Windows-Server-2008
除非同時連結到電腦和使用者 OU(伺服器 2k8R2),否則我的使用者 GPO 將不適用
我們一直在應用使用者 GPO 時遇到一些困難。我認為這與強制使用者 GPO 在電腦的安全上下文中執行的 Microsoft夏季更新有關,但那裡列出的解決方案不起作用。
例如,我們有一個應用到使用者 OU 根目錄的基本使用者 GPO。它不是以任何方式過濾的安全過濾或 WMI 過濾。經過身份驗證的使用者具有讀取權限(這應該意味著它不受更新的影響)。但是,GPO 並不適用。在查看 GPRESULT 或查看事件日誌時,它不會以任何方式顯示。
更新的另一個解決方案是將域電腦添加到具有讀取權限的 GPO。我們也嘗試過,它沒有改變任何東西。
最後,出於某種心血來潮,我嘗試將 GPO 連結到根使用者 OU 和根電腦 OU。現在 GPO 可以正常工作。
有多個 GPO 受此影響。所有都只包含使用者設置,並且沒有啟用環回設置。這應該是非常基本的東西,但它絕對不像我預期的那樣工作。有沒有人看到過這樣的事情,或者對它為什麼會這樣工作有任何想法?
好吧,也許正如預期的那樣,答案很簡單。有人在沒有告訴任何人的情況下無緣無故地在 GPO 中以替換模式打開了環回處理。我瀏覽了我們的每個 GPO 並找到了它,將其關閉,現在一切正常。
為了讓 GPO 應用到使用者,他們需要擁有 READ 和 Apply GPO 權限,而不僅僅是讀取。是否嘗試過為 GPO 分配經過身份驗證的使用者讀取和應用權限?