我已经有了一个在Windows Server 2008 R2上运行的域名 – 确实有点老,但是它运行得很好。
最近我注意到,公司的机器似乎从互联网上下载更新,而不是我们内部的WSUS服务器。
我已经开始调查了,我注意到WSUS策略没有被应用(使用rsop.msc进行testing)。
政策是正确的 – 毕竟,他们以前工作。
我想知道这是否是因为我们有越来越多的系统运行Windows 10,但感觉不对,因为我确定我几周前从本地WSUS下载了Windows 10的下载更新 – 你可以当Windows显示某些设置由系统pipe理员pipe理时,请告诉他们这种情况。
gpupdate /force运行时也不会在客户机上抛出任何错误。
此外,与WSUS相关的一个特定的GPO仍在工作 – 它设置了客户端定位。
什么可能是错的? 我怎样才能尝试和debugging这些WSUS相关的GPO?
对于组策略,您首先要查看所应用的(或不是)以及为什么应该是GPRESULT命令。 这与rsop.msc很相似,但我发现在一些设置中还有一些额外的好处。
首先看看哪些组策略被应用,哪些被过滤掉(如果从这个行为exception的计算机上做到这一点,你可以离开“/ S <目标PC>”)
gpresult /S <target machine name> /R
这会给你一个GPO的运行,我发现我最常见的问题是有人试图修改我希望申请的GPO的WMI过滤,他们设法排除个人电脑(在这种情况下,你会看到一个“DENIED(WMIfilter)”消息)
接下来你可以做的是实际检查所有应用GPO的设置,以确保它们是你所期待的。 (/ F忽略了任何现有的gpresult.htm文件,或者您可以更改文件名称。)
gpresult /S <target machine name> /H gpresult.htm /F
然后在Internet Explorer中打开gpresult.htm(当然,您可以使用其他浏览器,但是它有一个ActiveX组件,可方便地展开/折叠在IE中最好的部分)。 漫步结果,看看什么值是不适用于个人电脑。
这是一个容易开始的地方,在这两个命令之间,你通常可以识别你的问题。