Windows-Server-2008-R2

GPO 是否僅適用於互動式登錄?

  • August 7, 2017

我正在嘗試通過 ADS 域中的 GPO 啟用證書自動註冊和憑據漫遊(DC 是 Windows Server 2008 R2)。我可以以新創建的使用者身份(在成員伺服器 Windows Server 2012 上)以互動方式登錄,並將策略應用於該使用者。HKU\<SID>但是,當一個相同創建的新使用者作為服務身份登錄時,GPO 不會被應用,我可以通過檢查其系統資料庫來確認,該系統資料庫在服務執行時載入到 under 下。

我開始懷疑 GPO 並未設計用於服務登錄,但我無法確認或否認這一點。這是真的嗎?如果不是,我如何診斷為什麼 GPO 未應用於服務身份使用者?

對,是真的。

使用者策略設置的規範表明

使用者策略設置指定互動式 登錄使用者的能力和行為。

如果您沒有以互動方式登錄,則超出範圍。

此外:

當定期刷新計時器定期刷新組策略時,文件說

此計時器會定期觸發,以檢查電腦或互動登錄到電腦的每個使用者的更新策略

$$ … $$

引用自:https://serverfault.com/questions/679980