在工作中,我的计算机(Windows 10)是本地域的一部分。
我添加了一些本地组策略,在注意到它们没有被应用后,我运行了gpresult /H gp_report.html返回结果为:
信息:用户没有 RSoP 数据。
跑步后gpupdate /force我发现该文件\\[domainname.local]\sysvol\[domainname.local]\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini因不久前的勒索软件攻击而损坏了。
暂时我用一份干净的副本替换了该文件,之后gpupdate /force我的政策正在发挥作用。但我想知道我是否以及如何禁用域策略,这样只应用本地策略,同时我的电脑仍然连接到域。
我安装了远程服务器管理工具为了尝试概述的过程这里(禁用组策略对象继承),但在启动时gpmc.msc我收到一条错误信息:
指定的域不存在或无法联系。
我可以点击“选择其他域控制器“并列出了两个域控制器,但选择其中任何一个都会加载一棵空树。
也尝试过Set-GPinheritance -Target "dc=[domainname.local]" -IsBlocked Yes根据这个参考但它返回:
Set-GPinheritance:指定的域不存在或无法联系。(来自 HRESULT 的异常:0x8007054B)
[摘要]目前不知所措。我想在仍连接到域的情况下禁用继承的组策略。但我的尝试到目前为止都失败了。可以做到吗?
笔记:为了得到答案,请假设任何本地策略都不起作用(就好像我没有修复域服务器策略一样)。
谢谢。
答案1
您可以禁用后台刷新 - 通过 gpedit.msc,计算机配置 -> 管理模板 -> 系统 -> 组策略。将关闭组策略的后台刷新设置为启用。
此外,您可以清除 HKCU/HKLM Software\Policies 和 HKCU/HKLM Software/Microsoft/Windows/CurrentVersion/Policies 下的 Policies 文件夹中的项目,并将列出的任何权限大于该权限的帐户的密钥权限设置为“读取”。
答案2
您似乎遇到了另一个问题,如果您的控制台为空,您的默认域策略似乎已损坏,您将不得不重置 GPO。有备份吗?(或者您不是域管理员?)
dcgpofix /ignoreschema /target:Domain
默认域策略默认对所有计算机对象启用,但它仅设置密码选项等。
阻止从 OU 继承是有效的方法,所以我认为您的 SYSVOL 策略文件夹已损坏。
答案3
我发现通过-Server参数添加到 powershell cmdlet 中使其工作。但是,运行Set-GPinheritance -Target "dc=[domainname.local]" -IsBlocked Yes并没有修复我的本地策略损坏问题。
因此,我以管理员身份从 PowerShell 执行了下面列出的步骤:
(Get-GPInheritance -Target "dc=[domainname],dc=local" -Server "[servername]").GpoLinks | foreach-object {echo $_}
这将返回如下列表:
记下该GpoId属性。现在运行:
Set-GPLink -Guid "[GpoId from previous step]" -Target "dc=[domainname],dc=local" -LinkEnabled No -Server "[servername]"
之后,运行gpupdate.exe /force工作正常。
参考:
- 设置GPLink和GroupPolicy 模块(微软文档)