none
组策略禁用又恢复,但客户端未取消的原因 RRS feed

  • Question

  • 【背景描述】:之前因为安全策略对Default Domain Policy设置了

    交互式登录:不显示最后的用户名   已启用

    交互式登录:无须按ctrl+alt+del   已禁用

    因对终端的习惯影响太大,故对“Default Domain Policy”策略恢复默认

    交互登陆:不显示最后的用户名  没有定义

    交互登陆:无需按ctrl+alt+del  没定义

    但是发现极个别的终端,策略没取消,

    rsop.msc  =》是服务器端的策略(如下图所示)
    gpedit.msc=》 看下你的本地策略(如下图所示)

    这是何故?如何处理?


    • Edited by super.ma Friday, July 23, 2021 1:03 AM 增加描述
    Friday, July 23, 2021 1:01 AM

Answers

  • 尊敬的客户,您好!

    感谢您的回复。

    很抱歉,现在才回复您。因为我昨天下午和今天上午一直在对这两个设置进行测试,以下是我的测试结果。

    1.根据您的描述,您在这台"有问题的"机器上,是可以成功运行gpupdate /force的,对吧。
    例如,这样的结果就是可以成功运行命令的。


    2.您的SYSVOL复制也是没有问题的,对吧。


    如果以上两个都是正常的情况下,经过我的测试,您发现极个别的终端,策略没取消,原因如下。

    测试1

    1.一开始查看我的域客户端机器上的两条本地策略设置如下:

    交互式登录:不显示最后的用户名   禁用
    交互式登录:无须按ctrl+alt+del   未定义

    2.我在域控上设置了域策略如下,并应用给上面的机器。

    交互式登录:不显示最后的用户名   启用
    交互式登录:无须按ctrl+alt+del   禁用



    3.在这台机器上更新策略以后,我看到rsop如下:


    4.在机器上更新策略以后,我看到gpedit.msc如下:



    5.当我在域控上把这两个设置更改为“未定义”以后。

    交互式登录:不显示最后的用户名   未定义
    交互式登录:无须按ctrl+alt+del   未定义

    6.在机器上更新策略以后,我看到rsop如下:

    7.在机器上更新策略以后,我看到gpedit.msc如下:



    结论如下:


    对于安全策略设置:


    1.如果本地策略设置了一个值(这个是本地数据库里的值),再被推送应用域的策略的设置的话,就会自动应用域的策略设置。
    如果再把域的策略设置撤销的话,那么还会保留本地原来的策略设置。

    2.如果本地没有配置(未定义),就是未定义的状态,再被推送应用域的策略的设置的话,就会自动应用域的策略设置。
    如果再把域的策略设置撤销的话,那么还会保留域的策略设置。





    我还做了第二个测试,还是验证了上面的理论。


    测试2

    1.一开始设置我的域客户端机器上的两条本地策略设置如下:

    交互式登录:不显示最后的用户名   启用
    交互式登录:无须按ctrl+alt+del   启用

    2.我在域控上设置了域策略如下,并应用给上面的机器。

    交互式登录:不显示最后的用户名   启用
    交互式登录:无须按ctrl+alt+del   禁用

    3.在这台机器上更新策略以后,我看到rsop如下:
    交互式登录:不显示最后的用户名   启用
    交互式登录:无须按ctrl+alt+del   禁用

    4.在机器上更新策略以后,我看到gpedit.msc如下:
    交互式登录:不显示最后的用户名   启用
    交互式登录:无须按ctrl+alt+del   禁用


    5.当我在域控上把这两个设置更改为“未定义”以后。

    交互式登录:不显示最后的用户名   未定义
    交互式登录:无须按ctrl+alt+del   未定义

    6.在机器上更新策略以后,我看到rsop如下:


    7.在机器上更新策略以后,我看到gpedit.msc如下:



    本地数据库里的设置都是启用,那么应用域的策略以后,就分别应用了域的策略。

    当把域的策略设置撤销以后(也就是改成“未定义”以后),还是保留了本地数据库里的设置“启用”的状态。

    这是文中的原话:
    All settings applied through local policy or through a Group Policy Object are stored in a local database on your computer. Whenever a security setting is modified, the computer saves the security setting value to the local database, which retains a history of all the settings that have been applied to the computer. If a policy first defines a security setting and then no longer defines that setting, then the setting takes on the previous value in the database. If a previous value does not exist in the database then the setting does not revert to anything and remains defined as is. This behavior is sometimes referred to as "tattooing".


