我要疯狂大约 1 周。我为此关注了许多文档和解决方案,但没有办法。
我正在尝试使用我在主域控制器中编写的策略来抑制域计算机上的BUILTIN\Administratos 组成员。对于此过程,请在下面添加的计算机配置\策略\Windows 设置\安全设置\受限组中添加一个组。
将此组策略链接到整个域。之后我重新启动我的电脑。
当电脑打开并登录时,我检查电脑上的管理员组本地用户和组lusrmgr.msc
。我看到没有任何变化,旧的默认用户仍然存在,并且没有添加新的用户。因此受限组策略不受影响。
比我在命令提示符中运行Gpresult /h C:\Users\Xuser\Documents\gpresultreport.html /f
命令而不是检查报告输出。下面添加了 SS;
我通过互联网搜索AD / SYSVOL Version Mismatch
并尝试一些解决方案,但没有帮助。
奇怪的是,当我使用gpupdate /force
命令时,有时会成功地将用户添加到 BUILTIN\Administrators 组,有时则不会。
有时,此添加的用户消失,BUILTIN\Administrators 组自行变为默认。
另外第二件奇怪的事情通常是如果您重新启动电脑两次成功地将所需的用户添加到BUILTIN\Administrators 组
我仔细检查所有其他组策略以使用受限组。我确信此设置不能用于任何其他策略。
我还检查 PDC 和 ADC 复制状态。一切都好。 Wh 没有复制问题。
------- 编辑 2 ------
第三个奇怪的事情现在发生了。当我重新启动电脑时,请查看使用 Gpresult 命令添加的最后一个策略。我看到所需的策略已应用,但所需的用户未添加到受限组,如下面的屏幕截图所示;
让我思考的是,有时问题会发生,有时却不会。我真的无法摆脱困境。
- 解决了 -
经过一周的研究和头痛,我发现了问题并解决了它。
问题出在
DFSR Replication
PDC 和 ADC 之间。在ADC服务器的Windows事件日志下的日志
event ID 4012
中发现了的日志。DFS Replication
我将把这个留在下面。当我查看以下命令时,我在 ADC 服务器上看到状态 5。这也表明了一个错误。
状态值可以是以下任意一个:
然后我
MaxOfflineTimeInDays
使用以下命令检查了所有 DC 服务器上的 DSFR 复制的值。结果是 PDC 为 200 天,ADC 为 60 天。因此,由于我的问题超过 60 天(135 天),DFSR 复制不再可能。
使用以下命令,我将
MaxOfflineTimeInDay
PDC 和 ADC 上的 DSFR 值增加到 250 天,并DSFR Replication service
在两台服务器上重新启动。然后我通过再次运行下面的命令进行检查,并确认两个 DC 的状态都是 4。
GPOs
当我查看PDC 和 ADC 上的状态时,所有 GPO 似乎都已同步,没有任何错误。之后,我
Gpupdate /force
在整个域上运行并确认所有计算机都收到了更新的策略。我希望它可以帮助有同样问题的人。
祝大家工作顺利:)