为什么我的环回GPO报告被禁用

首先让我说,我的GPO经验仅限于在设置中试探性地尝试,直到经过反复试验。 这是完全可能的,这将是一个非常明显的答案。

我们的目标是让三台电脑脱离互联网,而不会限制他们访问本地networking。

我正在更换的人已经build立了一个名为“互联网locking”的GPO,其布局如下( 以斜体=加我 ):

范围:

链接:没有互联网(这是一个OU,是我们主要SBSComputers OU的孩子,并有目标计算机作为成员)。 不执行。 链接已启用。

安全过滤:

  • 经过身份validation的用户
  • 电脑1
  • 电脑2
  • COMPUTER3

没有WMIfilter

细节

GPO状态:计算机configuration设置已禁用(已启用

设置

计算机configuration/策略/pipe理模板/系统/组策略

用户组策略环回处理模式:已启用

模式:replace

用户configuration/ Windows设置/ Internet Explorer维护/连接/代理设置

启用代理设置:全部为127.0.0.1:4664

除了从192.168.1.200开始或内联网

pipe理模板/ Windows组件/ Internet Explorer

禁用更改自动configuration设置:启用

禁用更改连接设置:启用

禁用更改代理设置:启用

禁用互联网连接向导:启用

/浏览器菜单

工具菜单:禁用Internet选项…菜单选项:启用

我已经在DC和目标计算机上完成了gpupdate / force,但是,尽pipe其他GPO运行良好,但似乎忽略了这一点。 一些初步的谷歌search引导我添加回环处理模式到计算机configuration,然后启用计算机configuration选项,我也认为我可能需要在安全过滤部分的具体计算机对象,但这些都没有改变。 我没有使用我的域pipe理员帐户login到目标计算机。

当我运行gpresult /h result.html我发现在计算机configuration/组策略对象/拒绝的GPO中列出了Internet Lockdown,原因是“Disabled GPO”。 这使我困惑,因为它现在全部启用。 它也不会出现在用户configuration下的任何地方,既不应用也不拒绝。

除了在DC或目标计算机上处​​理GP之外,事件日志中不包含任何有用的信息。

有什么想法吗?

这是因为您已经configuration了Computer Settings Disabled 。 尝试更改该下拉菜单,只是简单的Enabled并尝试。

这就是说,你在一个GPO中configuration了计算机策略和用户策略。 从技术上讲,没有什么不对,但是这被认为是不好的做法,使得排除故障困难。

这也使你的安全过滤变得混乱。 例如,在您的实例中,列出的计算机没有任何区别,因为您已列出已Authenticated Users

我build议将策略分成两个 – 一个包含所有Computer Configuration项目,另一个包含所有User Configuration项目。 如果您希望这两套GPO适用于该OU中的所有计算机(因此,所有login此计算机的用户),则只需将两组安全筛选都保留给已通过Authenticated Users 。 (虽然要记住它也适用于pipe理员)