none
server2012域策略推送问题 RRS feed

  • 问题

  • 测试环境:

    域服务器server2012,客户机系统windows8.1;

    server的地址:192.168.32.61,2555.255.255.0,gw:192.168.32.254,DNS:127.0.0.1

    客户机:10.10.0.5,255.255.255.0,gw:10.10.0.1,dns:192.168.32.61

    测试目的:

    在域服务器上推送组策略到域客户机上;

    步骤:

    1、在server2012上制定推送桌面更新的组策略,将域客户机上的桌面背景同一更换,并将客户机通过设定DNS的方式加入到当前的AD中;

    2、制定GPO,并将该GPO连接到AD中,并选定强制;

    3、重启客户机后,发现桌面背景发生了变化,和server2012上设置的背景图片一致,此步骤说明,从server上推送的组策略已经生效;

    4、在确认组策略生效的情况下,打开客户机本地的组策略查看和server上对应策略选项是否被更改;在使用命令gpedit.msc命令查看对应选项时,客户机的本地策略未发生改变。

    问题:

    1、当客户机本地的策略和域服务器的组策略对应选项发生冲突时,客户机的本地策略应该以服务器的组策略为准,并被覆盖掉,但在上面的测试中,策略虽然生效,但客户机的本地策略并未发生改变;

    2、按照上面的步骤做了另外一个策略,并应用到客户机,但查看客户机的本地策略及注册表示,该应用的策略均没有生效;

    求解答。。。

    备注:通过客户机能够查看域服务器的gpt.ini文件;路径:\\serverIP\sysvol\domain\policies\{3333--111}\gpt.ini


    2014年12月23日 6:55

全部回复

  • 你好,

    根据你的描述,请在客服端上运行一下gpresult/h gpreport.html命令去拿一下组策略结果报告, 看一下设置的具体应用情况。 这个命令在标准用户下运行时只能看到本用户的组策略设置,如果要看计算机的组策略设置,需要以admin身份运行该命令。

    2014年12月24日 15:21
    版主
  • 现在已经确定在server生成的策略已经推送到了AD域中的客户机上;

    不过,又出现了一个新的问题,客户机写入将该软件写入注册表的位置和预先设定的不一致,本应该写在HKEY_CURRENT_USER表项下,但实际的情况是,客户机将AQS注册表项写到了KEY_USERS下;

    为验证问题,做了一个对比测试,描述如下:

    两台PC,系统win8.1 其中一个加入域环境,一个不接入域环境;

    接入域环境的PC使用域成员的账号进行登录,并在域客户机上安装该软件,并将.adml和admx两个文件拷贝到相应的文件目中,使用gpedit.msc查看,在客户机本地组策略中已经生效,然后打开注册表,结果:并未在HKEY_CURRENT_USER有该软件的信息,换句话说,应该是没有写入到注册表中;

    在另外一条没有接入域中的PC上,以本地账户登录,依照上述的方式操作,该软件的信息能够正常的写入到预先设定的位置HKEY_CURRENT_USER下;

    结论:

    曾怀疑客户端权限的问题,将客户端登录的账户添加到域管理组中,并赋予管理员的权限,但依旧不能将该软件的信息写入到预先设定的位置;

    备注:其实注册表能写入已经证明客户端账户的权限没有问题;



    2015年1月6日 9:25
  • 不知你說的

    KEY_USERS

    是否爲

    HKEY_USERS

    如果是, 並且

    HKEY_USERS

    跟 SID, 那麼應該是正確的.

    因爲用戶的 ntuser.dat 默認都是掛載

    HKEY_USERS

    下的.

    建議你檢查一下 GPO 的路徑設置.


    Folding@Home

    2015年1月6日 12:01
  • OK,谢谢。我先检查一下GPO的路径
    2015年1月7日 3:02
  • 不知你說的

    KEY_USERS

    是否爲

    HKEY_USERS

    如果是, 並且

    HKEY_USERS

    跟 SID, 那麼應該是正確的.

    因爲用戶的 ntuser.dat 默認都是掛載

    HKEY_USERS

    下的.

    建議你檢查一下 GPO 的路徑設置.


    Folding@Home

    路径应该没有问题,该GPO是链接到整个域的;
    2015年1月7日 5:26