none
部分计算机组策略无法正常从域控下发至客户机 RRS feed

  • 问题

  • 域级别为server08,客户机为win7sp1

    域控中设置GPO计算机组策略,设置相应的应用范围和挂载点

    组策略有两条,一条为目标策略“关闭自动根证书更新”,另一条为对照策略

    “关闭internet文件关联服务”

    然后在测试机中登录域ad账户,开始,cmd,右键以管理员身份运行,执行更新命令

    开始,运行,执行rsop.msc命令查看结果集,发现对照策略下发成功,但目标策略未生效

    是否这个“关闭自动根证书更新”策略不能使用这种方式来下发呢?如果不能,那么该以何种方式来对域内计算机进行批量更改呢?

    2020年6月11日 8:50

答案

  • 你好,

    你好,从gpresult来看,策略已经应用成功。并且相应的注册表值已经更改完成,理论上应该已经是应用了。
    只是应用的结果没有在rsop.msc命令中显示出来。
    有可能是因为版本问题,在rsop命令中显示不出来,可以用另外两种办法进行确认:

    https://support.microsoft.com/en-us/help/909561/the-turn-off-automatic-root-certificates-update-policy-does-not-appear

    Fan


    针对Windows 2008/2008R2的扩展支持将于2020年结束,之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》,把握良机完成云迁移并实现业务现代化。


    2020年6月12日 6:13
  • 你好,

    组策略成功应用会反应在注册表值上,

    注册表值并不会显示在组策略里面。

    我的经验来看,应该是一种正常行为。

    Fan


    Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2020年6月15日 5:28

全部回复

  • 你好,

    建议运行gpresult /h report.html检测是否有错误发生,并且没有应用。

    如果显示应用,检测以下注册表值是否正确:

    Registry Hive: HKEY_LOCAL_MACHINE
    Registry Path: \Software\Policies\Microsoft\SystemCertificates\AuthRoot\
    Value Name: DisableRootAutoUpdate
    Type: REG_DWORD
    Value: 1

    Fan


    针对Windows 2008/2008R2的扩展支持将于2020年结束,之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》,把握良机完成云迁移并实现业务现代化。


    2020年6月12日 1:33
  • 报告中显示有相关的记录

    注册表键值正确

    2020年6月12日 5:35
  • 你好,

    你好,从gpresult来看,策略已经应用成功。并且相应的注册表值已经更改完成,理论上应该已经是应用了。
    只是应用的结果没有在rsop.msc命令中显示出来。
    有可能是因为版本问题,在rsop命令中显示不出来,可以用另外两种办法进行确认:

    https://support.microsoft.com/en-us/help/909561/the-turn-off-automatic-root-certificates-update-policy-does-not-appear

    Fan


    针对Windows 2008/2008R2的扩展支持将于2020年结束,之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》,把握良机完成云迁移并实现业务现代化。


    2020年6月12日 6:13
  • 非常好,我收藏了!
    2020年6月12日 8:24
  • 还有一个问题需要咨询一下

    如果要使用更改注册表的方式来实现“关闭根证书自动更新”这一功能,是不是只需要更改这一键值即可?

    Registry Hive: HKEY_LOCAL_MACHINE
    Registry Path: \Software\Policies\Microsoft\SystemCertificates\AuthRoot\
    Value Name: DisableRootAutoUpdate
    Type: REG_DWORD
    Value: 1

    2020年6月15日 1:57
  • 你好,

    关闭根证书自动更新 多对应的注册表值是DisableRootAutoUpdate,直接更改的话是可以的

    一般情况下,不建议直接更改注册表值。

    如果一定要坚持使用注册表,做任何更改之前请进行备份。

    Fan



    Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2020年6月15日 3:56
  • 我尝试了修改注册表,即,原始状态中选项的设置为“未配置”,然后手动编写reg注册文件,并以管理员权限进行导入

    导入成功后检查注册表实际设置,成功

    重启电脑,检查注册表实际设置,正确

    此时,检查策略设置,发现组策略中该选项仍然是“未配置”,请问这种状况正常吗?这种情况下,是注册表中的设置在生效还是策略管理中的配置在生效呢?

    2020年6月15日 4:28
  • 你好,

    组策略成功应用会反应在注册表值上,

    注册表值并不会显示在组策略里面。

    我的经验来看,应该是一种正常行为。

    Fan


    Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2020年6月15日 5:28