昨天推出软件策略限制的 GPO 后,我意识到了这个问题。我无法将 MSI 安装推送到某些计算机。我查看了其中一台机器,它影响了不受此策略约束的计算机。这不是问题的根源。
在受影响的机器上尝试运行 gpupdate 后,我发现它失败了,并显示一条消息,称由于 DNS 错误而拒绝访问。检查事件日志后,它显示一个错误,事件 ID 为 1055。除非它们受到某种感染,否则与权限或访问级别相关的任何内容都不会以任何方式被更改。这还有待确定。
我已经从其中一台机器验证了 DNS 是否正常工作。我验证了该机器的 DNS 注册,没有显示任何错误。我不知道下一步该去哪里查找问题的根源。
答案1
我怀疑这些机器在启动时已经无法应用组策略了 - 很可能早在您昨天进行与软件限制策略相关的更改之前。
我已经看到很多Windows 7 客户端在启动期间间歇性无法应用组策略在过去的 12 - 18 个月中。这些机器是戴尔和惠普机器的混合体(笔记本电脑和台式电脑)。在大多数情况下,更新的网络接口卡驱动程序可以解决问题,但在某些极端情况下,我不得不设置GpNetworkStartTimeoutPolicyValue链接文章描述的注册表值。(当然,这是在确保交换机端口配置为生成树“portfast”等之后。)
我将首先按照链接文章中的描述对事件 ID 1055 进行故障排除。