none
组策略脚本为何不能运行 RRS feed

  • 问题

  • 与环境中我设置的组策略,在客户端运行gpudate /force,一切正常没有问题,为何我在dc上设置登陆脚本gpupdate /force(保存为gp.bat)然后应用到所有域用户,这样为何不生效呢,谢谢。

    2010年5月14日 1:24

答案

  • 你好,这个基本上可以说是多此一举的行为,因为组策略的刷新分为下面三种:

    1. 重启或者注销更新组策略,computer configuration需要重启电脑刷新策略,而user configuration需要用户注销后重新登录来刷新组策略。

    2. background refresh。默认情况下,computer configuration和user configuration的策略都会被90分钟更新一次,偏移时间为0-30分钟的随机值,并且这些值都可以通过组策略的Group Policy refresh interval for users和Group Policy refresh interval for computers进行设定。默认情况下DC的更新频率要快,默认为15分钟更新一次,可以通过Group Policy refresh interval for domain controllers修改。当然您还可以设定Turn off background refresh of Group Policy在用户使用时组策略不会自动更新。

    3. 通过命令行gpupdate /force触发更新,使用gpupdate命令可以强制组策略更新一次,一次如果您在DC上修改了某个策略并希望在客户端上即使生效,只需要在客户端上运行gpupdate强制更新一次组策略即可,不要再在服务器上运行一次(如果该服务器不要即使更新该策略的话)。

     

    所以你毋须再把gpupdate单独再做成开机脚本应用。


    面帶微笑,春暖花開
    2010年5月14日 5:49
    版主

全部回复

  • 你好,这个基本上可以说是多此一举的行为,因为组策略的刷新分为下面三种:

    1. 重启或者注销更新组策略,computer configuration需要重启电脑刷新策略,而user configuration需要用户注销后重新登录来刷新组策略。

    2. background refresh。默认情况下,computer configuration和user configuration的策略都会被90分钟更新一次,偏移时间为0-30分钟的随机值,并且这些值都可以通过组策略的Group Policy refresh interval for users和Group Policy refresh interval for computers进行设定。默认情况下DC的更新频率要快,默认为15分钟更新一次,可以通过Group Policy refresh interval for domain controllers修改。当然您还可以设定Turn off background refresh of Group Policy在用户使用时组策略不会自动更新。

    3. 通过命令行gpupdate /force触发更新,使用gpupdate命令可以强制组策略更新一次,一次如果您在DC上修改了某个策略并希望在客户端上即使生效,只需要在客户端上运行gpupdate强制更新一次组策略即可,不要再在服务器上运行一次(如果该服务器不要即使更新该策略的话)。

     

    所以你毋须再把gpupdate单独再做成开机脚本应用。


    面帶微笑,春暖花開
    2010年5月14日 5:49
    版主
  • OK,感谢你的解答,我设置了ie代理服务器策略,因为它不立即生效,所以我必须要强制刷新策略,为什么开机脚本不运行呢?
    2010年5月14日 6:51
  • 您好!

     

    请问您是否已经分别重启了客户端和域控制器,是否在重启了之后,客户端依然无法正常运行组策略脚本?

     

    希望您帮忙提供更多信息,以便我们进一步回答您的问题。

     

    Tom Zhang 张一平
    Tom Zhang – MSFT
    2010年5月14日 9:29
    版主
  • 恩是的,域控制在一年多时间里重启过好几次,但目前50个客户端都还是一样的,账户只要没在这台客户端登陆过,那么该账户第一次登陆到此客户端就可以上网,因为IE代理设置策略没有应用(其他所有组策略设置都可以立即生效,桌面、菜单等等),但是只要注销后第二次再登陆到此客户端所有策略一并都生效,包括IE代理设置也生效。我的系统都是用同一张光盘安装,会不会跟这个有关呢,系统盘C盘格式FAT32、系统盘为GHOST版本。谢谢!

    2010年5月18日 1:10
  • 根据我的理解,你所描述的情况是正常的。默认情况下,在客户端启动及用户登录时,系统不会等待网络功能完全初始化,这样的好处是用户可以使用快取认证,从而可以更快地登录进系统。而组策略会在用户登录之后在后台套用执行。

    但这种机制也造成了一些组策略需要用户登录两次或者多次后才能被套用。这些组策略的特点是被要求必须在使用者登录之前就处理完毕。比照你的案例,很可能是此用户在这台客户端上第一次登录时关于IE代理设置的策略还在后台执行,而等到它执行完毕后(已处于用户登录状态而不生效)需要再用户重新登陆之时才能被正确加载应用。这个也就是我们常说的组策略“异步处理”。我这么说你明白吗?

    关于这点,在域组策略中是可以进行设置更改的。

    你可以导航到计算机设置--->系统管理模板--->系统--->登录--->在计算机启动及登录时要等待网络启动 这条策略,将它启用,则会要求客户端系统必须等待网络功能完整初始化,即组策略等同步套用以后用户才能登入。这样应该可以消除你的问题,但副作用可能是会让用户感觉到登录域更慢了一点。

     

     


    面帶微笑,春暖花開
    2010年5月18日 2:22
    版主
  • 关于组策略异步处理我也查阅的相关资料,也更改了我域的策略,但目前还没有解决问题,问题依旧。
    2010年5月19日 0:34
  • 如果方便,请你将你这条GPO是怎样设置的,还有这个脚本都发上来,我这边可以测试一下。
    面帶微笑,春暖花開
    2010年5月19日 1:10
    版主
  • 1.IE代理服务器:127.0.0.1

    2.用户登录脚本:gpupdate /force

    就这两个很简单的东西。QQ:114972759希望多多指教

    2010年5月19日 4:06