我们在域控制器上安装了Windows Server 2016的Active Directory域,并在所有客户端上安装了最新的Windows 10。 不久前,我开始在域中通过组策略部署互联网安全(CIS)1级安全基准testing中心:默认域策略中的Windows 10,基于Windows Server 2012 R2文档的覆盖(没有“在2016年还没有)在默认的控制器政策。 我之前一直被Windows粗心大意地咬了一口,所以这次我一个接一个地浏览所有的设置,打开相关文档并检查任何不熟悉的选项的影响。 它运行良好 – 直到今天,当我设法最终搞砸了。 症状如下
组策略的处理失败。 Windows试图从域控制器读取文件\ contoso.com \ sysvol \ contoso.com \ Policies {foo} \ gpt.ini并且不成功。 在解决此事件之前,可能不会应用组策略设置。 此问题可能是暂时的,可能是由以下一项或多项原因造成的:a)名称parsing/networking连接到当前域控制器。 b)文件复制服务延迟(在另一个域控制器上创build的文件尚未复制到当前的域控制器)。 c)分布式文件系统(DFS)客户端已被禁用。
不幸的是,我刚刚意识到我忘记检查事件日志中的相应错误代码,但是,假设我将Explorer指向\ contoso.com \ sysvol \(或者对于该服务器上的任何共享,同时使用主机和在path中的域名)我被要求的凭据,还没有find那些工作,我的赌注是“访问被拒绝”了。 顺便说一下,通过DC上的本地path访问sysvol可以正常工作。
总之,至less后面两个症状强烈地表明我设法把自己从SYSVOL的份额中解救出来; 不知道前两者是否也是由此造成的。 在一个侧面说明,重新启动域控制器到DSRM,然后回到正常模式,一切工作大约10分钟。
现在,我已经得到了最新的备份,所以我可以恢复到最后的工作状态,并完成它。 然而,我真正想要的是a)明白究竟是什么设置可能导致了这个问题(否则我很可能会很快再次遇到同样的问题),b)弄清楚如何使我的域与所有的硬化(CIS一级基准是基线 ,它们不应该对function有太大影响…)。 哦,和c)如果我仍然可以对当前的configuration做任何事情。
任何人在那里都具有强化Windows的经验,或专门应用CIS基准testing的经验,谁能给我一个正确的方向? 如果是这样,提前非常感谢!
更新:似乎我能够禁用违规的政策,但它没有撤销SYSVOLlocking。 使用secedit将本地安全策略重置为默认值也没有任何帮助,可能是因为所有程序产生的“拒绝访问”警告。
顺便说一下,我注意到一件有趣的事情是,如果我在PowerShell提示符下运行“net share SYSVOL”,并以提升的权限启动,它确实会返回预期的信息(与从正常提示符运行 – 你已经猜到了! – “访问被拒绝”)。
好的,虽然我至今还不知道是什么原因造成了问题,至less我已经设法修复它,而不重新安装系统。 不知道以下哪个步骤实际上是必要的,但它已经大致如下所示:
希望如果有人发现自己陷入同样的困境,这将会派上用场。