    参考文档:
    如需更详细的信息,请参考如下链接中的“安全设置策略的持久性”这部分内容。
    Security policy settings
    https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/security-policy-settings#persistence-of-security-settings-policy


    您原始的问题:但是发现极个别的终端,策略没取消。
    回答:根据上面的两个测试和微软官网的文章说明,应该是个别机器上本来在机器本地策略中设置了策略的值,然后域的策略设置以后,应用了域的测试,但是当域的策略撤销以后,就保留了之前本地策略中(本地数据库)的值。


    希望上述回复对您有帮助。

    如有任何疑问,欢迎您随时咨询我们。


    提示:如果需要的话,您也可以尝试在测试环境中做一个这样的测试看看。


    此致,
    Daisy Zhou


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    Tuesday, July 27, 2021 6:38 AM
    Moderator
  • 尊敬的客户,您好!

    感谢您的回复。

    =》取消策略,相当于要设置相反的策略才行?
    回答:对于安全策略而言,这个可能需要根据您的需求来直接取消策略还是设置成相反的策略。

    1.如果本地本来就有一个默认的设置,并且这个设置跟域上设置的一样的,那么取消策略就只要取消策略就好了,不需要设置相反的设置。

    2.如果本地本来就有一个默认的设置,并且这个设置跟域上设置的不一样,那么取消策略就会使用原来本地的默认设置(如果您取消策略就是想要设置成跟这个本地的默认设置一样的,那就直接取消策略,如果您取消策略想要设置成跟这个本地的默认设置不一样,那就在域上设置成相反的策略或者其他您想要的策略设置,因为有些设置不是直接启用或者禁用,可能是多个选项的设置)。

    3.如果本地本来没有默认的设置,取消策略就会使用域上的策略设置,如果取消策略以后保留的设置就是您想要的策略设置,那就直接取消就行了。

    4.如果本地本来没有默认的设置,取消策略就会使用域上的策略设置,如果取消策略以后保留的设置不是您想要的策略设置,那就把域策略设置成相反的策略或者其他您想要的策略设置,因为有些设置不是直接启用或者禁用,可能是多个选项的设置。


    希望上述的回复,对您有帮助。

    如有任何疑问,欢迎您随时咨询我们。




    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    • Marked as answer by super.ma Monday, August 2, 2021 8:37 AM
    Monday, August 2, 2021 6:55 AM
    Moderator

All replies

  • 尊敬的客户,您好!

    感谢您在我们的TechNet论坛发帖。

    根据您的描述,域控上的“Default Domain Policy”改为“没有定义”以后,是不是大部分的机器上的本地策略在应用策略以后也变成了“没有定义“,只是发现极个别的终端,策略没取消(还是显示如图二的设置),是这样吗?



    如果是的话,可能有两种原因,您可以尝试检查一下:

    1.第一个原因,可能就是极个别的终端没有正常应用或者由于什么原因不能正常更新这个策略的更改,您可以在这台机器上执行关机重启或者运行gpupdate /force看组策略是否可以成功更新。

    2.第二个原因,可能就是域控的SYSVOL复制不正常,也就是不是所有的域控上的这两个设置都变成了“没有定义”的状态,这极个别的终端从有问题的(设置没有变成“没有定义”的状态的域控)域控上更新了策略。

    如果您的域控只有几台的话,您可以每台域控都检查一下看看,建议使用gpresult /h查看策略结果。

    使用域管理员登录域控。
    打开CMD(以管理员身份云心)。
    输入gpresult /h C:\gpo.html并按回车键。
    打开gpo.html检查”计算机详情“下的这两条安全策略。


    希望上述回复对您有帮助。

    如有任何疑问,欢迎您随时咨询我们。



    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    • Marked as answer by super.ma Saturday, July 24, 2021 3:05 AM
    • Unmarked as answer by super.ma Saturday, July 24, 2021 3:05 AM
    Friday, July 23, 2021 6:33 AM
    Moderator
  • 尊敬的客户,您好!

