我们正在运行 Windows 2008 R2 域。在域的根目录下,我有一个 GPO 用于打开自动更新并在周四下午 5 点安装它们。在较低的 OU(为使用 Deep Freeze 的计算机创建)中,我有一个 GPO 用于禁用自动更新。
对于大多数计算机来说,此设置可以正常工作。不在 Deep Freeze OU 中的计算机将按计划进行更新,而位于 Deep Freeze OU 中的计算机则不会进行更新。
但是,尽管 gpresult 显示它正在拉动这两项策略,但 Deep Freeze OU 中的某些机器仍然会进行更新,就好像没有应用“禁用自动更新”策略一样。
我试过了:
- 检查 DNS 设置(没问题)
- 禁用机器账户密码更改(a la此链接)
- 关闭 McAffee Access 保护、Windows 防火墙等。
- 将 Deep Freeze GPO 设置为“强制”
- 拔掉我的头发(但这没什么用)
我还发现运行“gpupdate”几乎没有任何作用,但运行“gpupdate /force”会改变自动更新设置,直到计算机重新启动 - 即使 Deep Freeze 已解冻。
受影响的机器是运行 McAffee VirusScan Enterprise 和 Fabronics Deep Freeze 的 Windows XP
还有其他人有什么想法吗?
编辑:受影响机器上的“gpresult”显示链接并不慢,并且两个 GPO 都按正确的顺序应用,尽管自动更新设置仍然不正确。
答案1
两种可能的简单解决方案: - 将策略“挂钩”到要应用它的每个树 - 通过仅将根 gpo 应用于特定安全组中的计算机来排除深度冻结计算机
gpupdate 不执行任何操作可能与链接速度检测有关 - Windows 是否检测到它很慢 - 即 WAN?您可以在 gpresult 中看到这一点。Gpresult 还应该告诉您正在应用或未应用哪些 gpos。
伊恩