none
WINDOWS 组策略设置的问题 RRS feed

  • 问题

  • 我有一台windows 2008R2的域控,在其中设置几个用户组策略,通过组策略管理中的组策略结果查看,发现用户策略已生效但是设置内容中只是其中一条生效了,请问是什么原因。

    

    2018年4月13日 8:00

全部回复

  • 您好,

    请问您是指“组策略结果集”和“客户端组策略应用结果”不同吗?
    如果是,根据截图来看,“禁止外包单位账户登陆”和“计算机验证”中包含哪些设置?
    另外,请尝试在客户端上以管理员身份运行gpresult /r并将结果粘贴在回复中以便我们进行进一步的分析。

    如果需要进一步的帮助,请随时告诉我们。

    此致
    Albert

    Please remember to mark the replies as an answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2018年4月16日 6:28
  • 您好,

    我想确认一下目前的情况,请问您试过之前所提供的方法吗?如果您需要进一步的帮助,请告诉我们。

    此致
    Albert

    Please remember to mark the replies as an answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2018年4月18日 3:07
  • 结果如下,
    Microsoft (R) Windows (R) 操作系统组策略结果工具 v2.0
    版权所有 (C) Microsoft Corp。1981-2001

    创建于 2018/4/18,13:54:07



    CMICT\zhoutao 的 RSOP 数据,位于 DUDAOBAN 上: 登录模式
    -------------------------------------------------------

    OS 配置:         成员工作站
    OS 版本:         6.1.7601
    站点名称:        暂缺
    漫游配置文件:     暂缺
    本地配置文件:    C:\Users\zhoutao
    使用慢速链接?:   否


    用户设置
    ---------
        CN=zt,OU=操作部,OU=用户,OU=CMICT,DC=cmict,DC=com,DC=cn
        上一次应用组策略的时间: 于 2018/4/18,13:28:52
        应用的组策略来源于:     R0708.cmict.com.cn
        组策略慢速链接阈值:     500 kbps
        域名:                   CMICT
        域类型:                 Windows 2000
        
        已应用的组策略对象
        -------------------
            公共链接
            bginfo
            Default Domain Policy
            计算机验证
            禁止外包单位账户登录

        下列组策略对象被筛选排除,因此没有应用
        ---------------------------------------
            本地组策略
                正在筛选:  没有应用 (空)

        用户是下列安全组的一部分
        ------------------------
            Domain Users
            Everyone
            BUILTIN\Users
            NT AUTHORITY\INTERACTIVE
            控制台登录
            NT AUTHORITY\Authenticated Users
            This Organization
            LOCAL
            操作部
            宁波X有限公司
            Domain Apps
            Password Complexity
            Medium Mandatory Level
    • 已编辑 cfs0 2018年4月18日 6:00
    2018年4月18日 5:55
  • 
    计算机验证
    数据收集时间: 2018/4/18 15:46:55
    常规
    详细信息
    cmict.com.cn
    所有者 CMICT\Domain Admins
    创建时间 2010/11/26 15:51:58
    修改时间 2012/11/11 21:27:58
    用户修订 0 (AD),0 (sysvol)
    计算机修订 5 (AD),5 (sysvol)
    唯一的 ID {DEDC5FBC-6951-447A-8400-7EB6D17EE9FB}
    GPO 状态 已启用
    链接
    位置 强制 链接状态 路径
    cmict 已启用 cmict.com.cn