    感谢您在我们的TechNet论坛发帖。

    根据您的描述,域控上的“Default Domain Policy”改为“没有定义”以后,是不是大部分的机器上的本地策略在应用策略以后也变成了“没有定义“,只是发现极个别的终端,策略没取消(还是显示如图二的设置),是这样吗?



    如果是的话,可能有两种原因,您可以尝试检查一下:

    1.第一个原因,可能就是极个别的终端没有正常应用或者由于什么原因不能正常更新这个策略的更改,您可以在这台机器上执行关机重启或者运行gpupdate /force看组策略是否可以成功更新。

    2.第二个原因,可能就是域控的SYSVOL复制不正常,也就是不是所有的域控上的这两个设置都变成了“没有定义”的状态,这极个别的终端从有问题的(设置没有变成“没有定义”的状态的域控)域控上更新了策略。

    如果您的域控只有几台的话,您可以每台域控都检查一下看看,建议使用gpresult /h查看策略结果。

    使用域管理员登录域控。
    打开CMD(以管理员身份云心)。
    输入gpresult /h C:\gpo.html并按回车键。
    打开gpo.html检查”计算机详情“下的这两条安全策略。


    希望上述回复对您有帮助。

    如有任何疑问,欢迎您随时咨询我们。



    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    您可以在这台机器上执行关机重启或者运行gpupdate /force看组策略是否可以成功更新

    =》运行后,本地策略是执行成功的,但是策略还是没恢复之前的“没有定义”状态

    输入gpresult /h C:\gpo.html并按回车键。

    =》和运行rsop.msc 有什么区别,显示是一样的啊

    • Edited by super.ma Saturday, July 24, 2021 3:07 AM 增加描述
    Saturday, July 24, 2021 3:05 AM
  • 尊敬的客户,您好!

    感谢您的回复。

    很抱歉,现在才回复您。因为我昨天下午和今天上午一直在对这两个设置进行测试,以下是我的测试结果。

    1.根据您的描述,您在这台"有问题的"机器上,是可以成功运行gpupdate /force的,对吧。
    例如,这样的结果就是可以成功运行命令的。


    2.您的SYSVOL复制也是没有问题的,对吧。


    如果以上两个都是正常的情况下,经过我的测试,您发现极个别的终端,策略没取消,原因如下。

    测试1

    1.一开始查看我的域客户端机器上的两条本地策略设置如下:

    交互式登录:不显示最后的用户名   禁用
    交互式登录:无须按ctrl+alt+del   未定义

    2.我在域控上设置了域策略如下,并应用给上面的机器。

    交互式登录:不显示最后的用户名   启用
    交互式登录:无须按ctrl+alt+del   禁用



    3.在这台机器上更新策略以后,我看到rsop如下:


    4.在机器上更新策略以后,我看到gpedit.msc如下:



    5.当我在域控上把这两个设置更改为“未定义”以后。

    交互式登录:不显示最后的用户名   未定义
    交互式登录:无须按ctrl+alt+del   未定义

    6.在机器上更新策略以后,我看到rsop如下:

    7.在机器上更新策略以后,我看到gpedit.msc如下:



    结论如下:


    对于安全策略设置:


    1.如果本地策略设置了一个值(这个是本地数据库里的值),再被推送应用域的策略的设置的话,就会自动应用域的策略设置。
    如果再把域的策略设置撤销的话,那么还会保留本地原来的策略设置。

    2.如果本地没有配置(未定义),就是未定义的状态,再被推送应用域的策略的设置的话,就会自动应用域的策略设置。
    如果再把域的策略设置撤销的话,那么还会保留域的策略设置。





    我还做了第二个测试,还是验证了上面的理论。


    测试2

    1.一开始设置我的域客户端机器上的两条本地策略设置如下:

    交互式登录:不显示最后的用户名   启用
    交互式登录:无须按ctrl+alt+del   启用

    2.我在域控上设置了域策略如下,并应用给上面的机器。

    交互式登录:不显示最后的用户名   启用
    交互式登录:无须按ctrl+alt+del   禁用

    3.在这台机器上更新策略以后,我看到rsop如下:
    交互式登录:不显示最后的用户名   启用
    交互式登录:无须按ctrl+alt+del   禁用

    4.在机器上更新策略以后,我看到gpedit.msc如下:
    交互式登录:不显示最后的用户名   启用
    交互式登录:无须按ctrl+alt+del   禁用


