我遇到了一种奇怪的情况:组策略报告的域组成员身份与 Active Directory 的不同。
DOMAIN\user.name已经是 的成员DOMAIN\some_group_1。我将其添加到 AD 组DOMAIN\some_group_2。该命令gpresult /v现在报告DOMAIN\user.name不是 的成员DOMAIN\some_group_2,而 Active Directory 用户和计算机管理单元清楚地显示它是 的成员。
这两个小组都具有全球范围,并且是使用 WSE 2016 仪表板创建的。
这种情况阻止了组策略首选项为该用户创建注册表项,该项针对的是 中的所有用户DOMAIN\some_group_2。
为什么组策略不接受新成员?
顺便说一句,Get-ADPrincipalGroupMembership user.name在 DC 上运行报告称该用户Domain Users仅仅是其中的成员。
- 编辑 -
我应该澄清一下,我使用两台计算机通过两种方法连接到域:1) LAN;2) 远程 VPN。两种连接的症状相同。
答案1
我发现了问题。
我已使用域管理员帐户连接到 VPN,以便能够为标准用户帐户创建新的配置文件。但我尚未将用户帐户添加到 AD 中的 VPN 安全组,因此新配置文件在创建时已损坏。
我删除并重新创建了配置文件,一切正常。它现在运行正常,所有安全组都正常显示。