none
客户端域策略不生效 RRS feed

  • 问题

  • 大家好,

        我在域控中创建了一条客户端登录的组策略,编辑组策略---->用户设置---->windows 设置---->脚本(登录/注销)---->显示文件---->把logon文件放进去

        在客户端侧打gpresult /R也可以获取到了新建的组策略,但就是没有下载logon文件,在启动项中为空

    gpresult /R 结果:

        域类型:                 Windows 2000

        已应用的组策略对象
        -------------------
            Sangfor IAM

     Sangfor IAM就是新建的组策略

    AD 是windows server 2012

    客户端系统有win7和win10

    Best Regards,

    Tim


    • 已编辑 tim_2019 2019年6月4日 3:36
    2019年6月4日 3:35

答案

  • 尊敬的客户,您好!

    我估计命令也不一定可以删除,因为有人在使用。如果暂时找不到谁在使用,那就先不用删除。也许下班以后或者周末放假就没人在使用这个脚本了。

    我们是不是曾经使用相同的脚本部署过相同的组策略?

    如果是的话,我们不用删除之前的那个脚本,重命名现在的正确的脚本,把它放到这个路径,找到以前的那个GPO,直接把之前的那个脚本换成现在的脚本。

    如果找不到之前的那个GPO,那就新建一个GPO,加入新的脚本,然后更新组策略看看。



    此致,
    Daisy Zhou


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2019年6月5日 7:04
    版主

全部回复

  • 尊敬的客户,您好!

    感谢您在我们的TechNet论坛发帖。

    根据我们的描述我们配置了用户登录脚本策略,我们可以根据以下的步骤排查问题:

    1. 在域控制器上,把登录脚本编辑好放在以下对应的GPO的路径下:

    \\域名\SYSVOL\域名\策略\{组策略对应的GUID}\用户\脚本\登录

    例如:



    2. 我们新建一个OU, 把需要执行登录脚本的用户放在这个OU里。

    3. 右击已存在的GPO或者新的GPO,选择编辑(如图所示):

    组策略->用户设置->windows 设置->脚本(登录/注销)->增加->浏览,看这个路径是否是步骤1中的路径和文件。

    \\域名\SysVol\域名\策略\{组策略对应的GUID}\用户\脚本\登录

    例如: \\a.local\SysVol\a.local\Policies\{95E3AC73-3BDB-40A4-9769-17EFACE21BEC}\User\Scripts\Logon



    4. 链接GPO到指定的OU。

    5. 找一台加域的客户端,关机重启或者注销后,使用步骤2中的用户登录客户端检查策略是否生效。

    6. 如果还不生效,在客户端运行gpresult /h命令。
    (1)在C盘新建一个文件夹,假设名字叫script。
    (2)打开cmd(不用以管理员身份运行),输入gpresult /h C:\script\report.html, 并点击回车。
    (3)等命令成功后,打开上面的report.html,检查是否有这个组策略设置。


    希望上述回复对您有帮助,如果有什么进展,您可以随时联系我们。




    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2019年6月4日 5:42
    版主
  • Dear Daisy,

    非常感谢你的回复,

    我在gpresult /h C:\script\report.html 的结果中看到

    我在拒绝的 GPOs中找到了那条域策略,

    拒绝的原因写着清空,这是为什么呢?

    谢谢

    2019年6月4日 7:20
  • 尊敬的客户,您好!

    不客气。请问您是按照我上面的提供的步骤操作的吗?如果是的话,方便把拒绝的GPO信息截图给我们看一下吗?如果有重要信息,我们可以模糊一下。

    我还想说一下,就是我们放脚本的路径的GUID对应的GPO,编辑的GPO,选择脚本的路径中显示的GUID,一定要是同一个GPO或者同一个GPO对应的GUID。

    例如:我有一个GPO,名字叫java,它对应的GUID是{95E3AC73-3BDB-40A4-9769-17EFACE21BEC}。





    1. 我们放脚本的路径中对应的GUID对应的GPO是java,因为显示的是{95E3AC73-3BDB-40A4-9769-17EFACE21BEC}:



    2. 编辑的GPO是java这个GPO:



    3. 选择脚本的路径中显示的GUID是{95E3AC73-3BDB-40A4-9769-17EFACE21BEC}






    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2019年6月4日 9:47
    版主
  • Dear Daisy

    感谢你的回复,抱歉过了这么久才看到你的回复

    我尝试过上传图片,提示说在帐号在未验证之前不能发图片。。。

    我对了一下

    脚本GUID和策略的GUID是一致的

    策略被拒绝的结果如下 :

    拒绝的 GPOs
    名称 链接位置 拒绝的原因


    Sangfor IAM /Workstation 清空



    拒绝原因写着清空 

    盼复,谢谢

    xxxxxxxx
    2019年6月5日 1:08
  • 尊敬的客户,您好!

