在一个拥有约300名客户的组织里,我们已经有了大约20年的打印测绘政策。 这家公司在2年以上没有做Windows更新。 在上周末,我们被授权推出所需的所有Windows更新,使我们目前(testing后)。 原来我们错过了一个边缘的情况, 打印机部署组策略的整个子集不再提供给客户端。
政策没有改变,但是根本没有出现。 如果我们做RSOP或gpresult,他们甚至不显示为不适用。 我们免费的计算机仍然能够正常接收和执行这个政策,包括一台新形象的旧电脑。
当运行“gpupdate / force”时,我们会在受影响的计算机上看到一个错误,其中包含以下文本:
用户策略处理过程中遇到以下警告:组策略客户端扩展文件夹redirect无法应用一个或多个设置,因为必须在系统启动或用户login之前处理更改。 在下次启动或login此用户之前,系统将等待组策略处理完成,这可能会导致启动和启动性能降低。 计算机策略更新已成功完成。
- Windowsnetworking打印机冻结在PDF上
- networkingclosures时打印到本地Windowsnetworking共享
- 行为不端networking打印机 – 选项?
- 无法通过Windows 7 Pro在SBS2003上的HP 2600n上打印
- 无休止的打印机假脱机
有关更多详细信息,请查看事件日志或从命令行运行GPRESULT / H GPReport.html以访问有关组策略结果的信息。
某些用户策略已启用,只能在login时运行。
确定要注销? (Y / N)
允许它注销,重新启动等不会改变结果。 该命令的后续执行显示相同的消息。 GPResult输出没有提到打印机策略或任何故障。
这是在Windows 7和Windows 10上发生的。有些策略通过“已部署的打印机”映射计算机,有些则通过“控制面板”映射。 都不显示了。
我们现在正在逐步完成卸载更新的过程,以查看更改的内容(有278个),但是我们完全无法确定导致策略甚至不能传播的原因。 我们的Windows Server 2008域控制器上没有任何更改,并且所有的策略都显示为3。
任何疑难解答的想法将不胜感激
我的猜测是政策没有authentication用户安全主体与读取权限。
我的同事解决了这个问题。 看到这篇文章: http : //windowsitpro.com/patch-tuesday/update-kb3163622-breaks-group-policy-it-s-not-me-it-s-you
KB3163622似乎打破了应用安全策略的方式:
发生了什么事:MS16-072更改检索用户组策略的安全上下文。 这种按devise行为更改可保护客户的计算机免受安全漏洞影响。 安装MS16-072之前,使用用户的安全上下文检索用户组策略。 安装MS16-072后,使用机器安全上下文检索用户组策略。
为什么发生这种情况:如果组策略对象缺lessAuthenticated Users组的读取权限,或者如果使用安全筛选并且缺less对域计算机组的读取权限,则可能会发生此问题。
如何解决此问题:要解决此问题,请使用组策略pipe理控制台(GPMC.MSC),然后执行以下步骤之一:
- 在组策略对象(GPO)上添加具有读取权限的已validation的用户组。
- 如果您正在使用安全筛选,请添加具有读取权限的域计算机组。