Windows
如何將 GPO 應用到電腦組
我剛剛在我的公司安裝了一個“Windows Server Update Services”(WSUS) 伺服器來為 Windows Server 機器提供更新。現在我想在伺服器 OU 中設置一個 GPO 以強制它們從 WSUS 獲取更新,但我無法讓它工作。我所做的是:
- 在“指定 Intranet Microsoft 更新服務位置”、“配置自動更新”和“啟用”鍵處使用所需設置(位於“電腦配置”>“Windows 組件”>“Windows 更新”下)創建了一個名為“WSUS”的 GPO客戶端定位”。
- 創建了一個名為“MyServers”的第一級組織單元,並將我的伺服器從“電腦”容器移動到此 OU。
- 在該 OU 中創建了一個名為“MyServersGroup”的組,其中包含“MyServers”中的電腦(OU 和該組包含相同的伺服器)。
- 將 GPO 連結到“MyServers”OU,並在安全過濾器中添加具有“讀取”和“應用組策略”權限的“MyServersGroup”(我沒有刪除“經過身份驗證的使用者”組)。
- 在我的域控制器伺服器中執行“gpupdate /force”命令,然後在“MyServers”OU 中的一台伺服器中執行,我們將其稱為 FileServer。
並且該政策不適用。
當我在 FileServer 機器上執行“GPResult /F /H report.html”時,沒有顯示應用的策略,唯一應用的策略是“預設域策略”,它在“電腦配置”部分中有一些設置,但沒有在我配置的鍵上。該 GPO 連結到域根目錄,僅影響“經過身份驗證的使用者”組。
在 report.html 文件中,“WSUS”字元串甚至沒有出現,因為“Winning GPO”始終是“預設域策略”。為什麼我的保單不能適用?我不明白為什麼會這樣……
編輯:現在我已經刪除了“MyServersGroup”並配置了“組策略建模嚮導”。它顯示了 WSUS 策略與預設策略一起應用,但在 FileServer 中該策略尚未應用(我執行了 gpupdate 以防萬一)。
該組不是必需的:如果您將 GPO 連結到 OU 並將您的電腦放在該 OU 中,則 GPO 將自動應用於這些電腦,並且僅應用於那些電腦;你不需要一個小組。
我認為正在發生的事情:基於組成員身份的 GPO 安全過濾實際上阻止了 GPO 的應用,因為在重新啟動之前,伺服器不會被辨識為該組的成員(就像在重新啟動之前不會為使用者刷新組成員身份一樣)他們註銷並再次登錄)。