Group-Policy

列印機組策略未顯示在更新的 Windows 電腦上?

  • April 5, 2017

多年來,我們在一個擁有約 300 個客戶的組織中製定了大約 20 個列印映射策略。這家公司已經 2 年多沒有進行 Windows 更新了。上週末,我們被授權推出所有更新所需的 Windows 更新(測試後)。事實證明我們錯過了一個邊緣情況。列印機部署組策略的整個子集不再適用於客戶端。

政策沒有改變,但根本沒有出現。如果我們執行 RSOP 或 gpresult,它們甚至不會顯示為未應用。我們的豁免電腦仍然正常接收和執行該策略,包括帶有舊映像的新映像電腦。

執行“gpupdate /force”時,我們在受影響的電腦上收到錯誤消息,並顯示以下文本:

在使用者策略處理期間遇到以下警告: 組策略客戶端擴展文件夾重定向無法應用一項或多項設置,因為必須在系統啟動或使用者登錄之前處理更改。在該使用者下次啟動或登錄之前,系統將等待組策略處理完全完成,這可能會導致啟動和啟動性能變慢。電腦策略更新已成功完成。

有關更多詳細資訊,請查看事件日誌或從命令行執行 GPRESULT /H GPReport.html 以訪問有關組策略結果的資訊。

啟用了某些只能在登錄期間執行的使用者策略。

可以註銷嗎?(是/否)

允許它註銷、重新啟動等不會改變結果。該命令的後續執行顯示相同的消息。GPResult 輸出未提及列印機策略或任何故障。

這發生在 Windows 7 和 Windows 10 上。一些策略通過“部署的列印機”映射電腦,一些通過“控制面板”映射電腦。再也沒有出現過。

我們現在正在逐個解除安裝更新以查看發生了什麼變化(有 278 個),但我們完全不知道是什麼原因導致該政策甚至無法傳播。我們的 Windows Server 2008 域控制器上沒有任何變化,並且所有 3 個域控制器上都顯示了策略。

任何故障排除想法將不勝感激。

我的同事解決了這個問題。看到這篇文章: http: //windowsitpro.com/patch-tuesday/update-kb3163622-breaks-group-policy-it-s-not-me-it-s-you

KB3163622 似乎打破了應用安全策略的方式:

發生了什麼:MS16-072 更改了用於檢索使用者組策略的安全上下文。這種設計上的行為更改可保護客戶的電腦免受安全漏洞的影響。在安裝 MS16-072 之前,使用使用者的安全上下文檢索使用者組策略。安裝 MS16-072 後,使用機器安全上下文檢索使用者組策略。

發生原因:如果組策略對象缺少 Authenticated Users 組的讀取權限,或者您正在使用安全篩選並且缺少域電腦組的讀取權限,則可能會出現此問題。

如何解決:要解決此問題,請使用組策略管理控制台 (GPMC.MSC) 並執行以下步驟之一:

  • 添加對組策略對象 (GPO) 具有讀取權限的 Authenticated Users 組。
  • 如果您使用安全過濾,請添加具有讀取權限的域電腦組。

我的猜測是這些策略沒有具有讀取權限的 Authenticated Users 安全主體。

引用自:https://serverfault.com/questions/842810