none
win10 应用win2008 AD域用户策略无法生效

    问题

  • 环境:

    服务端:Win2008 R2 AD Server

    客户端:Win10

    客户端:Win7

    错误说明:

    在Win2008域策略中,对OU创建GPO在安全筛选中添加此OU中的用户组,使此用户组应用此OU中的GPO

    效果:

    使用同一个用户分别登录WIN10与WIN7客户端。

    在WIN7客户端中,创建的GPO能生效;

    在WIN10客户端中,创建的GPO无法生效且使用gpresult /z 后显示策略无法获取。

    是否win10系统或win2008 R2 系统需要更新补丁或需要相关操作?

    2016年10月12日 11:12

答案

全部回复

  • 您好!

    请您检查是否应用了以下更新。

    MS16-072: Security update for Group Policy: June 14, 2016

    https://support.microsoft.com/en-us/kb/3163622

    如果是的话,请根据文中所提到的解决方案:

    1. 添加具有读取权限的Authenticated Users组到组策略对象中。

    2. 如果您使用了Security filtering, 添加具有读取权限的Domain Computers组。

    Best Regards,

    Alvin Wang


    Please remember to mark the replies as answers if they help and unmark them if they provide no help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2016年10月13日 8:53
    版主
  • 非常感谢您的帮助。

    是的,我已经尝试过将“Authenticated Users“组添加进GPO中,策略可以在win10中生效。但是效果是在此OU中的所有用户都会生效,我需要的效果是对此OU中的部分用户或用户组生效。另根据解释“Authenticated Users“组意味着所有用户与计算机,我理解为其实添加这个组后,GPO还是只是对计算机生效了GPO而不是对用户生效。

    补充:

    在WIN10,在GPO中添加用户登录的相关计算机名,GPO可以生效。但添加用户名,GPO失效。


    2016年10月13日 9:05
  • 您好!

    对于应用了Security Filtering的GPO,我们要做的不是添加Authenticated Users组而是添加具有读取权限的Domain Computers组。

    Best Regards,

    Alvin Wang


    Please remember to mark the replies as answers if they help and unmark them if they provide no help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2016年10月14日 2:57
    版主
  • 再次感谢您的帮助.

    请问关于Domain Computers组添加在哪里?是添加在安全筛选里吗?

    2016年10月14日 8:54
  • 谢谢您的帮助我已经解决了此问题。谢谢
    2016年10月14日 9:11
  • 您好!

    很高兴看到您的问题得到解决。

    如果今后还有其他问题,欢迎随时到我们论坛进行咨询。

    Best Regards,

    Alvin Wang


    Please remember to mark the replies as answers if they help and unmark them if they provide no help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2016年10月14日 9:18
    版主
  • 你好,这个情况我也遇到了。 按理解,基于用户的策略,"链接"选择 用户所在OU、"安全筛选"选择 指定用户或者指定用户安全组,为什么一定要在 筛选里 添加 目标计算机名或 domain computer 才能是 策略生效呢? 这个不太理解。谢谢。

    难道用户策略应用的前提是计算机能有GPO访问权限?!

    2017年7月13日 10:58
  • 最后怎么解决的呢?在安全筛选里面添加了domain coputers组?
    2018年4月8日 9:06