    此列表只包括 GPO 的域中的链接。
    安全筛选
    此 GPO 内的设置只应用于下列组、用户和计算机:
    名称
    NT AUTHORITY\Authenticated Users
    委派
    这些组和用户拥有此 GPO 的指定权限
    名称 允许的权限 继承
    CMICT\Domain Admins 编辑设置,删除、修改安全性
    CMICT\Enterprise Admins 编辑设置,删除、修改安全性
    NT AUTHORITY\Authenticated Users 读取(从安全筛选)
    NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS 读取
    NT AUTHORITY\SYSTEM 编辑设置,删除、修改安全性
    计算机配置(已启用)
    策略
    Windows 设置
    安全设置
    有线网络(802.3)策略
    有线网络策略
    名称 有线网络策略
    描述 示例描述
    全局设置
    设置
    客户端使用 Windows 有线局域网网络服务 已启用
    适用于网络身份验证的共享用户凭据 已启用
    网络配置文件
    安全设置
    对网络访问启用 IEEE 802.1X 身份验证 已启用
    强制使用 IEEE 802.1X 身份验证进行网络访问 已禁用
    IEEE 802.1X 设置
    计算机身份验证 仅计算机
    身份验证失败的最多次数 2
    已发送的最大 EAPOL-Start 消息数
    保持时间(秒)
    启动时间(秒)
    身份验证时间(秒)
    用户配置(已启用)
    未定义设置。
    禁止外包单位账户登录
    数据收集时间: 2018/4/18 15:47:22
    常规
    详细信息
    cmict.com.cn
    所有者 CMICT\Domain Admins
    创建时间 2014/4/18 9:12:54
    修改时间 2016/1/5 13:26:30
    用户修订 0 (AD),0 (sysvol)
    计算机修订 4 (AD),4 (sysvol)
    唯一的 ID {6F1D09D6-784D-454A-B23E-F03444E0682F}
    GPO 状态 已启用
    链接
    位置 强制 链接状态 路径
    cmict 已启用 cmict.com.cn

    此列表只包括 GPO 的域中的链接。
    安全筛选
    此 GPO 内的设置只应用于下列组、用户和计算机:
    名称
    NT AUTHORITY\Authenticated Users
    委派
    这些组和用户拥有此 GPO 的指定权限
    名称 允许的权限 继承
    CMICT\Domain Admins 编辑设置,删除、修改安全性
    CMICT\Enterprise Admins 编辑设置,删除、修改安全性
    NT AUTHORITY\Authenticated Users 读取(从安全筛选)
    NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS 读取
    NT AUTHORITY\SYSTEM 编辑设置,删除、修改安全性
    计算机配置(已启用)
    策略
    Windows 设置
    安全设置
    本地策略/用户权限分配
    策略 设置
    拒绝本地登录 kfpt,CMICT\xyhujundao,CMICT\waili,CMICT\nbjiyun,CMICT\kfpt,CMICT\anxin,CMICT\anhang
    用户配置(已启用)
    未定义设置。
    2018年4月18日 7:55
  • 您好,


    通过gpresult的执行结果来看,该用户已经应用了这五个组策略,请问是哪个组策略设置有问题?


    期待您的反馈。


    此致
    Albert

    Please remember to mark the replies as an answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2018年4月23日 6:19
  • 是公共链接这个策略没有生效,在计算机IE的安全站点中没有看到对应的内容。是否可以看到具体的原因?

    公共链接
    数据收集时间: 2018/4/20 8:37:08
    常规
    详细信息
    cmict.com.cn
    所有者 CMICT\Domain Admins
    创建时间 2010/11/26 20:04:26
    修改时间 2018/4/4 9:26:40
    用户修订 34 (AD),34 (sysvol)
    计算机修订 0 (AD),0 (sysvol)
    唯一的 ID {B337971E-DB65-4521-8A54-67E359B7FD38}
    GPO 状态 已启用
    链接
    位置 强制 链接状态 路径
    用户 已启用 cmict.com.cn/CMICT/用户

    此列表只包括 GPO 的域中的链接。
    安全筛选
    此 GPO 内的设置只应用于下列组、用户和计算机:
    名称
    NT AUTHORITY\Authenticated Users
    委派
    这些组和用户拥有此 GPO 的指定权限
    名称 允许的权限 继承
    CMICT\Domain Admins 编辑设置,删除、修改安全性
    CMICT\Enterprise Admins 编辑设置,删除、修改安全性
    NT AUTHORITY\Authenticated Users 读取(从安全筛选)
    NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS 读取
    NT AUTHORITY\SYSTEM 编辑设置,删除、修改安全性
    计算机配置(已启用)
    未定义设置。
    用户配置(已启用)
    策略
    Windows 设置
    Internet Explorer 维护
    连接/自动浏览器配置
    策略 设置
    自动检测配置 已禁用
    自动浏览器配置 未配置
    URL/收藏夹和链接
    策略 设置
    按下面指定的顺序将收藏夹和链接放置位于列表顶部 已启用
    删除现有的收藏夹和链接(如果有) 未配置
    删除现有频道(如果有) 未配置
    收藏夹
    名称 URL

