我真的不知道为什么我的组策略在我的域上不起作用。我已经为我的 wsus 服务器设置了一个 GPO 到我域中的特定 OU。到目前为止,我的机器似乎都没有继承该 GPO。我手动将它放入了不少计算机中。
域中的大多数计算机都已链接到我的 wsus 服务器,但是我想要的所有设置都不在那里。
如果我运行 gpresult /R,在我运行此命令的一台计算机上,它会链接到我的备份域控制器,而不是我的主域控制器。在我检查此命令的另一台计算机上,它会链接到我的主 DC,但它没有继承 GPO。
当在 gpmc 上查看我的 DC 时 - 我看到该策略被强制到 OU 作为 #1 优先级。
谢谢您的帮助。
答案1
你等了多久了,GPO 申请最多需要一个小时,WU 连接 WSUS 最多需要 22 个小时。
尝试gpupdate /force /boot在客户端上运行(警告,它会重新启动)。这应该会强制它从最近的 DC 提取所有最新的 GPO 设置。
您缺少哪些具体设置?
(此外,GPO 主席仅在您当前查看的范围内。其他 GPO 仍然可以覆盖它。如果您有多个指定 WSUS 设置的 GPO,它们可能会覆盖;如果是这种情况,请列出它们附加到的容器类型,我们可以帮助您安排实际顺序。)
答案2
我假设 PC 位于您应用了 GPO 的 OU 中。如果不是,那就有问题了。
您是否尝试过在客户端计算机上运行“gpupdate”?如果您使用的是千兆网络,并且它停留了几秒钟“刷新策略”,那么通常它会抓取新策略。如果它快速闪烁,则表示它没有抓取任何东西。然后,您可以在客户端计算机上使用“wuauclt -dectectnow”和“wuauclt -reportnow”强制它检查更新并向 WSUS 服务器报告。
如果 gpupdate 抓住了新策略,那么我会检查站点和服务->站点->站点间传输->属性以查看“每隔一次复制”设置为何值,您可能希望将其设置为低于数字。我认为默认值是 15 分钟。
如果 gpupdate 没有获取新策略,我会检查站点和服务以确保 DC 都具有正确的 NTDS 连接。
还要检查默认域策略,以确保它不会覆盖 OU GP。我怀疑是这个原因,但值得检查一下。
答案3
更改 GPO 上的安全过滤以应用于域计算机,不是已验证的用户。
(来源:群组政策网)
