我有一个Server 2008 R2域与相当多的组策略对象,应该应用到各种OU和安全组(使用安全筛选)。
我从用户那里得到了报告,他们错过了某些设置和映射驱动器之类的东西。 当我开始调查这个问题时,我发现几乎我们域中的每一个GPO都停止了应用。
有几个GPO(像默认的域策略)仍然在应用,看起来他们有一个共同点就是这些策略全部应用到“Authenticated Users”内置组中。 而所有其他GPO使用其他各种安全组的安全筛选。
我已经运行了很多RSOPtesting(计划和日志logging),这两个testing都显示只有应用于“Authenticated Users”的GPO正在运行。 其他GPO甚至不会显示在gpresult的“未应用的GPO”部分下。 我已经检查了权限,GPOinheritance,以及一些其他基本但常见的GPO问题,所有这些问题看起来都很好。 我尝试创build一些全新的GPO,并将它们应用于全新的安全组,但是这些组也不适用。
我没有注意到Active Directory的其他任何问题,针对其他function(如文件权限)的这些安全组的身份validation似乎都按预期工作。
我完全没有理由解释为什么这些GPO突然停止应用,没有明显的原因。 有没有人有任何想法可能会发生,或如何继续排除故障?
这是MS16-072的一个问题。 所有用户GPO必须至less具有已authentication用户的读取权限。
https://support.microsoft.com/en-us/kb/3163622
MS16-072更改检索用户组策略的安全上下文。 这种按devise行为更改可保护客户的计算机免受安全漏洞影响。 安装MS16-072之前,使用用户的安全上下文检索用户组策略。
症状
所有用户组策略(包括那些在用户帐户或安全组上进行了安全筛选的用户组策略)都可能无法应用于已join域的计算机。
原因
如果组策略对象缺lessAuthenticated Users组的读取权限,或者您正在使用安全筛选,并且缺less对域计算机组的读取权限,则可能会发生此问题。
parsing度
要解决此问题,请使用组策略pipe理控制台(GPMC.MSC)并使用以下步骤之一: