locked
Win7专业版不执行域控下发的用户组策略 RRS feed

  • 问题

  • 服务器操作系统:Server2019

    域控:Server2016

    我针对域用户设置了一条策略,安全筛选和委派均以对用户组添加相应权限,策略也链接了在用户组和用户所在的上级组织,重启登陆用户之后发现没执行,用命令gpresult /h c:\1.html导出了报告查看发现,用户一列访问用户组策略的时候提示无法访问

    而另一个单独针对计算机组的策略生效了

    拒绝的GPOs

    名称                                                                        链接位置               拒绝的原因

    本地组策略                                                                   Local     清空
    {96536716-FA34-4CC1-93FB-1C46DD96F57C}      XXXXX    无法访问
    ALL COMPUTERS                                              XXXXXXXXX        拒绝访问(安全筛选)




    • 已编辑 Almers 2021年4月7日 2:51
    2021年4月7日 2:49

答案

  • 谢谢,我已经找到了问题,我一般需要针对特定部门的特定电脑做一定的设置,比如上网权限和usb等等之类的权限设定,所以对安全筛选和委派有一定的需求

    后面我发现,是我对策略委派权限上面撤销掉了authenticated users用户组的权限,导致用户无法访问到共享出去的策略网络获取路径

    \\域名\SysVol\域名\Policies\{96536716-FA34-4CC1-93FB-1C46DD96F57C}\User\Scripts\Logon

    虽然我不懂这是为什么,因为我撤销掉了authenticated users用户组的权限的同时也给予了自建用户组访问读取的权限,但就是无法访问,也对该文件夹进行过一层一层的安全权限的查看,确认都是存在有相对应的读取与执行权限的

    我曾经直接在客户机访问相对应的路径是能正常一级一级的访问进去的,测试的时候原有的authenticated users用户组没有添加进去,当时只存在自建管理员组和需要执行该策略的自建用户组

    我把authenticated users添加回去之后就正常了

    • 已标记为答案 Almers 2021年4月7日 6:27
    2021年4月7日 6:26

全部回复

  • 尊敬的客户,您好!

    感谢您在我们的TechNet论坛发帖。

    您按照下面的步骤导出gpresult看看,是否可以查看到用户策略。

    1.使用应用了策略的用户账号登录一台加域的机器。
    2.在C盘或者D盘新建一个文件夹,例如文件夹的名字叫做C:\folder.
    3.打开CMD(不需要以管理员身份运行CMD).
    4.输入gpresult /h C:\folder\gpo.html并按回车键。
    5.在“用户详情”(或者User Details)下面查看您配置的用户策略,是否已经成功配置。
    例如:



    如果通过上面的方法看不到用户配置信息,可能是您配置不对,导致看不到策略。
    一般我们按照下面的方法配置用户策略:
    1.新建组织单元,或者您已经有现成的组织单元,把指定的用户放到这个组织单元中。
    2.新建组策略对象,或者您已经有现成的组策略对象。并链接这个组策略对象到上面的组织单元。
    3.编辑组策略对象。
    4.关机重启指定的机器或者如果用户已经登录中,注销用户,重新使用指定的账号登录机器。
    5.检查策略是否已经生效。


    提示:通常,我们不需要额外设置安全筛选和委派,除非您有特定的要求。


    如果按照上面的设置,用户策略还是不生效,请问您配置的用户策略具体是什么策略呢?

    如有任何疑问,欢迎您随时咨询我们。


    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2021年4月7日 5:45
  • 谢谢,我已经找到了问题,我一般需要针对特定部门的特定电脑做一定的设置,比如上网权限和usb等等之类的权限设定,所以对安全筛选和委派有一定的需求

    后面我发现,是我对策略委派权限上面撤销掉了authenticated users用户组的权限,导致用户无法访问到共享出去的策略网络获取路径

    \\域名\SysVol\域名\Policies\{96536716-FA34-4CC1-93FB-1C46DD96F57C}\User\Scripts\Logon

    虽然我不懂这是为什么,因为我撤销掉了authenticated users用户组的权限的同时也给予了自建用户组访问读取的权限,但就是无法访问,也对该文件夹进行过一层一层的安全权限的查看,确认都是存在有相对应的读取与执行权限的

    我曾经直接在客户机访问相对应的路径是能正常一级一级的访问进去的,测试的时候原有的authenticated users用户组没有添加进去,当时只存在自建管理员组和需要执行该策略的自建用户组

    我把authenticated users添加回去之后就正常了

    • 已标记为答案 Almers 2021年4月7日 6:27
    2021年4月7日 6:26