我无法在安装了 Deep Freeze 的计算机上应用组策略。它们已加入域,并在冻结之前从我们的 WSUS 服务器提取更新。当我们冻结它们时,它们似乎会丢失其组策略设置。我尝试过解冻、gpupdate/force,然后重新冻结,但它们在恢复后立即丢失了组策略。这可能是什么原因造成的?一切都运行正常,直到出现错误的 Windows 更新。我们在 WSUS 服务器上阻止了更新,然后解冻、删除更新并重新冻结所有计算机。第二天我上班时发现所有计算机都已连接到互联网并再次提取了错误的更新。
答案1
我不知道 Deep Freeze 的答案,但这就是这类软件产生的问题。软件会在某个时间点冻结机器,机器重启后你所做的一切都会丢失。这是件坏事,因为机器会停止对更新等重要内容进行更改。这类软件让你做出例外以避免出现此类问题,但在许多情况下仍然会失败。
不久前,微软推出了一款类似的软件,名为 Steady State,适用于 Windows XP,但是对于 Windows 7,该软件已经停产。
为什么?因为这种软件不是必需的。在 Windows 中,您可以拥有强制配置文件,这是一种当用户关闭会话时会丢失所有更改的用户配置文件。
因此,我建议不要使用 Deep Freeze,Windows 本身可以免费实现类似的行为,并且有很多优势。Microsoft 有一个使用 GPos 和强制配置文件执行此操作的指南:使用 Microsoft 技术创建稳定状态
答案2
丢失的组策略设置(或设置)到底是什么?Deep Freeze 将保持机器上的设置原样(除非在维护窗口期间更新),但它在运行时仍可能被覆盖。就像病毒一样。Deep Freeze 将保护机器免受感染,因为当您重新启动时,它就消失了;但它在运行时仍可能被感染。
此外,如果在运行时发生更改,策略可能会被覆盖。即,注册表部分(从配置文件中提取)中的用户特定设置将在登录时生效,就像如果他们的配置文件中有恶意软件,它会在每次登录时感染机器并在重新启动时被清除(假设配置文件不处于冻结状态)。
如果机器冻结,错误的更新应该无关紧要。重新启动将消除它,除非他们在维护解冻期间这样做。一种解决方案是更改您的 DNS 记录,以便您无法从 WSUS 服务器以外的任何位置访问 Windows 更新服务器(这不是一个好的解决方案)或阻止除您的服务器之外的代理或防火墙的访问。
答案3
Deep Freeze 管理员 (DFAdmin.exe) 能够配置 Windows 更新并将覆盖 GPO 设置。为了解决此问题,请执行以下操作之一:
- 部署一个 RDX 文件,告诉 deepfreeze 不要配置 Windows 更新(将应用 GPO)。
- 部署一个 RDX 文件,告诉 deepfreeze 使用 WSUS 服务器。
这两项操作都是通过 Deep Freeze 管理员控制台上的“Windows 更新”完成的。