Windows
組策略未在同一域上應用或被某些使用者檢測
我最近在嘗試推出組策略更新時遇到了問題。我嘗試應用的更新基本上只是更新駐留在使用者 PC 上的 .txt 文件中的參數。這些 .txt 文件用於控制我們域中大多數使用者使用的程序。
話雖如此,當我嘗試通過發出以下命令來更新我的電腦時:
gpupdate /force
或者,如果我註銷並重新登錄,我的 .txt 文件會成功更新。我檢查了有關組策略的 Windows 事件查看器日誌:
Applications and Services Logs/Microsoft/Windows/Group Policy/Operational
並發現無數日誌語句。它顯示我的帳戶詳細資訊,顯示我已連接到活動目錄,並列出適用的組更新。我注意到一件奇怪的事情是:
查看我的適用更新列表:
它還在日誌中列出以下內容:
WOC_Updates 是我要應用的策略。它是為執行必要的 PC 更新而編寫的程序。
在受影響的 PC 上,我看到了相同的帳戶詳細資訊,顯示我已連接到活動目錄,並列出了適用的組更新。但是,它列出了一組不同的適用組更新:
它也沒有列出“啟動腳本擴展處理”。像上面螢幕截圖中的語句,就像它對成功的 PC 所做的那樣。
所有使用者都在同一個域中,對所訪問的位置具有相同的權限。我是這個領域的新手,所以任何關於從哪裡開始的幫助將不勝感激。
謝謝!
編輯:添加 GPO 設置的螢幕截圖:
如果您從 GPO 上的安全組過濾中刪除了經過身份驗證的使用者,則需要在 GPO 域電腦的安全性中設置為只讀以使 GPO 工作。
由於 joeqwerty 找到了連結,這是因為這些更新:
- https://support.microsoft.com/en-us/help/3163622/ms16-072-security-update-for-group-policy-june-14,-2016
- https://support.microsoft.com/en-us/help/3159398/ms16-072-description-of-the-security-update-for-group-policy-june-14,-2016
如果在那種情況下你有很多 GPO,你也可以使用那個 powershell 命令!
Get-GPO -All | Set-GPPermissions -TargetType Group -TargetName "Domain computers" -PermissionLevel GpoRead
對於您的最後一個問題,“間接”添加域電腦,通過使用委派選項卡的優點和缺點或將域電腦添加到安全過濾部分的優點和缺點,請查看該部落格文章,它解釋得更多,但每種方式都可以工作(但他建議我告訴你的間接方法)