我有一个基于老化的 Windows Server 2003 基础架构的 Windows 网络,其中有两个 DC,并且配置了彼此之间的复制。
在尝试找出某个 GPO 未应用的原因时,我发现实际计算机上的计算机组成员身份设置不正确。以管理员身份运行:gpresult /v仅列出默认组,而不列出计算机所属的其他组。如果我转到域中计算机帐户的“成员”,则会显示这些组。这些组是全局安全组(而不是分发组)。
如果我将 GPO 设置应用于默认域策略,它也会应用于计算机 - 因此它能够获取其 GPO 设置并应用它们。
任何用户组成员资格均可供使用,即使用户刚刚被添加到该组。
我尝试过 klist purge,有或没有指定(-lh 等),将计算机从域中删除(从计算机本身中删除)并将其重新加入域。没有变化(如果有的话,我失去了“域计算机”组的成员身份)。
我已经验证 DCs 之间的复制可以与dcdiag和 一起工作dcdiag /c,并且gpresult /v调用显示主 DC(也是 IM)作为源(我已经看到了两者 - 没有变化)。
我完全不知道如何进一步调试;whoami /groups 除了内置组之外不显示任何内容。两个 DC 服务器的事件日志中均没有警告或错误。