none
求助,公司win2008r2域环境组策略及DNS故障问题。 RRS feed

  • 问题

  • 1、我司域环境2008R2,客户端win7

    2、组策略设了3条,其中有一条是“禁用USB”的策略,目前该策略不能正常使用,此策略从2013年开始至今未做修改。

    3、在查看日志中发现,DNS server服务每20分钟会自动重启一次,虽然不影响公司上网,但是感觉这和组策略分发不下去有关系。

    4、在测试中发现,GPO应用到计算机时,策略生效;应用到用户或组,就不生效。

    此问题已经困扰我快半年了,至今未解决。求助大神了~感谢。

    • 已移动 Amy Wang_Moderator 2017年5月29日 2:13 from Windows Server Technical Preview forum
    2017年5月26日 10:45

全部回复

  • 还有不管是服务器还是客户端,CMD下gpupdate /force后都会出现:组策略客户端扩展Folder Redirection无法应用一个或多个设置,因为必须在系统启动或用户登录之前处理更改。
    2017年5月26日 11:18
  • 你好,

    我建议运行下面这个命令来查看为什么组策略设置没有应用成功:

    GPresult /h C:GPresult1.html

    考虑到DNS Server 每 20 分钟自动重启属于不正常的现象,我建议查看一下 Event Viewer 里面的日志看是否记录了具体的原因。

    另外,请确保服务器所需要的补丁都已经安装,可以禁用三方软件测试一下看是否还有这个问题。

    Best Regards,

    Amy


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2017年5月29日 2:57
    版主
  • 我用了GPresult /h C:GPresult1.html,发现这条USB策略根本没下去,是不是因为MS16-072补丁的原因。

    因为在安全筛选中,只有个一USB的用户组,默认的Authernticated users删除了。

    2017年6月7日 1:58
  • 你好,

    请在 GPresult .html 页面中查看没有应用的原因。

    也可以把截图贴出来让大家都帮忙分析一下。

    考虑到这条策略 All Removable Storage classes: Deny all access 在用户和计算机配置下都有,如果是在计算机配置下启用的,仅配置一个用户组会导致应用不到电脑。

    如果是需要对某些特定的用户禁用 USB,请把用户先添加到这个OU,把 GPO 链接到这个OU,然后在用户配置下启用上述策略,安全筛选仅对已经处于该 OU 内的对象生效。

    Best Regards,

    Amy


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2017年6月8日 7:49
    版主
  • 已经在OU里了,GPO也链接到了这个OU,但是在安全筛选下只加了这个OU下的NOUSB的组,不生效。
    2017年6月8日 9:08
  • 描述的清楚点:

    1、OU为aaa-group,OU下有个NOUSB的用户组,NOUSB中的用户都是域用户名,不是计算机名。

    2、GPO链接关联到aaa-group,在GPO安全筛选中,删除Authernticated users,添加OU下的NOUSB组。

    3、GPO策略设置为,可移动存储访问,拒绝访问。


    2017年6月8日 9:12
  • 你好,

    请问这个策略是在GPO里的计算机还是用户配置下启用的?要应用给用户的情况下,只能在用户配置下启用才有效。

    另外 GPresult 里面一般有应用不了的原因,请把截图贴出来或者上传到网盘。

    Best Regards,

    Amy


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2017年6月8日 9:17
    版主
  • 用户策略,我在客户端上打了GPresult,没有该GPO的相关信息。

    但是我做测试时候发现,如果我在安全筛选中添加的是计算机,就生效。添加域用户就不行

    2017年6月8日 9:27
  • 你好,

    刚刚在环境中测试了,请把客户端的电脑/电脑组加入到安全筛选中,结合用户组来配置这条策略。

    添加电脑/电脑组之后,其他不在这个用户组里的用户登录该电脑以后并不会应用上述组策略。

    Best Regards,

    Amy


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2017年6月8日 9:41
    版主
  • 这条策略以前都好的,为什么现在要加电脑或电脑组了?以前都不用加的啊。
    2017年6月9日 3:12
  • 你好,这策略以前都能单加用户组就可以了,为什么现在要加计算机
    2017年6月13日 1:52