最近我一直有一些怪异的团体政策问题,所以我想testing一个干净的设置,没有运气,所以我希望别人可以摆脱一些光。 这是在Windows 2003 R2上。
我创build了一个testing用户并将其添加到testing全局组。 然后,我build立了一个GPO链接到具有安全筛选的域的根目录,只适用于testing组,并尝试查看是否应用了我的设置。
如果我使用组策略build模,一切都看起来是正确的,但是当我做组策略结果或检查实际的机器,没有得到应用。 我第一次以为我有GP问题,并尝试通常与重新启动,gpupdate,等待一天希望事情将适用等我然后尝试创build一个不同的用户,尝试不同的机器,甚至尝试添加pipe理员帐户的testing组和没有工作。
然后,我注意到,在GPMC中“安全组成员应用组策略时”和“用户是以下安全组的一部分”下,testing组未被列为用户所属的组。
我试过创build一个不同的域本地组。 我已经尝试将pipe理员添加到组,并且看到GP将适用于该帐户,但它不。
但是,如果我在域控制器上创build一个共享,只允许该组访问它,testing用户可以很好地访问它,所以我知道用户肯定是该组的成员。
我怎么能说服GP,我的用户真的是这些组的成员?
你有没有检查你的eventvwr日志? 你在这个域中有其他域控制器(DC)吗? 全球目录(GC) FSMO是哪一个? 尝试运行
dcdiag.exe 并检查输出的问题,特别是使用SYSVOL和/或与其他DC复制。
这可能是危险的:如果这不是目录中唯一的DC,并且事件日志不显示任何内容,请尝试复制 sysvol \ domain \ policies,并将其放在服务器的硬盘上。 确保您在下class时间进行此操作,并确保您使用以下方式执行完整的AD备份:
ntbackup.exe backup systemstate /J "pre-delete-ad-backup" /F "c:\adbackups\ForestBackup.bkf" /V:yes /M normal
备份完成后,将ForestBackup.bkf复制到服务器外。
创build备份并将其复制到其他位置后,请删除sysvol \ domain \ policies目录。 然后使用replmon.exe强制与目录中的另一个DC进行复制
检查FRS事件日志并查看是否收到有关成功的sysvol复制的消息。 请记住,在Sysvol恢复完成之前,您的服务器将不能充当DC,因此请确保另一个DC可用于您的客户端。
听起来像GPOinheritance可能是一个可能的原因。 看看这里: http : //technet.microsoft.com/en-us/library/cc739343(WS.10).aspx