none
组策略应用不上

    问题

  • AD上刷新策略成功,PC上刷新策略成功,但是PC上没有应用到策略,通过GPRESULT导出策略结果,发现被清空和阻止的SOM,请问是怎么回事?
    2016年9月22日 8:35

答案

全部回复

  • 你好!

    请问您有没有配置安全过滤和WMI过滤?

    如果有,请确认当前的用户或计算机在应用这些组策略的范围内。

    第二,请确保当前的用户或计算机有读权限和应用组策略的权限。

    第三,请问有没有执行关闭继承的设置? 如果有,请描述一下您是如何操作的。

    第四,请问有没有迁移计算机的账号?

    这边有两个帖子,一个是配置了关闭继承的操作引起的这个问题,一个是迁移计算机账号引起的问题,请您参考。

    https://social.technet.microsoft.com/Forums/en-US/c256ca05-0794-43a1-b56f-167187acfa74/gpo-settings-from-old-domain-still-show-up?forum=winserverGP

    https://social.technet.microsoft.com/Forums/en-US/6a4d7a56-f0c6-48eb-b9c1-327f18a1714f/group-policy-not-applying-in-client-machines

    谢谢。


    Please remember to mark the replies as answers if they help and unmark them if they provide no help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    • 已标记为答案 GP3_deng 2016年10月1日 14:55
    2016年9月23日 10:00
    版主
  • 你好!

    首先对你的提议我先进行回复:

    1.我并没有配置安全过滤和WMI过滤,用户也在策略应用范围内

    2.用户及计算机拥有读取权限

    3.没有关闭继承权限

    4.没有迁移计算机

    2016年9月26日 0:40
  • 你好!

    请问这些策略之前是不是能够成功应用?

    如果是的话,请描述一下在这之前,您做过什么操作。

    谢谢。


    Please remember to mark the replies as answers if they help and unmark them if they provide no help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2016年9月27日 3:19
    版主
  • 之前的是可以应用的。我之前做过一下操作:

    1.由于管理模板中央存储不全,我曾经把 C:\Windows\SYSVOL\domain\Policies\PolicyDefinitions 目录下的文件清空(之前只有Office2013的管理模板),然后我将域控上C:\Windows\ PolicyDefinitions 目录上内容拷贝到 C:\Windows\SYSVOL\domain\Policies\PolicyDefinitions目录下 -----另外问一下:如果管理模板由本机变成了中央存储,那C:\Windows\PolicyDefinitions 这个文件夹是否就失去作用

    2.为子OU创建GPO: V1防火墙和密码复杂度  子OU下用户没有生效

    3.在另外一个问题中,也得到了你的回复 “刷新策略时报错:Windows 无法应用 IP Security 设置 ”   https://social.microsoft.com/Forums/zh-CN/f5ad59e8-87a1-4f98-be89-dfe03c79e25b/windows-ip-security-?forum=windowsserversystemzhchs

    基本上就做过这些操作了

    2016年9月28日 0:31
  • 你好!

    1.由于管理模板中央存储不全,我曾经把 C:\Windows\SYSVOL\domain\Policies\PolicyDefinitions 目录下的文件清空(之前只有Office2013的管理模板),然后我将域控上C:\Windows\ PolicyDefinitions 目录上内容拷贝到 C:\Windows\SYSVOL\domain\Policies\PolicyDefinitions目录下 -----另外问一下:如果管理模板由本机变成了中央存储,那C:\Windows\PolicyDefinitions 这个文件夹是否就失去作用

    >>>是的,创建了中央存储,本地的policydefinitions就失效了。

    另外,您是如何创建中央存储的?这里有篇文章关于如何创建中央存储的供您参考。

    如何创建和管理中央存储在 Windows 中的组策略管理模

    https://support.microsoft.com/zh-cn/kb/3087759

    2.为子OU创建GPO V1防火墙和密码复杂度  OU下用户没有生效

    >>>对于账号策略,一个域只能有一个有效的账号策略(密码策略包含在账号策略下),默认是默认域策略。多远密码策略除外。所以密码复杂度没有生效时正常的。

    谢谢。


    Please remember to mark the replies as answers if they help and unmark them if they provide no help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2016年9月29日 8:09
    版主
  • 默认域策略中账号策略只有一下设置:

    策略 设置
    服务票证最长寿命 600 分钟
    计算机时钟同步的最大容差 5 分钟
    强制用户登录限制 已启用
    用户票证续订最长寿命 7 天
    用户票证最长寿命 10 小时

    另外我在域上还链接一个不适用强密码的策略,但如果我在子OU上创建一个强密码策略(强制),那么对于子OU而言,生效的只有默认域策略。

    我这样的理解是不是错误?

    谢谢。

    2016年9月29日 9:06
  • 你好!

    默认域策略中账号策略只有一下设置:

    策略

    设置

    服务票证最长寿命

    600 分钟

    计算机时钟同步的最大容差

    5 分钟

    强制用户登录限制

    已启用

    用户票证续订最长寿命

    7

    用户票证最长寿命

    10 小时

    >>>对于账号中的密码策略,即使你没有对它进行设置,默认域策略有一个默认值。

    比如:密码复杂度这个设置在域控上是默认开启的,域成员机器默认是继承域控上的设置。

    密码长度在域控上默认是7,同样,域成员机器默认继承域控上的设置。

    另外我在域上还链接一个不适用强密码的策略,但如果我在子OU上创建一个强密码策略(强制),那么对于子OU而言,生效的只有默认域策略。

    >>>就像之前所说的,域中只有一个账号策略有效,就是默认域策略(default domain policy)。就算没有在默认与策略上对账号策略进行设置,在其他GPO的账号策略是不生效的。

    谢谢。


    Please remember to mark the replies as answers if they help and unmark them if they provide no help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2016年9月30日 1:45
    版主
  • 谢谢你的回复,看来需要看看多元密码策略的资料了
    2016年9月30日 9:28
  • 你好!

    如果以上的回复解答了您的问题,请把它标记为答案。

    谢谢。


    Please remember to mark the replies as answers if they help and unmark them if they provide no help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2016年9月30日 10:48
    版主