我们遇到一个问题,从某个 Windows 8 映像构建的域成员无法再更新计算机组策略。
这些域成员最近已被移至新的组织单位,但由于 OU 结构发生了重大变化,因此无法将它们移回。
还有一些(未记录的)组策略更改,但这应该无关紧要,因为当域成员位于未应用 GPO 的 OU 中时仍然会发生错误。
其他域成员(不是从所述 Windows 8 映像构建的)没有问题。此外,将 Windows 8 映像加入新林时不会发生此问题。只有旧林和特定 Windows 8 映像的组合才会发生此问题。
在 gpresult /h 输出中,我们看到组策略基础结构组件由于错误“发生目录服务错误”而失败。
我们认为客户端有某些内容需要删除/重置,以便客户端能够正常运行。
有谁知道如何解决这一问题?
答案1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy您可以通过删除密钥然后重新填充来删除当前的 GPO 设置gpupdate /force
我不确定这是否能解决您的问题,但我发现当策略更新似乎卡住时强制更新很有用。我会尝试通过 批量推送psexec。
答案2
虽然这是一个老问题,但这可能对其他人有帮助。如果您的 GPclient 拒绝提取新的 GPO,请尝试以下操作(假设您事先已检查新 GPO 的链接状态和范围等是否正确):
gpupdate /target:computer /force /boot- 将客户端重新加入域
- 删除 GPO 缓存
"%ALLUSERSPROFILE%\Application Data\Microsoft\Group Policy\History\*.* - 删除
HKLM\SOFTWARE\Policies - 删除
HKLM\SOFTWARE\Policies\Microsoft\Windows\System!UserPolicyMode(定义环回模式) - 删除
C:\WINDOWS\security\Database\secedit.sdb - 删除
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies - 删除
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy - 删除
HKLM\SOFTWARE\Microsoft\Group Policy - 使用
cleanregpol.exe(用谷歌搜索)
我通常通过执行步骤 4 来获得最大的成功,然后执行步骤 1。编辑注册表时应谨慎行事。
答案3
确实如此。这是一项僵化的政策。幸运的是,有一种相当巧妙的方法可以解决这个问题。不幸的是,这不是常识。希望这个答案能让足够多的系统管理员解决这个问题。
顺便说一句,这适用于所有版本的 Windows。
此解决方案依赖于相关计算机是否脱离域。如果计算机未通过操作系统脱离域,则此方法无效。
机器与 DC(域控制器)脱离后,使用本地(机器)管理员帐户登录。
转到“开始”(打开“开始”菜单)>“运行”(打开“运行”应用程序),然后键入“cmd”(不带引号)并按 Enter。[或者打开“开始”菜单,然后运行命令提示符程序。]
输入 gpupdate /force /boot 并按 Enter。
完成后,重新启动。旧的组策略已消失。
基本上,它的工作原理是(因为运行命令时它没有获得任何策略),它应用一个空策略,从而有效地一劳永逸地删除卡住的策略。
如果遇到问题,请从命令提示符窗口运行 gpresult /H GPReport.html。如果您看到 DC 或有证据表明它提取了策略,请将您的计算机与在 DC 上运行的网络分离,并将机器插入单独的网络。
此解决方案不需要互联网连接,但链接需要启动,并且需要有一个 IP 地址。