Active Directory 是否不可靠或者这里存在其他问题?

Active Directory 是否不可靠或者这里存在其他问题?

我们有一个组织,在 Active Directory 网络上有大约 1200 个 Windows PC 客户端。我们注意到似乎有一些随机系统没有设置策略。

例如,我们的政策规定 Windows 系统应通知更新但不应用更新。我们有一组系统在夏季升级后下载更新并重新启动,甚至在没有任何人登录的情况下也是如此。问题在于这些系统装有 Deep Freeze,因此当它们重新启动时,所应用的任何修复都会被清除,因此它们会再次重新启动下载/重新启动循环,如此反复。其他用户登录后,它会弹出一条通知,除非您单击“稍后”,否则它将在五分钟后重新启动。

过去,我们看到过诸如在 AD 策略中阻止访问 C: 驱动器之类的问题;通常系统会隐藏驱动器,但在某些系统上,用户似乎会随机登录并获取访问权限。

从命令行刷新策略似乎无法解决问题,但有时重新启动几次就可以解决问题。这些系统似乎在启动时具有网络访问权限,因此它们应该能够与 AD 服务器通信(此外,用户可以登录到它们,因此他们必须能够进行身份验证,因为冻结的系统在没有缓存配置文件的情况下冻结)。

AD 策略并不总是“适用于”客户端,这是正常现象吗?还是有什么需要检查的?其他人是否也遇到了这种预期行为?我知道 AD 策略应该在客户端上随机刷新,但当我们运行命令手动刷新策略时,似乎并没有解决问题。

答案1

机器账户的密码通常每30天由机器更改一次。如果DeepFreeze不允许将新密码存储在计算机上,计算机级GPO可能会失败,因为计算机无法登录AD。

您可以禁用自动密码更改功能(尽管不建议这样做): http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/580.mspx

看起来这是(或至少曾经是)DeepFreeze 的一个已知问题: http://universitytechnology.blogspot.com/2008/03/session-setup-from-computer.html

答案2

组策略应用程序已非常以我的经验来看,它是可靠的。我为遇到间歇性政策应用问题的客户执行的几乎每一个故障排除案例都分解为:

  • 策略未在正确的位置应用(例如,尝试将计算机策略应用于用户、将用户策略应用于计算机、不理解环回策略处理或按组成员身份过滤策略应用)

  • 客户端计算机使用的 DNS 服务器存在问题(DNS 网络连接不良、ISP DNS 服务器被命名为“辅助”DNS 服务器)

  • “媒体感知”功能导致 NIC 在启动过程中无法尽早建立网络连接(请参阅http://support.microsoft.com/kb/239924)。

我认为,计算机设置/管理模板/系统/网络中的“启动和登录时始终等待计算机”应在域根目录中指定的策略中强制设置为“启用”。此设置会导致启动和登录时的组策略处理同步应用(即,它在启动时出现登录框之前或在登录时显示桌面之前完成)。

同步应用程序是 Windows 2000 的默认行为,当时 Microsoft 建议不要使用异步应用程序,因为它可能具有不确定性。Microsoft 将 Windows XP 的行为更改为异步,果然,一些组策略客户端扩展(如软件安装策略)的行为有些随机和不可靠。我总是强制将策略应用程序恢复为同步设置,即使它确实会稍微减慢启动和登录速度。

我无法告诉您“Deep Freeze”如何与组策略交互,因为我从未使用过这样的软件。(我知道它的作用,但我没有用过。)我曾使用过运行在闪存磁盘上的 Windows XP Embedded 的瘦客户端设备,这些设备在每次启动时都能正确应用策略,即使它们使用的是“增强型写入过滤器”,并且每次启动时都会有效地“重置”回以前的配置。

您的“几次重启”让我认为您遇到了异步策略处理方面的问题。您的事件日志可能会告诉您,但您的“Deep Freeze”软件可能不允许将写入事件日志的内容持久化,因此您必须在重启之前检查日志。

答案3

您是否有一个 GPO 告诉 Deep Freeze PC 自动下载并安装更新并重新启动?您可以运行 rsop.msc 来确定哪些 GPO 应用于 PC 以及哪个策略设置了自动更新策略。在组策略编辑器 (gpedit.msc) 中,它位于计算机配置 > 管理模板 > Windows 组件 > Windows 更新下。如果是这种情况,第一件事就是将这些 PC 移动到另一个 OU,并将它们从更新 GPO 路径中移除(取决于它来自 AD 结构中的哪个位置)。无论 GP 刷新率设置如何,如果是这种情况,您都需要停止将更新 GPO 应用于系统。

另一种情况是,您已“深度冻结”自动更新和重启设置,而 GP 没有机会强制执行该设置,在决定下载更新并自行重启之前不执行此操作。我不太清楚 Deep Freeze 是如何工作的 - 是它可以完全阻止某些设置被修改,还是可以修改这些设置,但重启后它们会恢复到以前的设置。

相关内容