GPO 未能申请；原因：无法访问、为空或已禁用；服务器 2012 R2 和 Windows 10

检查补丁 joeqwerty链接。

有一个重要的细节：

已知的问题

MS16-072 更改检索用户组策略的安全上下文。这种设计上的行为更改可保护客户的计算机免受安全漏洞的影响。在安装 MS16-072 之前，使用用户的安全上下文检索用户组策略。安装 MS16-072 后，使用机器安全上下文检索用户组策略。此问题适用于以下知识库文章：

• 3159398 MS16-072：组策略安全更新说明：2016 年 6 月 14 日
• 3163017 Windows 10 累积更新：2016 年 6 月 14 日
• 3163018 Windows 10 版本 1511 和 Windows Server 2016 Technical Preview 4 的累积更新：2016 年 6 月 14 日
• 3163016 Windows Server 2016 Technical Preview 5 的累积更新：2016 年 6 月 14 日

症状

所有用户组策略，包括那些已在用户帐户或安全组或两者上进行安全过滤的用户组策略，可能无法在加入域的计算机上应用。

原因

如果组策略对象缺少 Authenticated Users 组的读取权限，或者您正在使用安全筛选并且缺少域计算机组的读取权限，则可能会出现此问题。

解析度

要解决此问题，请使用组策略管理控制台 (GPMC.MSC) 并执行以下步骤之一：

- 添加对组策略对象 (GPO) 具有读取权限的 Authenticated Users 组。
- 如果您使用安全过滤，请添加具有读取权限的域计算机组。

请参阅此链接部署 MS16-072，它解释了所有内容并提供了修复受影响 GPO 的脚本。该脚本将 Authenticated 用户读取权限添加到对 Authenticated 用户没有权限的所有 GPO。

# Copyright (C) Microsoft Corporation. All rights reserved.

$osver = [System.Environment]::OSVersion.Version
$win7 = New-Object System.Version 6, 1, 7601, 0

if($osver -lt $win7)
{
    Write-Error "OS Version is not compatible for this script. Please run on Windows 7 or above"
    return
}

Try
{
    Import-Module GroupPolicy
}
Catch
{
    Write-Error "GP Management tools may not be installed on this machine. Script cannot run"
    return
}

$arrgpo = New-Object System.Collections.ArrayList

foreach ($loopGPO in Get-GPO -All)
{
    if ($loopGPO.User.Enabled)
    {
        $AuthPermissionsExists = Get-GPPermissions -Guid $loopGPO.Id -All | Select-Object -ExpandProperty Trustee | ? {$_.Name -eq "Authenticated Users"}
        If (!$AuthPermissionsExists)
        {
            $arrgpo.Add($loopGPO) | Out-Null
        }
    }
}

if($arrgpo.Count -eq 0)
{
    echo "All Group Policy Objects grant access to 'Authenticated Users'"
    return
}
else
{
    Write-Warning  "The following Group Policy Objects do not grant any permissions to the 'Authenticated Users' group:"
    foreach ($loopGPO in $arrgpo)
    {
        write-host "'$($loopgpo.DisplayName)'"
    }
}

$title = "Adjust GPO Permissions"
$message = "The Group Policy Objects (GPOs) listed above do not have the Authenticated Users group added with any permissions. Group policies may fail to apply if the computer attempting to list the GPOs required to download does not have Read Permissions. Would you like to adjust the GPO permissions by adding Authenticated Users group Read permissions?"

$yes = New-Object System.Management.Automation.Host.ChoiceDescription "&Yes", `
    "Adds Authenticated Users group to all user GPOs which don't have 'Read' permissions"
$no = New-Object System.Management.Automation.Host.ChoiceDescription "&No", `
    "No Action will be taken. Some Group Policies may fail to apply"
$options = [System.Management.Automation.Host.ChoiceDescription[]]($yes, $no)
$result = $host.ui.PromptForChoice($title, $message, $options, 0)  
$appliedgroup = $null
switch ($result)
{
    0 {$appliedgroup = "Authenticated Users"}
    1 {$appliedgroup = $null}
}
If($appliedgroup)
{
    foreach($loopgpo in $arrgpo)
    {
        write-host "Adding 'Read' permissions for '$appliedgroup' to the GPO '$($loopgpo.DisplayName)'."
        Set-GPPermissions -Guid $loopgpo.Id -TargetName $appliedgroup -TargetType group -PermissionLevel GpoRead | Out-Null
    }
}

如果您喜欢设置域计算机的读取权限（就像我一样）而不是经过身份验证的用户，只需将其更改0 {$appliedgroup = "Authenticated Users"}为0 {$appliedgroup = "Domain Computers"}