我有一个在 Windows Server 2008 R2 上运行的域 - 当然有点旧,但运行得很好。
最近我注意到公司里的机器似乎从互联网而不是我们的内部 WSUS 服务器下载更新。
我已经开始调查,并且我注意到 WSUS 策略尚未被应用(使用 进行测试rsop.msc
)。
这些政策制定得正确 - 毕竟,它们之前是发挥作用的。
我想知道这是否是因为我们有越来越多的系统运行 Windows 10,但感觉不对,因为我很确定几周前我的 Windows 10 也从本地 WSUS 下载了更新 - 当 Windows 显示某些设置由系统管理员管理时,你就可以判断出这种情况。
gpupdate /force
运行时也不会在客户端机器上抛出任何错误。
此外,与 WSUS 相关的一个特定 GPO 仍在运行 - 它设置了客户端定位。
可能出了什么问题?我该如何尝试调试这些与 WSUS 相关的 GPO?
答案1
对于组策略,您首先要研究应用了什么(或没有应用)以及为什么要使用 GPRESULT 命令。它与好用的 rsop.msc 非常相似,但我发现几个设置中有一些额外的好处。
首先查看应用了哪些组策略,哪些被过滤掉了:(如果从行为不正常的计算机上执行此操作,则可以省略“/S <目标 PC>”)
gpresult /S <target machine name> /R
这将为您提供 GPO 的概述,我发现最常见的问题是有人试图修改我期望应用的 GPO 上的 WMI 筛选,并且他们设法排除了 PC(在这种情况下,您将看到“DENIED(WMI 筛选器)”消息)
接下来您可以做的是实际检查所有已应用 GPO 的设置,以确保它们符合您的预期。(/F 会覆盖任何现有的 gpresult.htm 文件,或者您可以只更改文件名。)
gpresult /S <target machine name> /H gpresult.htm /F
然后在 Internet Explorer 中打开 gpresult.htm(当然,您可以使用其他浏览器,但它有一个 ActiveX 组件,可以方便地展开/折叠部分,这在 IE 中效果最好)。浏览结果并查看哪些值已应用/未应用到 PC。
这是很容易开始的地方,在这两个命令之间您通常能够识别您的问题。