我有一个在 Windows Server 2008 R2 上运行的域 - 有点旧,当然,但它运行得很好。
最近我注意到公司的机器似乎从 Internet 下载更新,而不是我们内部的 WSUS 服务器。
我已经开始调查,我注意到没有应用 WSUS 策略(使用 进行测试rsop.msc)。
政策设置正确 - 毕竟,他们以前工作过。
我想知道这是否是因为我们有越来越多的系统运行 Windows 10,但这感觉不对,因为我很确定几周前我的 Windows 10 也从本地 WSUS 下载了更新 - 你可以当 Windows 显示某些设置由系统管理员管理时,请告知这种情况。
gpupdate /force运行也不会在客户端机器上抛出任何错误。
此外,与 WSUS 相关的一个特定 GPO 仍在工作 - 它设置客户端定位。
有什么问题?如何尝试调试这些与 WSUS 相关的 GPO?
对于组策略,您首先要查看应用(或不应用)什么以及为什么应该使用 GPRESULT 命令。它与好的 ol rsop.msc 非常相似,但我发现在几个设置中还有一些额外的好处。
首先查看应用了哪些组策略,哪些被过滤掉了:(如果从行为不端的计算机上执行此操作,您可以省略“/S <target PC>”)
这将使您了解 GPO,我发现我最常见的问题是有人尝试在我期望应用的 GPO 上修改 WMI 过滤,并且他们设法排除了 PC(在这种情况下,您会看到“拒绝(WMI 过滤器)”消息)
您可以做的下一件事实际上是检查所有应用的 GPO 的设置,以确保它们是您所期望的。(/F 覆盖任何现有的 gpresult.htm 文件,或者您可以只更改文件名。)
然后在 Internet Explorer 中打开 gpresult.htm(当然,您可以使用其他浏览器,但它有一个 ActiveX 组件,可以方便地展开/折叠在 IE 中表现最好的部分)。浏览一下结果,看看哪些值正在/未应用于 PC。
这是一个容易开始的地方,在这两个命令之间,您通常能够识别您的问题。