我们的一台机器在从域中删除后仍保留着 GPO 设置,这遇到了一个问题。我们必须将此机器连接到域才能从我们的 WSUS 服务器接收更新。运行更新后,我们将机器从域中删除并重新启动。但是,GPO 设置在删除后仍然保留,这导致机器无法正常运行。这台机器位于封闭环境中。有什么想法可以清除这台机器上的 GPO 吗?
运行 Windows 2008 R2
答案1
您无需加入域即可使用 WSUS。只需将客户端指向 WSUS(http://technet.microsoft.com/en-us/library/dd939844(v=ws.10).aspx)。
如果您有疑问 - 我们正在通过 MDT 在独立计算机上进行 WSUS 更新。效果非常好。
答案2
最简单的做法是将对象移动到阻止继承的单独 OU。然后运行“gpupdate /force”。然后然后将其从域中删除。此后,管理模板下的任何设置(以及许多其他设置,包括 Windows 设置\安全设置)都将恢复为“未配置”。
答案3
这是预期行为。删除 GPO 并不会神奇地恢复 GPO 中的设置。
我处理此问题的方法是创建一个 GPO,其中包含您希望机器在脱离域后具有的设置,将该 GPO 应用到该机器,强制进行组策略更新,然后将其脱离域。
或者只是将机器映像到加入域之前的状态;这两种方法都相当简单并且省力。
处理此问题的另一种更糟糕的方法是查找 GPO 设置的注册表项并手动更改它们。但这既耗时又危险,除非有人拿枪指着我的头,否则我不会这么做。
现在,话虽如此,我只想指出,我无法想象将一台机器加入域只是为了获得 Windows 更新,然后取消加入域的合理用例,所以我认为有些事情非常不对通过整个过程,您可能更适合解决这个烂摊子而不是处理 GPO,这只是这个愚蠢程序的一个症状。