none
windows server 2008 r2 编辑的组策略在客户端不能生效问题 RRS feed

  • 问题

  • 1.在2008 域策略尝试设置了取消按del+shift+alt登录,但是客户端不能生效。

    2.客户端在运行gpupdate/force,提示 “处理组策略失败,windows尝试为此用户或计算机检索新的组策略设置.......",未在2008设置组策略时,客户端运行此命令是更新成功。

    3.客户端的本地策略依旧可以修改,也可以在本地策略设置取消del+shift+alt登录

    4.配置了2008 域策略,客户端运行rsop.msc,发现计算机配置和用户配置会打了红色的×,有时又不会有×,

    错误信息为“

    由于下面列出的错误,组策略基础结构 失败。
    指定的服务器无法运行请求的操作。

    注意: 由于 GP Core 失败,其它组策略组件没有一个处理了它们的策略。因此,其它组件的状态信息不可用。”







    • 已编辑 刘xd 2017年11月16日 6:29
    2017年11月16日 3:24

全部回复

  • 您好,
    请您提供一下具体的报错信息, 以及您可以可以看一下事件查看器里有没有具体的事件记录,有的话,也请您把具体信息发一下。
    另外,根据您的描述,我建议您可以先检查一下您的域控制器是否正常工作,以及检查一下客户端和域控制器的网络连接。比如说检查一下DNS,或者ping一下域控制器。
    谢谢
    Wendy

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.


    2017年11月16日 8:04
    版主

  • 错误信息就是我运行gpupdate/force 时的信息

    处理组策略失败。Windows 尝试为此用户或计算机检索新的组策略设置。有关错误代码及其描述,请查看“详细信息”选项卡。Windows 将在下一个刷新周期中自动重试此操作。连接到此域的计算机必须具有适当的名称解析和到域控制器的网络连接,以便能够发现新的组策略对象和设置。当组策略成功时,将在日志中记录事件。


    2017年11月16日 8:58
  • 域控制器正常工作的,ping很畅通,全部用户已经加进域,只是设置域组策略不能在客户端生效,只有在客户端本地策略修改才会有效果
    2017年11月16日 9:01
  • 运行rosp.msc时,里面的计算机配置和用户配置会出现红色的X现象,但过段时间又是正常。错误信息为

    由于下面列出的错误,组策略基础结构 失败。
    指定的服务器无法运行请求的操作。

    注意: 由于 GP Core 失败,其它组策略组件没有一个处理了它们的策略。因此,其它组件的状态信息不可用。”


    2017年11月16日 9:03
  • 您好,
    请问有多少客户端有这样的问题吗?如果是只有这一台的的话,我建议您把这台客户端从域里移除,再重新进行加域,再看一下是否问题会重现。
    谢谢
    Wendy

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2017年11月16日 9:45
    版主
  • 重新加域问题依旧,目前只试了我这一台,无法更新域策略,本地策略可以修改也能生效
    2017年11月17日 0:30
  • 拒绝的 GPOs
    名称 链接位置 拒绝的原因
    本地组策略 Local 清空
    应用组策略时的安全组成员身份
    BUILTIN\Administrators
    Everyone
    BUILTIN\Users
    NT AUTHORITY\NETWORK
    NT AUTHORITY\Authenticated Users
    NT AUTHORITY\This Organization
    DOMAIN\MIS02$
    DOMAIN\Domain Computers
    Mandatory Label\System Mandatory Level
    WMI 筛选器
    名称 引用 GPO
    组件状态<v:group alt="错误" class="vmlimage" coordsize="100,100" style="width:15px;height:15px;vertical-align:middle;"><v:oval class="vmlimage" fillcolor="red" strokecolor="red" style="width:100px;height:100px;"></v:oval><v:line class="vmlimage" from="25,25" strokecolor="white" strokeweight="3px" style="" to="75,75"></v:line><v:line class="vmlimage" from="75,25" strokecolor="white" strokeweight="3px" style="" to="25,75"></v:line></v:group>
    组件名称 状态 上一次处理时间
    组策略基础结构 失败 2017/11/17 星期五 上午 9:44:05
    由于下面列出的错误,组策略基础结构 失败。

