我的域名有问题,组策略不适用。
我目前有两个安全组; 1)32 位客户端 2)64 位客户端 这两个组中是我们的不同计算机,运行 32 位和 64 位 Windows 7。
在 GPMC 中,我制定了两个影响用户桌面和计算机设置的策略。现在我只想设置 32 位组获取 32 位策略,64 位计算机获取 64 位策略,但不起作用。
按照网上的各种指南设置安全过滤,我将 GPO 链接到域,进入委派选项卡,打开 ACL,取消勾选“为经过身份验证的用户申请”,添加 32 或 64 组,然后单击“读取并为他们申请”。然后我回到客户端(在本例中是 64 位 PC),一旦 gpupdate /force 完成,我运行 gpresult,它说由于“访问被拒绝(安全过滤)”,GPO 尚未应用。
这让我很困惑,因为我检查过 PC 是否在 64 位组中,检查过读取和应用设置,但还是没成功。我尝试过从“安全过滤”选项卡中添加和删除经过身份验证的用户,但还是没成功。
这让我很烦,因为这应该很简单!
任何帮助将不胜感激。
杰克
设置:Windows Server 2008
答案1
“访问被拒绝(安全过滤)”消息通常意味着电脑gpupdate由于未从提升的命令提示符运行, 因此未应用设置。
另外,我会使用 wmi 过滤器,这样您就不需要管理组了。组的另一个限制是,组成员身份只有在计算机重新启动后才会生效。
Windows 7 x64:
从 Win32_OperatingSystem 中选择 *,其中版本类似于“6.1%”且 ProductType="1" 且 OSArchitecture =“64 位”
Windows 7 x86:
从 Win32_OperatingSystem 中选择 *,其中版本类似于“6.1%”且 ProductType="1" 并且不包含 OSArchitecture =“64 位”
更多信息:
为 GPO 创建 WMI 过滤器
http://technet.microsoft.com/en-us/library/cc947846%28WS.10%29.aspx
答案2
如果最近将计算机添加到这些安全组,则需要重新启动。
直到他们获得新的令牌后,他们才会在其令牌中获得新的组成员身份,默认情况下大约需要一周时间(或直到重新启动)。
答案3
我遇到了同样的问题,发现因为我已经链接了 GPO,所以我必须选择 GPO 的快捷方式,然后在右侧窗格中选择委派。选择高级、经过身份验证的用户,然后选中“应用组策略”,因为它已经读过了。
然后我回到服务器并运行(从提升的命令提示符)gpudate /force。
答案4
Derek K 的回答让我找到了解决方案。我正在将策略应用于计算机,但只有用户才有权应用。将计算机添加到权限中,一切就都好了。