我正在尝试通过 ADS 域中的 GPO 启用证书自动注册和凭据漫游(DC 是 Windows Server 2008 R2)。我可以以新创建的用户身份交互登录(在成员服务器 Windows Server 2012 上),并且策略将应用于该用户。但是,当相同创建的新用户以服务身份登录时,不会应用 GPO,我可以通过检查其注册表来确认,该注册表HKU\<SID>在服务运行时加载在下。
我开始怀疑 GPO 不是设计用来应用于服务登录的,但我无法确认或否认这一点。这是真的吗?如果不是,我该如何诊断为什么 GPO 不适用于服务身份用户?
答案1
对,是真的。
用户策略设置指定功能和行为互动地 登录用户。
如果您没有以交互方式登录,则您超出了范围。
此外:
当组策略通过定期刷新计时器定期刷新时文档说:
此计时器会定期触发,以检查计算机或每个用户的更新策略。互动地登录到计算机[...]