我们在 Active Directory 网络上有一个由大约 1200 个 Windows PC 客户端组成的组织。我们注意到似乎有些随机系统没有设置策略。
例如,我们在我们的政策中规定 Windows 系统将通知更新但不应用它们。在夏季升级后,我们有一组系统正在下载更新并重新启动,即使没有任何人登录。问题是这些系统上有 Deep Freeze,因此当它们重新启动时,应用的任何修复程序都会被删除并且所以他们再次无限重启他们的下载/重启周期。其他,用户登录,它会弹出一个通知,它会在五分钟后重新启动,除非你点击“稍后”。
过去,我们看到了诸如阻止访问 C:驱动器在 AD 策略中的问题;通常系统隐藏驱动器,在某些系统上,看似随机的,用户会登录并访问。
从命令行刷新策略似乎无法解决问题,但有时重启几次即可。这些系统在启动时似乎具有网络访问权限,因此它们应该能够与 AD 服务器通信(加上用户可以登录到它们,因此它们必须能够进行身份验证,因为冻结的系统在没有缓存配置文件的情况下被冻结)。
AD 策略并不总是“接受”客户,这是否正常,或者有什么需要检查的吗?其他人是否会遇到这种预期行为?我知道 AD 策略应该在客户端上随机刷新,但是当我们运行命令手动刷新策略时,它似乎并没有解决问题。
机器帐户的密码通常每 30 天由机器更改一次。如果 DeepFreeze 不允许将新密码存储在计算机上,则计算机级别的 GPO 可能会失败,因为计算机无法登录 AD。
根据我的经验,组策略应用程序非常可靠。我为有间歇性策略应用问题的客户执行的几乎所有故障排除案例都细分为:
策略未应用在正确的位置(即试图将计算机策略应用于用户,将用户策略应用于计算机,不了解环回策略处理或按组成员身份过滤策略应用程序)
客户端计算机使用的狡猾 DNS 服务器(与 DNS 的网络连接不佳,ISP DNS 服务器被称为“辅助”DNS 服务器)
“媒体感知”功能导致 NIC 在启动过程中没有足够早地进行网络连接(请参阅http://support.microsoft.com/kb/239924)。
在我看来,计算机设置/管理模板/系统/网络中的“在启动和登录时始终等待计算机”应该被强制在域根目录中指定的策略中“启用”。此设置会导致在启动和登录时同步应用组策略处理(即在启动时出现登录框之前或在登录时显示桌面之前完成)。
同步应用程序是 Windows 2000 的默认行为,当时 Microsoft 建议不要使用异步应用程序,因为它可能会以非确定性方式运行。Microsoft 将 Windows XP 的行为更改为异步,果然,一些组策略客户端扩展(如软件安装策略)的行为有些随机和狡猾。我总是强制策略应用程序回到同步设置,即使启动和登录速度稍慢。
我无法告诉您“深度冻结”如何与组策略交互,因为我从未使用过这样的软件。(我知道它的作用,但我没有使用过。)我使用过运行 Windows XP Embedded 的瘦客户端设备,这些设备运行在基于闪存的磁盘上,这些设备在每次启动时都正确应用了策略,即使它们使用的是“增强的写入过滤器”,并且会在每次启动时有效地“重置”回之前的配置。
您的“几次重新启动”让我认为您遇到了异步策略处理的问题。您的事件日志可能会告诉您,除了您的“深度冻结”软件可能不允许对事件日志的写入持久化,因此您必须在重新启动之前检查日志。
您是否有一个 GPO 告诉 Deep Freeze PC 自动下载和安装更新并重新启动?您可以运行 rsop.msc 来确定将哪些 GPO 应用于 PC 以及设置自动更新策略的策略。在组策略编辑器 (gpedit.msc) 中,它位于计算机配置 > 管理模板 > Windows 组件 > Windows 更新下。如果是这种情况,第一件事是将这些 PC 移动到另一个 OU,并将它们从更新 GPO 路径中取出(取决于它来自 AD 结构中的哪个位置)。如果出现这种情况,无论 GP 刷新率设置如何,您都需要停止将更新 GPO 应用到系统。
另一种情况是您已经“深度冻结”了自动更新和重新启动设置,而 GP 在决定下载更新并自行重新启动之前没有机会强制执行该设置不执行此操作。我不太确定 Deep Freeze 是如何工作的 - 如果它完全阻止修改某些设置或者是否可以修改它们,但它们在重新启动后恢复到以前的设置。