GPO显示在用户设置下应用,但仅包含计算机设置

我遇到了一些麻烦,并将其应用于Windows 10机器上。

我在域级顶部应用了几个GPO,其中一些仅包含计算机设置,一些只包含用户设置,另一些包含两者。

如果我执行GPresult / r,则可以看到在用户设置下应用的GPO,其中包含用户和计算机设置。 我可以看到在用户设置下应用的GPO,即使该策略包含NO用户设置。 最后,我可以看到在包含用户设置的用户设置下应用的GPO。

那么更奇怪的是,在用户设置下,我有2个GPO显示为未应用(未知原因),其中一个是默认域策略,但都不包含任何用户设置!

据我所知,所有的计算机政策正在适用,问题在于用户设置。

我需要弄清楚为什么GPO即使不包含用户设置,也显示为已应用,还有为什么它显示应用不包含用户设置的GPO的未知原因。

编辑 :gpresult的屏幕截图: 在这里输入图像说明 请注意,我已启用回送模式,所以这就是为什么他们出现了两次。

编辑 :当前委托设置

我们的默认域策略目前有这些设置:

创build者所有者 – 特殊


经过身份validation的用户 – 读取,应用


系统 – 除了完全控制和应用之外的一切


域pipe理员 – 读取,写入,创build子对象


域计算机 – 读取,应用


企业pipe理员 – 读取,写入,创build子对象


企业域控制器 – 读取

编辑

因此,使用与之前完全相同的设置重新创build“DOM-IE-CompatView”GPO后,不再显示为“未应用(未知原因)”

我是否应该使用dcgpofix将默认域策略恢复到默认设置?

应用GPO是因为计算机和用户configuration设置都会被评估,除非您将用户configuration设置的GPO状态(在GPO的“详细信息”选项卡上) configuration为禁用 。 只有这样他们才不会被应用。 组策略引擎不知道没有configuration用户设置,所以它应用GPO,此时客户端扩展对GPO进行评估,以查看是否有任何需要应用的设置。 没有实际的用户设置由GPOconfiguration,因为您没有在GPO中configuration任何用户设置,但是组策略引擎仍然需要应用GPO,并让CSE评估可能需要configuration的设置的GPO。 如果您希望组策略引擎不应用GPO,则需要将GPO状态设置为禁用“用户configuration设置”

本文将使您更好地了解组策略处理的工作原理。 我认为您最感兴趣的信息是标有“

组策略引擎如何处理客户端扩展

https://technet.microsoft.com/en-us/library/cc784268(v=ws.10).aspx

您可以发布默认域策略的范围,详细信息和委派选项卡的屏幕截图吗?

组策略权限的工作方式发生了重大变化。 如果您应用了修补程序KB3163622,并且您使用安全筛选来确定如何应用GPO,则可能必须对几乎所有组策略的权限scheme进行一些更改。

这里有一篇文章谈论什么改变了,以及如何解决问题: http : //www.infoworld.com/article/3084930/microsoftoft-windows/microsoft-acknowledgeges-permission-problems-with-ms16-072-patches-kb -3159398-3163017-3163018-3163016.html

基本上,您需要确保每个GPO都可以被域计算机和/或authentication用户读取。

为此,请使用组策略pipe理RSAT工具并浏览到您的组策略对象。 切换到“委派”选项卡,并确保域计算机和/或authentication用户具有读取权限。 对于缺less这些权限的GPO,您需要点击“高级…”button,并向已authentication的用户和/或域计算机添加“读取”权限。

不要添加“应用组策略”权限,除非您希望策略通用。

之后,您应该能够运行GPUPDATE / FORCE / BOOT以使您的系统恢复正常。

所以我无法确定问题的根本原因,但是在安装了周年纪念更新之后,我所有应用的GPO都显示正确,而没有应用的错误(未知原因)不再出现​​。