我有一个混合了物理服务器和虚拟服务器的域。不久前,另一位管理员可能在客户端级别执行了一些手动脚本更新,这些更新现在阻止了安全设置中的更改到达客户端。组策略更新中其他地方所做的更改可以正常进行。
单域控制器 - 这是由合同政策驱动的,但我把它放在那里是因为我看不出复制可能是一个问题,但我愿意接受任何想法。
旧系统管理员使用的是“默认域策略”,而不是为站点自定义命名的策略。我将旧策略复制到新名称并取消链接默认策略。当我在客户端上运行 gpupdate /force 时,它不会出现任何错误,日志中也不会出现任何错误。当我运行 rsop 时,我仍然看到默认域策略是安全设置的获胜策略,但在其他地方,它都是新命名的策略。对我来说非常有趣的是,当我右键单击 RSOP 的属性时,我只看到它绘制了新的策略名称,而默认域策略无处可寻。RSOP 也不会抛出任何错误。
以下是我到目前为止所做的但没有成功:1.备份并删除 HKCU\Software\Policies 2.备份并删除 HKLM\Software\Policies 3.备份并删除 HKCU\Software\Microsoft\Windows\Current Version\Group Policy 4.备份并删除 HKLM\Software\Microsoft\Windows\Current Version\Group Policy 5.删除 c:\Windows\System32\Group Policy 文件夹 6.在 DC 上进行了非权威性回滚
这些都是我在搜索过程中发现的建议。我有点困惑,不知道是什么原因导致的。机器的所有其他行为都与良好的 DNS 设置一致。我可以将它们加入或退出域,而且没有任何区别。
答案1
我将旧策略复制为新名称并取消链接默认策略。
您链接禁用了默认域策略?
这不是最佳实践,不推荐,甚至可能不支持。这可以解释为什么 RSOP 中没有它以及您的结果不稳定。
您可能想要使用该DCGPOFix工具来修复 DDP。
https://technet.microsoft.com/en-us/library/hh875588.aspx
请注意 DDP 中应该包含和不应该包含的内容:
作为最佳实践,您应配置默认域策略 GPO仅有的管理默认帐户策略设置、密码策略、帐户锁定策略和 Kerberos 策略。
- 备份两个 GPO - 理想情况下,您在第一次尝试修复之前已经这样做了。
- 从“新” GPO 中删除这些区域中的设置。您不想应用在多个 GPO 中定义的这些设置。
- 使用
DCGPOFix工具或手动从 DDP GPO 中删除其他区域的所有设置。 - 重新启用 DDP GPO 链接。
- 祈祷吧