我有一个 Server 2008 R2 域,其中有相当多的组策略对象,应该应用于各种 OU 和安全组(使用安全过滤)。
我收到用户报告,他们缺少某些设置和映射驱动器等内容。当我开始调查该问题时,我发现我们域中几乎每个 GPO 都已停止应用。
仍有一些 GPO(如默认域策略)正在应用,它们似乎有一个共同点,即这些策略都应用于“经过身份验证的用户”内置组。而所有其他 GPO 都对各种其他安全组使用安全过滤。
我运行了大量 RSOP 测试(规划和日志记录),它们都表明只运行了应用于“经过身份验证的用户”的 GPO。其他 GPO 甚至没有显示在 gpresult 的“未应用的 GPO ...”部分下。我检查了权限、GPO 继承和其他一些基本但常见的 GPO 问题,所有这些问题似乎都没有问题。我尝试创建一些全新的 GPO,并将它们应用于全新的安全组,但这些 GPO 也没有被应用。
我没有注意到 Active Directory 的任何其他问题,针对这些安全组的其他功能(例如文件权限)的身份验证似乎都按预期工作。
我完全无法解释为什么这些 GPO 突然停止应用,而且没有任何明显的原因。有人知道可能发生了什么吗,或者如何继续进行故障排除吗?
答案1
这是 MS16-072 的问题。所有用户 GPO 必须至少具有经过身份验证的用户的读取权限。
https://support.microsoft.com/en-us/kb/3163622
MS16-072 更改了检索用户组策略的安全上下文。此设计行为更改可保护客户的计算机免受安全漏洞的影响。在安装 MS16-072 之前,用户组策略是使用用户的安全上下文检索的。
症状
所有用户组策略(包括已根据用户帐户或安全组(或两者)进行安全过滤的组策略)可能无法应用于加入域的计算机。
原因
如果组策略对象缺少经过身份验证的用户组的读取权限,或者您正在使用安全过滤并且缺少域计算机组的读取权限,则可能会出现此问题。
解决
要解决此问题,请使用组策略管理控制台 (GPMC.MSC) 并执行以下步骤之一:
- 在组策略对象 (GPO) 上添加具有读取权限的 Authenticated Users 组。
- 如果您使用安全过滤,请添加具有读取权限的域计算机组。