我有一个 Server 2008 R2 域,其中包含很多应该应用于各种 OU 和安全组的组策略对象(使用安全过滤)。
我收到用户的报告,他们缺少某些设置和映射驱动器之类的东西。当我开始调查这个问题时,我发现我们域中的几乎每个 GPO 都已停止应用。
有一些 GPO(如默认域策略)仍在应用中,看起来它们的共同点是这些策略都应用于“经过身份验证的用户”内置组。而所有其他 GPO 对各种其他安全组使用安全筛选。
我已经运行了许多 RSOP 测试(计划和日志记录),它们都表明只有应用于“经过身份验证的用户”的 GPO 正在运行。其他 GPO 甚至没有出现在 gpresult 的“未应用的 GPO ...”部分下。我检查了权限、GPO 继承以及其他一些基本但常见的 GPO 问题,所有这些似乎都很好。我尝试创建一些全新的 GPO,并将它们应用于全新的安全组,但这些也没有应用。
我没有注意到 Active Directory 的任何其他问题,针对这些安全组的其他功能(例如文件权限)的身份验证似乎都按预期工作。
我完全无法解释为什么这些 GPO 突然停止应用,没有明显的原因。有谁知道可能发生了什么,或者如何继续进行故障排除?
这是 MS16-072 的问题。所有用户 GPO 必须至少具有 Authenticated Users 的读取权限。
https://support.microsoft.com/en-us/kb/3163622
MS16-072 更改检索用户组策略的安全上下文。这种设计上的行为更改可保护客户的计算机免受安全漏洞的影响。在安装 MS16-072 之前,使用用户的安全上下文检索用户组策略。
症状
所有用户组策略,包括那些已在用户帐户或安全组或两者上进行安全过滤的用户组策略,可能无法在加入域的计算机上应用。
原因
如果组策略对象缺少 Authenticated Users 组的读取权限,或者您正在使用安全筛选并且缺少域计算机组的读取权限,则可能会出现此问题。
解析度
要解决此问题,请使用组策略管理控制台 (GPMC.MSC) 并使用以下步骤之一: