Active Directory 是否不可靠或者这里存在其他问题？

机器账户的密码通常每30天由机器更改一次。如果DeepFreeze不允许将新密码存储在计算机上，计算机级GPO可能会失败，因为计算机无法登录AD。

您可以禁用自动密码更改功能（尽管不建议这样做）： http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/580.mspx

看起来这是（或至少曾经是）DeepFreeze 的一个已知问题： http://universitytechnology.blogspot.com/2008/03/session-setup-from-computer.html

组策略应用程序已非常以我的经验来看，它是可靠的。我为遇到间歇性政策应用问题的客户执行的几乎每一个故障排除案例都分解为：

• 策略未在正确的位置应用（例如，尝试将计算机策略应用于用户、将用户策略应用于计算机、不理解环回策略处理或按组成员身份过滤策略应用）

• 客户端计算机使用的 DNS 服务器存在问题（DNS 网络连接不良、ISP DNS 服务器被命名为“辅助”DNS 服务器）

• “媒体感知”功能导致 NIC 在启动过程中无法尽早建立网络连接（请参阅http://support.microsoft.com/kb/239924）。

我认为，计算机设置/管理模板/系统/网络中的“启动和登录时始终等待计算机”应在域根目录中指定的策略中强制设置为“启用”。此设置会导致启动和登录时的组策略处理同步应用（即，它在启动时出现登录框之前或在登录时显示桌面之前完成）。

同步应用程序是 Windows 2000 的默认行为，当时 Microsoft 建议不要使用异步应用程序，因为它可能具有不确定性。Microsoft 将 Windows XP 的行为更改为异步，果然，一些组策略客户端扩展（如软件安装策略）的行为有些随机和不可靠。我总是强制将策略应用程序恢复为同步设置，即使它确实会稍微减慢启动和登录速度。

我无法告诉您“Deep Freeze”如何与组策略交互，因为我从未使用过这样的软件。（我知道它的作用，但我没有用过。）我曾使用过运行在闪存磁盘上的 Windows XP Embedded 的瘦客户端设备，这些设备在每次启动时都能正确应用策略，即使它们使用的是“增强型写入过滤器”，并且每次启动时都会有效地“重置”回以前的配置。

您的“几次重启”让我认为您遇到了异步策略处理方面的问题。您的事件日志可能会告诉您，但您的“Deep Freeze”软件可能不允许将写入事件日志的内容持久化，因此您必须在重启之前检查日志。

您是否有一个 GPO 告诉 Deep Freeze PC 自动下载并安装更新并重新启动？您可以运行 rsop.msc 来确定哪些 GPO 应用于 PC 以及哪个策略设置了自动更新策略。在组策略编辑器 (gpedit.msc) 中，它位于计算机配置 > 管理模板 > Windows 组件 > Windows 更新下。如果是这种情况，第一件事就是将这些 PC 移动到另一个 OU，并将它们从更新 GPO 路径中移除（取决于它来自 AD 结构中的哪个位置）。无论 GP 刷新率设置如何，如果是这种情况，您都需要停止将更新 GPO 应用于系统。

另一种情况是，您已“深度冻结”自动更新和重启设置，而 GP 没有机会强制执行该设置，在决定下载更新并自行重启之前不执行此操作。我不太清楚 Deep Freeze 是如何工作的 - 是它可以完全阻止某些设置被修改，还是可以修改这些设置，但重启后它们会恢复到以前的设置。