我正在尝试禁用所有端点上的 LLMNR。我在这里找到了一篇描述该过程的文章。
本质上这个过程如下 -
创建 GPO -> 计算机配置 -> 管理模板 -> 网络 -> DNS 客户端,通过将其值更改为已启用来启用关闭多播名称解析策略
因此,我应用了 GPO,然后gpupdate /force在我的机器上运行以将其更新为最后一个 GPO。然后我运行gpresult /Scope Computer /v,输出列出了 GPO:
GPO: Disable LLMNR Folder Id: SOFTWARE\Policies\Microsoft\Windows NT\DNSClient\EnableMulticast Value: 0, 0, 0, 0 State: Enabled
在我看来,GPO 似乎正在得到应用。但看起来它并没有真正执行它。因此 的值0.0.0.0。
有没有什么方法可以测试它是否有效?
答案1
GPResult 输出中的 Value 字段(0, 0, 0, 0在您的情况下,与 不同0.0.0.0)并不表示未强制执行组策略。相反,它是一个显示与 GPO 设置相关的任何其他信息的字段。
例如,我有一个 GPO,它在 GPResult 的 Value 部分显示了这一点:
Value: 104, 0, 116, 0, 116, 0, 112, 0, 115, 0, 58, 0, 47, 0, 47, 0, ...
这些是 ASCII 值(104='h'、116='t'、116='t'、112='p'、115='s'、58=':' 等等),表明与该 GPO 相关的设置的值为https://...。
因为 EnableMulticast 设置只有 Enabled 或 Disabled,所以 Value 字段中没有其他信息可显示。行中显示的State: Enabled是您需要知道的信息。
如果您想要检查客户端并确认 GPO 是否产生了预期效果,您可以查看注册表。查找EnableMulticast内部HKLM\Software\Policies\Microsoft\Windows NT\DNSClient。如果是0,则表示未启用多播名称解析。
答案2
补充一点,我读过的每篇文章都表明,对于此 EnableMulticast 值,1 被禁用并且 0 被启用,尽管值名称表明情况恰恰相反。
我确实查看了几篇文章来验证,因为有了像 EnableMulticast 这样的名字,你会期望它是反过来的。