    moss正式版本 http://oa.cmict.net
    公司电子邮箱(新) https://email.cmict.com.cn/owa

    公司EAM系统 http://eam.cmict.com.cn
    公司数据仓库 http://dw.cmict.com.cn/dw
    公司通讯录 http://oa.cmict.net/Lists/List7/view.aspx
    考勤管理系统 http://kq.cmict.net/
    上网认证系统 http://10.2.253.11
    安全/安全区域和内容分级
    安全区域和隐私
    这些设置不会应用于用户登录到已启用 Internet Explorer 增强的安全配置的计算机。要为在已启用 ECS 的计算机上的用户创建设置,请创建新 GPO 并在已启用 ECS 的计算机上编辑。
    Internet (安全级别: 中-高)
    .NET Framework 相关组件
    运行未用验证码签名的组件 启用
    运行用验证码签名的组件 启用
    ActiveX 控件和插件
    对标记为可安全执行脚本的 ActiveX 控件执行脚本 启用
    对没有标记为安全的 ActiveX 控件进行初始化和脚本运行 禁用
    下载未签名的 ActiveX 控件 禁用
    下载已签名的 ActiveX 控件 提示
    运行 ActiveX 控件和插件 启用
    Microsoft VM
    Java 权限 安全级 - 高
    脚本
    Java 小程序脚本 启用
    活动脚本 启用
    允许通过脚本进行粘贴操作 提示
    其他
    持续使用用户数据 启用
    跨域访问数据源 禁用
    跨域浏览子框架 禁用
    没有证书或只有一个证书时不提示进行客户端证书选择 禁用
    启动应用程序和不安全文件 提示
    提交非加密表单数据 启用
    拖放或复制并粘贴文件 启用
    显示混合内容 提示
    允许 META REFRESH 启用
    在 IFRAME 中启动程序和文件 提示
    桌面项目的安装 提示
    下载
    文件下载 启用
    字体下载 启用
    用户身份验证
    登录 只在 Intranet 区域中自动登录
    本地 Intranet (安全级别: 自定义)
    .NET Framework 相关组件
    运行未用验证码签名的组件 启用
    运行用验证码签名的组件 启用
    ActiveX 控件和插件
    对标记为可安全执行脚本的 ActiveX 控件执行脚本 启用
    对没有标记为安全的 ActiveX 控件进行初始化和脚本运行 禁用
    下载未签名的 ActiveX 控件 禁用
    下载已签名的 ActiveX 控件 提示
    运行 ActiveX 控件和插件 启用
    Microsoft VM
    Java 权限 安全级 - 中
    脚本
    Java 小程序脚本 启用
    活动脚本 启用
    允许通过脚本进行粘贴操作 启用
    其他
    持续使用用户数据 启用
    跨域访问数据源 提示
    跨域浏览子框架 启用
    没有证书或只有一个证书时不提示进行客户端证书选择 启用
    启动应用程序和不安全文件 启用
    提交非加密表单数据 启用
    拖放或复制并粘贴文件 启用
    显示混合内容 提示
    允许 META REFRESH 启用
    在 IFRAME 中启动程序和文件 提示
    桌面项目的安装 提示
    下载
    文件下载 启用
    字体下载 启用
    用户身份验证
    登录 自动使用当前用户名和密码登录
    站点
    对该区域中的所有站点要求服务器验证(https:) 已禁用
    包括没有列在其它区域的所有本地(Intranet)站点 已禁用
    包括所有不使用代理服务器的站点 已禁用
    包含所有网络路径(UNC) 已禁用
    此区域内的站点
    http://10.1.15.9/
    http://10.2.2.202/
    http://eam.cmict.com.cn/
    http://email.cmict.com.cn/
    http://my.cmict.net/
    http://skoa.cmhi.cmhk.com/
    http://system.cmict.net/
    可信站点 (安全级别: 自定义)
    .NET Framework 相关组件
    运行未用验证码签名的组件 启用
    运行用验证码签名的组件 启用
    ActiveX 控件和插件
    对标记为可安全执行脚本的 ActiveX 控件执行脚本 启用
    对没有标记为安全的 ActiveX 控件进行初始化和脚本运行 禁用
    下载未签名的 ActiveX 控件 禁用
