我们最近一直在清理我们的域、活动目录、组策略等。我们的 MCSDCS DNS 区域位于错误的位置,我们的 SYSVOL 未进行复制,因为它已被锁定在日志包装错误中超过一年,并且我们的策略定义中央存储库在某个时候已经崩溃。因此,总的来说,我们的域多年来一直遭受着太多经验水平各异的不同系统管理员的困扰,并且已经从 2000 年升级到 2003 年,然后从 2003 年升级到 2008 年,我们正准备在明年进行另一次升级。
无论如何,我们似乎遇到的一个问题是默认域策略非常臃肿,各种随机设置都被添加到其中。我猜有些设置在某个时候已经被弃用了,我似乎无法在编辑器中找到它们来关闭它们。我将很多东西拉到更多与主题相关的 GPO 中,确保它们仍然合并等。一旦我们这样做了,我们所有的 RDP 设置在几乎所有建筑物中的机器上都恢复为默认设置 - 虽然不是所有设置,但根据用户或 PC 的 OU 或 Win 7 与 Win 10 等,没有明显的其他模式。我们不使用 Windows 防火墙,所以它不是与防火墙相关的设置。它是系统属性 > 远程选项卡中的特定设置。
这时我才意识到中央存储库中的管理模板已被删除(我自己对 Windows 域管理也不太熟悉)。我猜想是默认域策略或我一直在修复或删除的其他策略之一包含了一些我无法在 GPO 编辑器中看到的设置,因为我们甚至没有加载该策略模板。因此,在加载默认模板后,我编辑了正确的设置,应用了 GPO,强制更新……但什么都没有。我确保强制执行,我确保它会命中我的用户,在 GPRESULT 中确认,然后我甚至将它链接到最接近我的 AD 对象的 USER 和 PC OU……但仍然什么都没有。
我手动将两个注册表项添加到 GPO 以允许远程桌面并且不需要 NLA。仍然没有结果。我可以手动切换这些注册表项,并在系统属性面板中更改设置会将项更改回确认,但 GPO 不会更改项。
我在范围:计算机设置上运行了 GPRESULT,我看到以下内容:
该 GPO 的设置显示在“设置”中
该策略显示在“已应用的 GPO”下,并显示“强制执行 = 是”
正确的获胜 GPO 在单独的设置中列出,注册表项显示“result:success”。
是的,在多次 GPUPDATE /FORCE、重新启动、等待 GPO 刷新周期(加上最大偏移值)之后,这些设置在我电脑上不会改变,并且没有变化!
有人能给我指点迷津吗?任何帮助都将不胜感激!
编辑:
具体设置:管理模板方法:Windows 组件/远程桌面服务/远程桌面会话主机/连接允许用户使用远程桌面服务进行远程连接 - 已启用
Windows 组件/远程桌面服务/远程桌面会话主机/安全要求使用网络级别身份验证对远程连接进行用户身份验证 - 已禁用
注册表项方法:HKEY_LOCAL_MACHINE SYSTEM\CurrentControlSet\Control\Terminal Server fDenyTSConnections REG_DWORD 0x0 (0)
HKEY_LOCAL_MACHINE SYSTEM\CurrentControlSet\Control\终端服务器\WinStations\RDP-Tcp UserAuthentication REG_DWORD 0x0 (0)
它们都是计算机变革。
我已尝试在 PC OU 范围内使用 GPO 执行此操作,并且还尝试将 GPO 放在用户和 PC 的范围内。
答案1
我应该更仔细地阅读你的问题。
您在注册表中的错误位置查找组策略设置。组策略设置(来自管理模板部分)写入以下四个注册表位置之一:
HKEY_LOCAL_MACHINE\SOFTWARE\policies
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies
HKEY_CURRENT_USER\SOFTWARE\policies
HKEY_ CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies
像您这样手动修改注册表项有点儿像在转移注意力。您期望组策略更改这些项,但在没有看到预期结果时,您得出结论:组策略未得到应用……但您的 GPRESULT 结果证明……您只是在错误的地方查找更改。
当这些设置由组策略配置时,您应该会在 GUI 中看到它。下图中的设置不可用,这意味着它由组策略管理:
下图中该设置可用,意味着它不受组策略管理:
