好吧,为了充分披露,我鄙视工作中的网络管理员,今天我认为最后一根稻草已经压在了骆驼背上。
我已经在 IT 领域工作了近 15 年,一直使用 gpresult 来识别和诊断 Active Directory 策略问题。我与我们的 Windows 管理员争论了一周,声称 GPO 不适用于我们拥有的 400 多台机器。我的说法基于这样一个事实:当我在任何机器上运行 gpresult 时,每个策略都返回“未应用(原因不明)”。
他的回答是“gpresult 不准确,你的个人资料被损坏了。”
就我个人而言,我认为我的管理员很腐败。
我欢迎大家讨论
答案1
上面的评论说明了一切。我从未听到有人抱怨 gpresult 的可靠性/可信度。您的管理员应该有新的自我。
答案2
过去三周,我花了太多时间在 GPO/Profile 问题上(仅限于管理方面),读到这个问题时我感到有些害怕。幸运的是,我们没有部署 ERP,所以我感到很安全呼。
是的。就这一点而言。在我的特定情况下,gpresult 返回了正确的策略列表,但它们实际上并没有按照预期执行。事件日志中的证据表明它们正在尝试应用但失败了。这就是建议糟糕的配置文件(特别是错误创建的默认用户配置文件,因为这些是学生的计算机实验室站)。
当工作站甚至无法确定需要应用哪些 GPO 时,事件日志中通常会对此产生很大影响。一个月前我就遇到过这种情况,结果发现有问题的工作站禁用了 NetBIOS TCP/IP Helper 服务。另一个工作站设法选择了它无法访问的一个域控制器。两者都是通过读取事件日志和对有问题的机器进行一些网络诊断来诊断的。
答案3
嗯,你的管理员听起来像是在转移话题。我同意这里的每个人。回答你的具体问题,gpresult 不包括本地安全策略。RSOP MMC 管理单元 ( rsop.msc
) 确实包含它,因为它是一个很好的花哨的 GUI,但当 HTML 报告没有不是包括它们。这些东西可能很重要,当时对我来说确实如此。当我和一群人在一起时,我看起来很愚蠢,当知情的员工不在时,我用它来“得到答案”。我确信他没有应用任何 secpol 自定义。失败!
回答您的 GPO 问题:这些 GPO 是否从一个 OU 链接到另一个 OU?由于我们是一个非常大的 IT 部门,因此我们的 SOP 适用于我们的“域管理员”,以便从 OU 链接他们,在 OU 中,他们根据目标受众创建不同的 GPO,并为管理员组(员工、学生、特殊项目等)设置适当的锁定权限。如果您不在目标 OU 级别启用链接的 GPO,则显然不适用。如果这个人不了解他的东西,这听起来像是一种使策略不适用的明显方法。只需右键单击目标 OU 上的链接 OU,然后gpmc.msc
单击启用(如果您不熟悉)。希望对您有所帮助。