    指定的服务器无法运行请求的操作。 

    注意: 由于 GP Core 失败,其它组策略组件没有一个处理了它们的策略。因此,其它组件的状态信息不可用。

    可能已经记录了额外信息。请审阅控制台中的“策略事件”选项卡或 2017/11/17 星期五 上午 9:43:53 和 2017/11/17 星期五 上午 9:44:05 之间的事件的应用程序事件日志。
    Security (N/A) 2017/11/16 星期四 下午 2:35:38
    注册表 (N/A) 2017/11/16 星期四 下午 2:35:37
    用户配置摘要
    常规
    用户名 DOMAIN\mis02
    domain.local
    上一次处理组策略的时间 2017/11/17 星期五 上午 9:43:53
    组策略对象
    应用的 GPO
    名称 链接位置 修订
    Default Domain Policy domain.local AD (9),Sysvol (65535)
    拒绝的 GPOs
    名称 链接位置 拒绝的原因
    本地组策略 Local 清空
    应用组策略时的安全组成员身份
    WMI 筛选器
    名称 引用 GPO
    组件状态<v:group alt="错误" class="vmlimage" coordsize="100,100" style="width:15px;height:15px;vertical-align:middle;"><v:oval class="vmlimage" fillcolor="red" strokecolor="red" style="width:100px;height:100px;"></v:oval><v:line class="vmlimage" from="25,25" strokecolor="white" strokeweight="3px" style="" to="75,75"></v:line><v:line class="vmlimage" from="75,25" strokecolor="white" strokeweight="3px" style="" to="25,75"></v:line></v:group>
    组件名称 状态 上一次处理时间
    组策略基础结构 失败 2017/11/17 星期五 上午 9:44:05
    由于下面列出的错误,组策略基础结构 失败。

    指定的服务器无法运行请求的操作。 

    注意: 由于 GP Core 失败,其它组策略组件没有一个处理了它们的策略。因此,其它组件的状态信息不可用。

    可能已经记录了额外信息。请审阅控制台中的“策略事件”选项卡或 2017/11/17 星期五 上午 9:43:53 和 2017/11/17 星期五 上午 9:44:05 之间的事件的应用程序事件日志。
    计算机配置
    策略
    Windows 设置
    安全设置
    帐户策略/密码策略
    策略 设置 入选的 GPO
    密码必须符合复杂性要求 已禁用 Default Domain Policy
    密码最长期限 42 天 Default Domain Policy
    强制密码历史 1 个记住的密码 Default Domain Policy
    用可还原的加密来储存密码 已禁用 Default Domain Policy
    最短密码长度 0 个字符 Default Domain Policy
    最短密码期限 0 天 Default Domain Policy
    帐户策略/帐户锁定策略
    策略 设置 入选的 GPO
    帐户锁定阈值 0 次无效登录 Default Domain Policy
    本地策略/安全选项
    网络安全
    策略 设置 入选的 GPO
    网络安全: 在超过登录时间后强制注销 已禁用 Default Domain Policy
    事件日志
    策略 设置 入选的 GPO
    安全日志保留天数 7 天 Default Domain Policy
    安全日志的保留方法 按天数 Default Domain Policy
    公钥策略/证书服务客户端自动注册设置
    策略 设置 入选的 GPO
    自动证书管理 已启用 [默认设置]
    选项 设置
    注册新证书、续订过期证书、处理挂起证书请求和删除吊销证书 已禁用
    更新和管理使用 Active Directory 中的证书模板的证书 已禁用
    公钥策略/加密文件系统
    证书
    颁发给 颁发者 到期日期 预期目的 入选的 GPO
    Administrator Administrator 2012/7/9 星期一 下午 7:16:40 文件恢复 Default Domain Policy

    有关单个设置的其他信息,请启动组策略对象编辑器。
    公钥策略/受信任的根证书颁发机构
    属性
    入选的 GPO [默认设置]
    策略 设置
    允许用户选择新的根证书授权机构(CA)来信任 已启用
    客户端计算机可以信任下列证书存储 第三方根证书授权机构和企业根证书授权机构
    要根据证书身份验证用户和计算机,CA 必须符合下列条件 只在 Active Directory 中注册
    用户配置
    未定义设置。
    2017年11月17日 1:49
  • 您好,
    请问您在事件查看器里有查看到相关的事件日志吗?要是有相关错误日志,您可以提供一下具体信息。
    另外我建议您可以尝试一下多次重启出现报错的客户端电脑,每次重启之后您可以运行一次gpupdate /force 和gpresult /h c:\result.html 命令看一下是否每次都是一样报错。
    如果报错在某次重启之后没有出现,那么我们可能需要尝试一下启用“计算机启动和登录时总是等待网络”策略看是否有用, 该策略地址为:计算机配置\管理员模板\系统\登录\.
    谢谢
    Wendy

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2017年11月17日 2:01
    版主
  •  我的电脑每天都有开关机,也重启尝试了很多次,报错依旧。只有不设置域策略,加上多次重启或运行命令,才会没有报错,文字说不清楚,能否电话或远程操控解决,谢谢
    2017年11月17日 5:40
  • Event filter with query "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" could not be reactivated in namespace "//./root/CIMV2" because of error 0x80041003. Events cannot be delivered through this filter until the problem is corrected.