    我们能否在客户端,使用域用户账号登录,访问到我们的共享的脚本呢?
    打开运行,输入那个共享路径,点击确定。查看能否访问那个脚本,且检查脚本的内容是完整的。




    清空的意思可能是这个GPO是空的,我们先把文件放在那个共享路径下,GPO对应的路径下,因为是用户登录脚本,所以需要放在\\域名\SysVol\域名\策略\{组策略对应的GUID}\用户\脚本\登录 文件夹下,然后

    然后再去重新配置一下组策略设置。



    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2019年6月5日 3:45
    版主
  • Dear Daisy,

    我在客户端输入那个共享路径时,可以看到logon.exe的文件,但与我组策略中的logon.exe文件是不一样的

    客户端的logon.exe大小是204K,修改日期为2011年,但在组策略中共享路径下的logon.exe是2015年,404K的

    我想复制替换客户端共享路径的logon文件时提示没有权限

    同时我想复制替换域控制器中组策略的logon文件时提示有人在使用,无法替换

    Best regards,

    Tim

    2019年6月5日 4:43
  • 尊敬的客户,下午好!

    请尝试以下的步骤:

    1. 我们需要使用域管理员账号登录到域控制器,然后打开以下的路径(对应的放登录脚本的路径):

    C:\Windows\SYSVOL\sysvol\a.local\Policies\{95E3AC73-3BDB-40A4-9769-17EFACE21BEC}\User\Scripts\Logon
    或者
    \\a.local\SYSVOL\a.local\Policies\{95E3AC73-3BDB-40A4-9769-17EFACE21BEC}\User\Scripts\Logon

    2. 把里面的对应的这个脚本文件删除,把正确的脚本重命名后再放进去,然后重新编辑一下GPO.

    3. 在域控制器上打开cmd并运行gpupdate /force,按回车。

    4. 使用域用户账号登录客户端,打开cmd并运行
    gpupdate /force,按回车,等一会儿看是否应用了这个脚本策略。也可以使用上面的gpresult /h命令查看结果。



    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2019年6月5日 6:09
    版主
  • Dear Daisy,

    我们使用域管理员账号登录到域控制器,然后打开了脚本文件的路径后,删除脚本文件后刷新就又出现了,可能是有人一直在使用

    我们在cmd中使用 net sess时看到当前有会话存在,如果使用net sess /del会对用户有什么影响?

    可能要先执行net sess /del 才能上传文件。。

    Best Regards,

    Tim

    2019年6月5日 6:50
  • 尊敬的客户,您好!

    我估计命令也不一定可以删除,因为有人在使用。如果暂时找不到谁在使用,那就先不用删除。也许下班以后或者周末放假就没人在使用这个脚本了。

    我们是不是曾经使用相同的脚本部署过相同的组策略?

    如果是的话,我们不用删除之前的那个脚本,重命名现在的正确的脚本,把它放到这个路径,找到以前的那个GPO,直接把之前的那个脚本换成现在的脚本。

    如果找不到之前的那个GPO,那就新建一个GPO,加入新的脚本,然后更新组策略看看。



    此致,
    Daisy Zhou


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2019年6月5日 7:04
    版主
  • Dear Daisy,

    非常感谢你的回复,问题解决了,真想给你1万个赞,谢谢了~~

    Best Regards,

    Tim

    2019年6月5日 8:52
  • 尊敬的客户,您好,
     
    很高兴提供的信息对您有用并且我们的问题解决了。如果我的回复对您有帮助,我们可以把它点击“标记为答案"。非常感谢!
     
    一如既往,如果后期遇到什么其他问题,欢迎您随时上帖。我们很高兴协助您!
     
    祝您工作生活顺利!

     
    此致
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2019年6月5日 9:34
    版主