我最近在尝试推出组策略更新时遇到了一个问题。我尝试应用的更新基本上只是更新驻留在用户 PC 上的 .txt 文件中的参数。这些 .txt 文件用于控制我们域中大多数用户使用的程序。
话虽如此,当我尝试通过发出以下命令来更新我的电脑时:
gpupdate /force
或者,如果我注销并重新登录,我的 .txt 文件就会成功更新。我检查了有关组策略的 Windows 事件查看器日志:
Applications and Services Logs/Microsoft/Windows/Group Policy/Operational
并发现了大量日志语句。它显示我的帐户详细信息,显示我已连接到 Active Directory,并列出适用的组更新。我注意到一件奇怪的事情是:
查看我的适用更新列表:
它还在日志中列出了以下内容:
其中 WOC_Updates 是我想要应用的策略。它是一个为执行必要的 PC 更新而编写的程序。
在受影响的 PC 上,我看到了相同的帐户详细信息,它显示我已连接到 Active Directory,并列出了适用的组更新。但是,它列出了一组不同的适用组更新:
它也没有列出“启动脚本扩展处理。”语句,就像上面的屏幕截图中列出的成功的 PC 一样。
所有用户都在同一域中,对访问的位置具有相同的权限。我是这个领域的新手,因此如果能就从哪里开始提供帮助,我将不胜感激。
谢谢你!
编辑:添加 GPO 设置的屏幕截图:
答案1
如果您从 GPO 上的安全组过滤中删除了经过身份验证的用户,则需要在 GPO 域计算机的安全性中设置为只读,以使 GPO 正常工作。
正如 joeqwerty 找到的链接,这是因为这些更新:
- https://support.microsoft.com/en-us/help/3163622/ms16-072-security-update-for-group-policy-june-14,-2016
- https://support.microsoft.com/en-us/help/3159398/ms16-072-description-of-the-security-update-for-group-policy-june-14,-2016
如果在这种情况下您有大量 GPO,您也可以使用该 powershell 命令!
Get-GPO -All | Set-GPPermissions -TargetType Group -TargetName "Domain computers" -PermissionLevel GpoRead
对于您的最后一个问题,通过使用“委派”选项卡的优势和劣势“间接”添加域计算机或将域计算机添加到安全过滤部分的优势和劣势,请检查博客帖子中对此进行了更多的解释,但每种方法都可以(但他建议使用我告诉你的间接方法)