Windows 更新 GPO 未应用

Windows 更新 GPO 未应用

我有一个在 Windows Server 2008 R2 上运行的域 - 当然有点旧,但运行得很好。

最近我注意到公司里的机器似乎从互联网而不是我们的内部 WSUS 服务器下载更新。

我已经开始调查,并且我注意到 WSUS 策略尚未被应用(使用 进行测试rsop.msc)。

这些政策制定得正确 - 毕竟,它们之前是发挥作用的。

我想知道这是否是因为我们有越来越多的系统运行 Windows 10,但感觉不对,因为我很确定几周前我的 Windows 10 也从本地 WSUS 下载了更新 - 当 Windows 显示某些设置由系统管理员管理时,你就可以判断出这种情况。

gpupdate /force运行时也不会在客户端机器上抛出任何错误。

此外,与 WSUS 相关的一个特定 GPO 仍在运行 - 它设置了客户端定位。

可能出了什么问题?我该如何尝试调试这些与 WSUS 相关的 GPO?

答案1

对于组策略,您首先要研究应用了什么(或没有应用)以及为什么要使用 GPRESULT 命令。它与好用的 rsop.msc 非常相似,但我发现几个设置中有一些额外的好处。

首先查看应用了哪些组策略,哪些被过滤掉了:(如果从行为不正常的计算机上执行此操作,则可以省略“/S <目标 PC>”)

gpresult /S <target machine name> /R

这将为您提供 GPO 的概述,我发现最常见的问题是有人试图修改我期望应用的 GPO 上的 WMI 筛选,并且他们设法排除了 PC(在这种情况下,您将看到“DENIED(WMI 筛选器)”消息)

接下来您可以做的是实际检查所有已应用 GPO 的设置,以确保它们符合您的预期。(/F 会覆盖任何现有的 gpresult.htm 文件,或者您可以只更改文件名。)

gpresult /S <target machine name> /H gpresult.htm /F

然后在 Internet Explorer 中打开 gpresult.htm(当然,您可以使用其他浏览器,但它有一个 ActiveX 组件,可以方便地展开/折叠部分,这在 IE 中效果最好)。浏览结果并查看哪些值已应用/未应用到 PC。

这是很容易开始的地方,在这两个命令之间您通常能够识别您的问题。

相关内容