    5.当我在域控上把这两个设置更改为“未定义”以后。

    交互式登录:不显示最后的用户名   未定义
    交互式登录:无须按ctrl+alt+del   未定义

    6.在机器上更新策略以后,我看到rsop如下:


    7.在机器上更新策略以后,我看到gpedit.msc如下:



    本地数据库里的设置都是启用,那么应用域的策略以后,就分别应用了域的策略。

    当把域的策略设置撤销以后(也就是改成“未定义”以后),还是保留了本地数据库里的设置“启用”的状态。

    这是文中的原话:
    All settings applied through local policy or through a Group Policy Object are stored in a local database on your computer. Whenever a security setting is modified, the computer saves the security setting value to the local database, which retains a history of all the settings that have been applied to the computer. If a policy first defines a security setting and then no longer defines that setting, then the setting takes on the previous value in the database. If a previous value does not exist in the database then the setting does not revert to anything and remains defined as is. This behavior is sometimes referred to as "tattooing".


    参考文档:
    如需更详细的信息,请参考如下链接中的“安全设置策略的持久性”这部分内容。
    Security policy settings
    https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/security-policy-settings#persistence-of-security-settings-policy


    您原始的问题:但是发现极个别的终端,策略没取消。
    回答:根据上面的两个测试和微软官网的文章说明,应该是个别机器上本来在机器本地策略中设置了策略的值,然后域的策略设置以后,应用了域的测试,但是当域的策略撤销以后,就保留了之前本地策略中(本地数据库)的值。


    希望上述回复对您有帮助。

    如有任何疑问,欢迎您随时咨询我们。


    提示:如果需要的话,您也可以尝试在测试环境中做一个这样的测试看看。


    此致,
    Daisy Zhou


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    Tuesday, July 27, 2021 6:38 AM
    Moderator
  • 尊敬的客户,您好!

    请问这个帖子里的问题是否有任何进展?

    如有任何问题,欢迎您随时咨询我们。


    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    Thursday, July 29, 2021 6:10 AM
    Moderator
  • 尊敬的客户,您好!

    感谢您的回复。

    很抱歉,现在才回复您。因为我昨天下午和今天上午一直在对这两个设置进行测试,以下是我的测试结果。

    1.根据您的描述,您在这台"有问题的"机器上,是可以成功运行gpupdate /force的,对吧。
    例如,这样的结果就是可以成功运行命令的。


    2.您的SYSVOL复制也是没有问题的,对吧。


    如果以上两个都是正常的情况下,经过我的测试,您发现极个别的终端,策略没取消,原因如下。

    测试1

    1.一开始查看我的域客户端机器上的两条本地策略设置如下:

    交互式登录:不显示最后的用户名   禁用
    交互式登录:无须按ctrl+alt+del   未定义

    2.我在域控上设置了域策略如下,并应用给上面的机器。

    交互式登录:不显示最后的用户名   启用
    交互式登录:无须按ctrl+alt+del   禁用



    3.在这台机器上更新策略以后,我看到rsop如下:


    4.在机器上更新策略以后,我看到gpedit.msc如下:



    5.当我在域控上把这两个设置更改为“未定义”以后。

    交互式登录:不显示最后的用户名   未定义
    交互式登录:无须按ctrl+alt+del   未定义

    6.在机器上更新策略以后,我看到rsop如下:

    7.在机器上更新策略以后,我看到gpedit.msc如下:



    结论如下:


    对于安全策略设置:


    1.如果本地策略设置了一个值(这个是本地数据库里的值),再被推送应用域的策略的设置的话,就会自动应用域的策略设置。
    如果再把域的策略设置撤销的话,那么还会保留本地原来的策略设置。

    2.如果本地没有配置(未定义),就是未定义的状态,再被推送应用域的策略的设置的话,就会自动应用域的策略设置。
    如果再把域的策略设置撤销的话,那么还会保留域的策略设置。





    我还做了第二个测试,还是验证了上面的理论。


    测试2

    1.一开始设置我的域客户端机器上的两条本地策略设置如下:

    交互式登录:不显示最后的用户名   启用
    交互式登录:无须按ctrl+alt+del   启用

    2.我在域控上设置了域策略如下,并应用给上面的机器。

    交互式登录:不显示最后的用户名   启用
    交互式登录:无须按ctrl+alt+del   禁用

    3.在这台机器上更新策略以后,我看到rsop如下:
    交互式登录:不显示最后的用户名   启用
    交互式登录:无须按ctrl+alt+del   禁用

