我正在接管我们整个基于 Microsoft 的管理,其中包括我们的 AD 服务器、GPO 等。
话虽如此,我并不完全了解此设置是如何配置的。但是,我注意到我们似乎遇到了很多与 GPO 相关的权限问题,或者用户无法更改其帐户上的属性。我相信问题源于根据组策略管理工具无法访问 SYSVOL,但不确定。根据“网络共享”,SYSVOL 本身是可用的。
我不知道有什么万无一失的方法可以自动检查帐户的“基本”权限,以验证他们是否具有访问权限,但是我已仔细检查“经过身份验证的用户”组是否至少具有所有 GPO 的读取权限。我已运行 dcdiag 和 repadmin。dcdiag 的结果可在此处找到:
repadmin 结果显示一切已成功完成。任何服务器上均未出现任何错误。
当用户应用“gpupdate.exe /force”并且计算机重新启动(就像我们安装软件一样)时,当我去查看他们自己帐户下的“gpresult.exe /z”时,我总是看到唯一应用的策略是“默认域策略”,没有其他的。
例如,我创建了一个“允许非管理员安装打印机”GPO,该 GPO 应用于当前设置为链接和强制的“domain.net/user/test”OU。然后我运行“gpupdate.exe /force”,然后运行“gpresult.exe /z”,它没有响应。如果我复制我们的“默认域策略”并修改设置以代表我在“允许非管理员安装打印机”GPO 中的内容,并将其命名为“非管理员安装打印机”,则它已成功应用。以下是所述 GPO 的照片:
(显然我不能再发布照片链接了)
不管怎样,希望你现在能明白我的意思。
答案1
关于 GPO 问题,您说经过身份验证的用户在所有 GPO 上都设置为“读取”,他们是否也被授予了“应用”权限?两者都需要在应用 GPO 之前设置。确保用户/计算机位于您链接 GPO 的 OU 中,或者将 GPO 链接到域级别。
SYSVOL 对于 GPOS 很重要,它是组策略模板所在地点,并从那里复制到其他 DC,这个问题听起来更像是权限问题或策略链接位置的问题。