我最近遇到了一些奇怪的组策略问题,所以我想在一个干净的设置上进行测试并且没有任何运气,所以我希望其他人可以提供一些启示。这是在 Windows 2003 R2 上。
我创建了一个测试用户并将其添加到一个测试全局组中。然后,我设置了一个链接到具有安全过滤的域的根的 GPO,以仅适用于测试组,并尝试查看我的设置是否适用。
如果我使用组策略建模,一切看起来都是正确的,但是当我执行组策略结果或检查实际机器时,什么都没有应用。我首先以为我遇到了 GP 问题,并尝试了通常的重启、gpupdate、等待一天希望事情会适用等。然后我尝试创建一个不同的用户,尝试不同的机器,甚至尝试将管理员帐户添加到测试组和没有任何效果。
然后我注意到在 GPMC 中的“应用组策略时的安全组成员身份”和“用户是以下安全组的一部分”下,测试组未列为用户所属的组。
我试过创建一个不同的域本地组。我已经尝试将管理员添加到组中,并且看到 GP 将适用于该帐户,但它没有。
但是,如果我在域控制器上创建一个共享并且只授予该组对其的访问权限,则测试用户可以正常访问它,所以我知道该用户肯定是该组的成员。
如何让 GP 相信我的用户确实是这些组的成员?
你检查过你的 eventvwr 日志吗?您在此域中是否有其他域控制器 (DC)?哪一个是全球目录 (GC) FSMO?尝试运行
并检查输出是否存在问题,尤其是 SYSVOL 和/或与其他 DC 的复制。
这可能很危险:如果这不是目录中唯一的 DC,并且事件日志没有显示任何内容,请尝试制作 sysvol\domain\policies 的副本并将其放在服务器硬盘驱动器的其他位置。确保在非工作时间执行此操作,并确保使用以下命令执行完整的 AD 备份:
备份完成后,将 ForestBackup.bkf 从服务器上复制下来。
创建备份并将其复制到其他位置后,删除 sysvol\domain\policies 目录。然后使用replmon.exe强制与目录中的另一个 DC 进行复制
检查 FRS 事件日志并查看您是否收到有关成功 sysvol 复制的消息。请记住,在 Sysvol 完全恢复之前,您的服务器将无法充当 DC,因此请确保您的客户端可以使用另一个 DC...
听起来 GPO 继承可能是一个可能的原因。看看这里:http ://technet.microsoft.com/en-us/library/cc739343(WS.10).aspx