我正在尝试设置测试网络上的所有系统(1 x Win Server 2008 R2、2 x Win XP SP3、2 x Win 7)以便启用远程管理模式,但我在 XP 系统上执行此操作时遇到了困难。
我首先设置了一个 GPO,并将其分配给测试 OU(包含所有计算机)中的计算机。GPO 在组策略管理编辑器 -> 计算机配置 -> 策略 -> 管理模板 -> 网络 -> 网络连接 -> Windows 防火墙 -> 域配置文件(和标准)-> 允许入站远程管理例外已启用中(据称)启用了远程管理。
设置完成后,我进入 Win7 系统,在命令提示符下输入 GPUPDATE /force,如果我输入“netsh 防火墙显示状态”,防火墙状态表就会出现
- 组策略版本 = Windows 防火墙
- 远程管理模式 = 启用
我也可以禁用它并获得预期的结果。但如果我在 XP SP3 系统上执行同样的事情,我总是得到
- 组策略版本 = 无
- 远程管理模式 = 禁用
即使我重启 XP 系统两次,重启服务器,GPUPDATE/force,让它过夜,它也不会改变。我做错了什么,XP 系统忽略了 GPO?没有其他可以覆盖它的策略。在本地系统上,我可以输入“netsh 防火墙设置服务 RemoteAdmin 启用”,它工作正常。我还将相同的设置添加到了默认域策略中。
为什么 XP 系统会忽略 GPO?我为此苦苦思索了半天……任何建议都将不胜感激!
答案1
在几乎所有此类情况下,我都看到以下两个问题之一发生:
由于 DNS/网络连接问题(PC 上指定的外部 AD DNS 服务器、DHCP 媒体感知导致 NIC 在启动时无法足够早地启动以应用机器策略),组策略无法应用
您认为该策略将适用,但 Windows 认为它不适用
查看受影响的机器之一上的策略结果集( ),如果您愿意,请按照@joeqwerty 的建议rsop.msc发布输出。gpresult
检查应用程序事件日志中是否存在与组策略应用程序(源 USERENV)相关的错误,可能还有来自“NETLOGON”源的错误。如果 NIC 启动速度不够快,您会在启动后立即看到错误(通常是无法找到域控制器的错误)。我发现有些机器(来自最近推出的名牌制造商)需要DisableDHCPMediaSense值集正确应用组策略。不过,在设置之前,请确保当 PC 首次启动 NIC 时,交换机端口未处于生成树协议 (STP)“侦听/学习”状态(按照 Cisco 的说法,确保端口设置为启用生成树“portfast”)。