最近我遇到了一些奇怪的组策略问题,所以我想在干净的设置上进行测试,但没有任何运气,所以我希望其他人可以给出一些解释。这是在 Windows 2003 R2 上。
我创建了一个测试用户并将其添加到测试全局组。然后,我设置了一个链接到域根目录的 GPO,该 GPO 的安全过滤仅适用于测试组,并尝试查看我的设置是否适用。
如果我使用组策略建模,一切看起来都正确,但是当我执行组策略结果或检查实际机器时,什么都没有应用。我首先认为我遇到了 GP 问题,并尝试了通常的重新启动、gpupdate、等待一天希望一切会应用等。然后我尝试创建不同的用户,尝试不同的机器,甚至尝试将管理员帐户添加到测试组,但都不起作用。
然后我注意到,在 GPMC 中的“应用组策略时的安全组成员身份”和“用户属于以下安全组的一部分”下,测试组未列为用户所属的组。
我尝试创建不同的域本地组。我尝试将管理员添加到组中,并看到 GP 将应用于该帐户,但事实并非如此。
但是,如果我在域控制器上创建一个共享,并且只授予该组对它的访问权限,则测试用户可以正常访问它,因此我知道该用户肯定是该组的成员。
我怎样才能让 GP 相信我的用户确实是这些群体的成员?
答案1
您检查过您的 eventvwr 日志吗?您在这个域中还有其他域控制器 (DC) 吗?哪一个是全局目录 (GC)文件系统管理?尝试运行
dcdiag.exe
并检查输出是否存在问题,尤其是 SYSVOL 和/或与其他 DC 的复制。
这可能很危险:如果这不是目录中唯一的 DC,并且事件日志没有显示任何内容,请尝试制作一个复制sysvol\domain\policies 并将其放置在服务器硬盘的其他位置。请确保在非工作时间执行此操作,并确保使用以下方法执行完整的 AD 备份:
ntbackup.exe backup systemstate /J "pre-delete-ad-backup" /F "c:\adbackups\ForestBackup.bkf" /V:yes /M normal
备份完成后,将 ForestBackup.bkf 从服务器上复制出来。
创建备份并将其复制到其他位置后,删除 sysvol\domain\policies 目录。然后使用以下命令强制与目录中的另一个 DC 进行复制复制监控程序
检查 FRS 事件日志,看看是否收到有关 sysvol 复制成功的消息。请记住,在 Sysvol 完全恢复之前,您的服务器将不是能够充当 DC,因此请确保您的客户端可以使用另一个 DC......
答案2
听起来 GPO 继承可能是个可能的原因。请看这里:http://technet.microsoft.com/en-us/library/cc739343(WS.10).aspx