我有一个 GPO,它正在为用户 C 盘上的文件夹分配权限(计算机配置\策略\Windows 设置\安全设置\文件系统)。在将软件应用程序分发到计算机之前,此应用的文件夹不存在。计算机在安装后重新启动,并且应该将 GPO 应用于该文件夹,以便为该文件夹设置足够的权限。重新启动时不会应用 GPO 的权限。如果我随后运行 gpupdate /force 然后重新启动,权限将按应有的方式应用。
我猜我不明白在什么情况下文件权限的 GPO 会在重新启动时应用。是否有我可以设置的设置,以便每次重新启动计算机时都会强制执行此安全 GPO 策略?
答案1
没有触发 GPO 重新应用的触发器,因此不会重新应用。您可以:
- 将 gpupdate -force 添加到登录脚本。这将支持适用于一般尚不存在的事物的 GPO,但会减慢登录过程。
- 将 gpupdate -force 添加到安装脚本的末尾(如果尚不存在安装脚本,则创建一个)。
- 将 gpupdate -force 添加为每台计算机的重复计划任务,使用 @reboot 的时间
我认为第二种选择可能是最简单的。