我正在试验组策略设置。我的 DC 运行的是 Server 2003,而我用于此测试的客户端运行的是 Win7。我重启了客户端几次,并尝试运行 gpupdate/force 以取得良好的效果。
该机器位于它自己的 OU 中,并应用组策略来更改一项设置,即计算机配置/管理模板/网络/脱机文件。
当我运行 MMC 并查看客户端上的本地计算机策略时,此设置显示为“未配置”。
谢谢,约翰
答案1
您不会在本地计算机策略中看到组策略管理模板应用的结果。您需要使用“策略结果集”工具来查看哪些 GPO 正在应用于计算机。
如果您没有看到预期应用于客户端计算机的 GPO,请查看应用程序和系统事件日志,确保您获得良好的名称解析,并且没有看到与组策略应用程序相关的任何错误。众所周知,客户端上的错误 DNS 设置是组策略无法应用的原因。
答案2
还有一些其他需要检查的事情。确保您的计算机所属的组(如域用户)被允许对 GPO 的安全性具有读取和应用组策略权限。此外,客户端是否与域控制器位于同一站点,还是跨 WAN?如果检测到与域控制器的连接速度很慢,这可能会阻止 GPO 的应用。如果在 WAN 链路上禁用 UDP 碎片,我见过触发错误的“慢速链接”读数,因为在较旧的平台(Vista 之前)上检测使用大型 ICMP 消息(2048 字节)并测量往返时间。Win7 的新方法更可靠但更复杂,需要通过 Kerberos 专门对 DC 进行身份验证,我不确定它是否会恢复到旧方法。解决方案是在客户端手动禁用慢速链接检测。
一些Win7慢速链接检测的讨论,很好:http://blogs.technet.com/b/askds/archive/2009/10/23/group-policy-slow-link-detection-using-windows-vista-and-later.aspx