    下载已签名的 ActiveX 控件 提示
    运行 ActiveX 控件和插件 启用
    Microsoft VM
    Java 权限 安全级 - 中
    脚本
    Java 小程序脚本 启用
    活动脚本 启用
    允许通过脚本进行粘贴操作 启用
    其他
    持续使用用户数据 启用
    跨域访问数据源 提示
    跨域浏览子框架 启用
    没有证书或只有一个证书时不提示进行客户端证书选择 启用
    启动应用程序和不安全文件 提示
    提交非加密表单数据 启用
    拖放或复制并粘贴文件 启用
    显示混合内容 提示
    允许 META REFRESH 启用
    在 IFRAME 中启动程序和文件 提示
    桌面项目的安装 提示
    下载
    文件下载 启用
    字体下载 启用
    用户身份验证
    登录 自动使用当前用户名和密码登录
    站点
    对该区域中的所有站点要求服务器验证(https:) 已禁用
    此区域内的站点
    http://10.2.253.10/
    http://10.2.4.55/
    http://116.228.152.74/
    http://58.246.192.105/
    http://dw.cmict.com.cn/
    http://eir.easipass.com/
    http://k.cmict.net/
    http://kq.cmict.net/
    http://oa.cmict.net/
    http://www.cn.yangming.com/
    http://www.kline.com.cn/
    受限站点 (安全级别: 高)
    .NET Framework 相关组件
    运行未用验证码签名的组件 禁用
    运行用验证码签名的组件 禁用
    ActiveX 控件和插件
    对标记为可安全执行脚本的 ActiveX 控件执行脚本 禁用
    对没有标记为安全的 ActiveX 控件进行初始化和脚本运行 禁用
    下载未签名的 ActiveX 控件 禁用
    下载已签名的 ActiveX 控件 禁用
    运行 ActiveX 控件和插件 禁用
    Microsoft VM
    Java 权限 禁用 Java
    脚本
    Java 小程序脚本 禁用
    活动脚本 禁用
    允许通过脚本进行粘贴操作 禁用
    其他
    持续使用用户数据 禁用
    跨域访问数据源 禁用
    跨域浏览子框架 禁用
    没有证书或只有一个证书时不提示进行客户端证书选择 禁用
    提交非加密表单数据 提示
    拖放或复制并粘贴文件 提示
    显示混合内容 提示
    允许 META REFRESH 禁用
    在 IFRAME 中启动程序和文件 禁用
    桌面项目的安装 禁用
    下载
    文件下载 禁用
    字体下载 禁用
    用户身份验证
    登录 提示输入用户名和密码
    站点
    此区域内的站点
    隐私
    隐私级别
    网站
    始终允许
    始终阻止

    2018年4月25日 0:46
  • 您好,

    请问是如下图的IE信任站点吗?


    如果是,建议通过如下组策略进行配置(其中2代表信任站点):
    User Configuration\Policies\Administrative Templates\Windows Components\Internet Explorer\Internet Control Panel\Security Page\Site to Zone Assignment List


    如果您需要进一步的帮助,请告诉我们。

    此致
    Albert

    Please remember to mark the replies as an answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2018年4月25日 9:24
  • 您好,

    我想确认一下目前的情况,请问您试过之前所提供的方法吗?

    如果您已经尝试过,或者在试过之后仍然有问题,请告诉我们,我会做更多研究,并尽我所能给出有帮助的答复。

    如果您需要进一步的帮助,请告诉我们。

    此致
    Albert


    Please remember to mark the replies as an answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2018年4月27日 2:21
  • 你好,使用了Site to Zone Assignment List后,可以生效,但是客户端电脑上无法添加、删除信任站点,是否有解决的办法?

    

    2018年5月2日 1:25