我正在尝试将 GPO 应用于整个域,但它并不适用于单个用户。
正在运行gpresult建议 GPO 由于 ; 而失败GPO Access Denied (Security Filtering)。
GPO 设置为适用于该Authenticated Users组,并且该组拥有这两种read/apply权限。不存在冲突的组/权限。
用户已从gpupdate /force提升的提示中运行并重新启动。
有人可以帮忙吗?
答案1
现在可能已经解决了。回答添加选项。最可能的原因是明确拒绝。无论是在 GPO 的委派中(根据 @user221530 的回答),还是在用户或组中。
确认范围。查看无法应用 GPO 的用户是否在多台计算机上遇到相同的问题。确认这是唯一无法应用 GPO 的用户。编写一个 PowerShell 脚本,在受影响的计算机上模拟 GPO RSOP,同时循环遍历受影响用户所在的所有组中的所有用户。如果您找到一个组,其中所有用户都存在问题,那么您就找到了显式拒绝的位置。
在排除 GPO 故障时,请务必使用 PowerShell cmdletGet-GpResultantSetOfPolicy命令并将其发送到 html 文件。请务必针对无法应用 GPO 的用户运行该命令,并再次针对受影响的计算机运行该命令。结果是可搜索的。列表不仅包括获胜的 GPO,还包括每个设置未获胜的 GPO 列表。它可能提供的信息比仅仅提供的信息更多GPO Access Denied (Security Filtering)。
在这种情况下
- 检查 GPO 的委派权限
- 检查被拒绝的组策略是域 GPO 还是本地组策略
- 检查 AD 中的用户对象是否明确拒绝
- 查找组成员身份和可能明确拒绝的组
- 也许可以重置 AD 内用户对象的权限。
如果所有方法都失败,请备份用户数据,记下会员资格并删除并重新创建帐户。
答案2
在策略中,如果您查看“委派”,然后单击“高级”,您是否看到用户已将权限设置为“应用组策略”