我在制定策略并将其应用到我的 Windows 10 机器上时遇到了一些麻烦。
我在域级别顶部应用了几个 GPO,有些仅包含计算机设置,有些仅包含用户设置,有些则两者兼有。
如果我执行 GPresult /r,我可以看到在用户设置下应用的 GPO,其中包含用户和计算机设置。我可以看到在用户设置下应用的 GPO,即使该策略不包含任何用户设置。最后,我可以看到在用户设置下应用的 GPO,它确实包含用户设置。
更奇怪的是,在用户设置下,我有 2 个 GPO 显示为未应用(未知原因),其中一个是默认域策略,但它们都不包含任何用户设置!
据我所知,所有计算机策略均正确应用,问题仅仅在于用户设置。
我需要弄清楚为什么 GPO 即使不包含任何用户设置也显示为已应用,以及为什么它显示应用不包含任何用户设置的 GPO 的未知原因。
编辑:gpresult 的截图:
请注意,我已启用环回模式,所以它们会出现两次。
编辑:当前委派设置
我们的默认域策略当前具有以下设置:
創建者所有者-特殊
经过身份验证的用户 - 阅读、应用
系统 - 除完全控制和应用之外的所有内容
域管理员-读取、写入、创建子对象
域计算机 - 阅读、应用
企业管理员 - 读取、写入、创建子对象
企业域控制器 - 阅读
编辑:
因此,在使用与之前完全相同的设置重新创建“DOM-IE-CompatView”GPO 后,它不再显示为“未应用(未知原因)”
我是否应该使用 dcgpofix 将默认域策略恢复为其默认设置?
答案1
由于计算机和用户配置设置都会被评估,因此会应用 GPO,除非您将 GPO 状态(在 GPO 的“详细信息”选项卡上)配置为用户配置设置已禁用。只有这样,它们才不会被应用。组策略引擎不知道没有配置用户设置,因此它会应用 GPO,此时客户端扩展会评估 GPO,以查看是否有它们负责的需要应用的设置。GPO 不会配置任何实际的用户设置,因为您没有在 GPO 中配置任何用户设置,但组策略引擎仍然需要应用 GPO,并让 CSE 评估 GPO 以查找可能需要配置的设置。如果您希望组策略引擎不应用 GPO,则需要将 GPO 状态设置为用户配置设置已禁用。
本文将让您更好地了解组策略处理的工作原理。我认为您最感兴趣的信息是标有以下内容的部分:
组策略引擎如何处理客户端扩展:
https://technet.microsoft.com/en-us/library/cc784268(v=ws.10).aspx
您能发布默认域策略的范围、详细信息和委派选项卡的屏幕截图吗?
答案2
组策略权限的工作方式发生了重大变化。如果您应用了补丁 KB3163622,并且使用安全过滤来确定 GPO 的应用方式,那么您可能必须对几乎每个组策略的权限方案进行一些更改。
这里有一篇文章讨论了发生了哪些变化以及如何解决问题: http://www.infoworld.com/article/3084930/microsoft-windows/microsoft-acknowledges-permission-problems-with-ms16-072-patches-kb-3159398-3163017-3163018-3163016.html
基本上,您需要确保每个 GPO 都可以被域计算机和/或经过身份验证的用户读取。
为此,请使用组策略管理 RSAT 工具并浏览到您的组策略对象。切换到“委派”选项卡,并确保域计算机和/或经过身份验证的用户具有读取权限。对于缺少这些权限的 GPO,您需要点击“高级...”按钮并向经过身份验证的用户和/或域计算机添加“读取”权限。
除非您希望该策略普遍应用,否则请不要添加“应用组策略”权限。
之后,您应该能够运行 GPUPDATE /FORCE /BOOT 以使系统恢复良好状态。
答案3
因此我无法确定问题的根本原因,但在安装周年更新后,我应用的所有 GPO 均显示正确,而显示未应用(未知原因)的错误 GPO 不再出现。