    4.在机器上更新策略以后,我看到gpedit.msc如下:
    交互式登录:不显示最后的用户名   启用
    交互式登录:无须按ctrl+alt+del   禁用


    5.当我在域控上把这两个设置更改为“未定义”以后。

    交互式登录:不显示最后的用户名   未定义
    交互式登录:无须按ctrl+alt+del   未定义

    6.在机器上更新策略以后,我看到rsop如下:


    7.在机器上更新策略以后,我看到gpedit.msc如下:



    本地数据库里的设置都是启用,那么应用域的策略以后,就分别应用了域的策略。

    当把域的策略设置撤销以后(也就是改成“未定义”以后),还是保留了本地数据库里的设置“启用”的状态。

    这是文中的原话:
    All settings applied through local policy or through a Group Policy Object are stored in a local database on your computer. Whenever a security setting is modified, the computer saves the security setting value to the local database, which retains a history of all the settings that have been applied to the computer. If a policy first defines a security setting and then no longer defines that setting, then the setting takes on the previous value in the database. If a previous value does not exist in the database then the setting does not revert to anything and remains defined as is. This behavior is sometimes referred to as "tattooing".


    参考文档:
    如需更详细的信息,请参考如下链接中的“安全设置策略的持久性”这部分内容。
    Security policy settings
    https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/security-policy-settings#persistence-of-security-settings-policy


    您原始的问题:但是发现极个别的终端,策略没取消。
    回答:根据上面的两个测试和微软官网的文章说明,应该是个别机器上本来在机器本地策略中设置了策略的值,然后域的策略设置以后,应用了域的测试,但是当域的策略撤销以后,就保留了之前本地策略中(本地数据库)的值。


    希望上述回复对您有帮助。

    如有任何疑问,欢迎您随时咨询我们。


    提示:如果需要的话,您也可以尝试在测试环境中做一个这样的测试看看。


    此致,
    Daisy Zhou


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    结论如下:


    对于安全策略设置:


    1.如果本地策略设置了一个值(这个是本地数据库里的值),再被推送应用域的策略的设置的话,就会自动应用域的策略设置。
    如果再把域的策略设置撤销的话,那么还会保留本地原来的策略设置。

    2.如果本地没有配置(未定义),就是未定义的状态,再被推送应用域的策略的设置的话,就会自动应用域的策略设置。
    如果再把域的策略设置撤销的话,那么还会保留域的策略设置。

    =》取消策略,相当于要设置相反的策略才行?

    Saturday, July 31, 2021 1:28 PM
  • 尊敬的客户,您好!

    感谢您的回复。

    =》取消策略,相当于要设置相反的策略才行?
    回答:对于安全策略而言,这个可能需要根据您的需求来直接取消策略还是设置成相反的策略。

    1.如果本地本来就有一个默认的设置,并且这个设置跟域上设置的一样的,那么取消策略就只要取消策略就好了,不需要设置相反的设置。

    2.如果本地本来就有一个默认的设置,并且这个设置跟域上设置的不一样,那么取消策略就会使用原来本地的默认设置(如果您取消策略就是想要设置成跟这个本地的默认设置一样的,那就直接取消策略,如果您取消策略想要设置成跟这个本地的默认设置不一样,那就在域上设置成相反的策略或者其他您想要的策略设置,因为有些设置不是直接启用或者禁用,可能是多个选项的设置)。

    3.如果本地本来没有默认的设置,取消策略就会使用域上的策略设置,如果取消策略以后保留的设置就是您想要的策略设置,那就直接取消就行了。

    4.如果本地本来没有默认的设置,取消策略就会使用域上的策略设置,如果取消策略以后保留的设置不是您想要的策略设置,那就把域策略设置成相反的策略或者其他您想要的策略设置,因为有些设置不是直接启用或者禁用,可能是多个选项的设置。


    希望上述的回复,对您有帮助。

    如有任何疑问,欢迎您随时咨询我们。




    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    • Marked as answer by super.ma Monday, August 2, 2021 8:37 AM
    Monday, August 2, 2021 6:55 AM
    Moderator