件名。)

gpresult /S &lt;target machine name&gt; /H gpresult.htm /F

然後在 Internet Explorer 中打開 gpresult.htm(當然,您可以使用其他瀏覽器,但它有一個 ActiveX 組件,可以方便地展開/折疊在 IE 中表現最好的部分)。瀏覽一下結果,看看哪些值正在/未應用於 PC。

這是一個容易開始的地方,在這兩個命令之間,您通常能夠辨識您的問題。

引用自:https://serverfault.com/questions/844197