    此报错不知道有没关联

    2017年11月17日 5:53
  • SupportInfo1 1
    SupportInfo2 2541
    ProcessingMode 0
    ProcessingTimeInMilliseconds 12125
    ErrorCode 58
    ErrorDescription 指定的服务器无法运行请求的操作。
    DCName \\server.domain.local

    处理组策略失败。Windows 尝试为此用户或计算机检索新的组策略设置。有关错误代码及其描述,请查看“详细信息”选项卡。Windows 将在下一个刷新周期中自动重试此操作。连接到此域的计算机必须具有适当的名称解析和到域控制器的网络连接,以便能够发现新的组策略对象和设置。当组策略成功时,将在日志中记录事件。

    所有相关报错都已经发过给你了,并无其他报错信息了

    2017年11月17日 6:00
  • 您好,
    因为这是论坛支持, 无法进行远程,如果您需要远程支持的话,您需要联系微软技术团队,联系方式您可以参考一下链接, 他们可以提供此类支持并协助您进一步排错:
    https://www.microsoft.com/en-us/worldwide.aspx.
    谢谢
    Wendy

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2017年11月17日 8:49
    版主
  • 前面问题莫名其妙好了,现在是另一个情况:

    新建的OU,里面有一个用户,新建组策略, 在客户端不能生效:

    1.在安全筛选删除authenticated user 用户,并添加一台客户端用户,客户端不能生效

    2.不删除authenticated user用户,在域右键点击链接到此GPO,选择新建的策略,全部客户端可以生效

    3.在安全筛选删除authenticated user 用户,并添加一台客户端用户,在域右键点击链接到此GPO,选择新建的策略,客户端不能生效

    怎样才能使指定的客户端生效呢?

    2017年11月22日 7:53
  • 您好,
    请问这个不能生效的策略是用户策略还是电脑策略?用户策略只对用户生效,电脑策略只对电脑账号生效。
    另外,请您检查一下是否客户端或者域控制器上装有MS16-072补丁包,如果安装了此补丁的话,可能会导致用户组策略失效。
    在使用了安全删除的情况下,您需要授权域计算机组在这个GPO上的读取权限。
     
    具体请参考:https://support.microsoft.com/zh-cn/help/3163622/ms16-072-security-update-for-group-policy-june-14--2016
    谢谢
    Wendy

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2017年11月22日 8:17
    版主
  • 计算机策略和用户策略各一条.现在情况是这样:

    1.在default domain policy 下新建的策略,是可以生效并且对全部客户端生效

    2.MS16-072补丁问题,按照网上给出的方法是如果要删除authenticated user,需要添加domain computer 和用户,才可以使策略生效,是可以让指定客户端生效的。

    但这是在default domain policy下的新建

    如果在新建的组织单位,上新建策略,上述的操作皆不能让指定客户端生效(组织单位已提前添加进了用户,是否还需要在安全筛选再进行上述第二步)

    计算机策略的话,组织单位里面是不是应该是添加的计算机,而不是用户呢


    • 已编辑 刘xd 2017年11月23日 3:27
    2017年11月23日 3:23
  • 您好,
    请问那个组织单元中只包含了您需要应用组策略的特定用户账号吗? 如果是的话,那么您不需要再使用安全筛选功能。
    但是在您安装了MS16-072的情况下,您需要给authenticated user在GPO上的读取权限。
    谢谢
    Wendy

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2017年11月24日 9:24
    版主
  • 

    您好,

    我们正在跟踪您所遇到问题的进展,如果您还有任何的问题,请随时联系我们。

    如果上述回复对您有所帮助,您可以标记它们为答复,或者您可以把您自己解决问题的方法分享给我们,这对于有相同问题的其他人将会提供很大的帮助。

    感谢您的理解与支持。

    谢谢

    Wendy


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2017年11月27日 8:14
    版主