积极答复者
刷新策略时报错:Windows 无法应用 IP Security 设置

问题
-
在域控刷新策略时出现以下报错,PC客户端没有出现
C:\Users\GP3_DENG>gpupdate /force
我回忆报错前我进行的操作,发现这样一个问题:之前默认域控的策略链接在域下,我把它迁移至Domain Controllers并取消域下的链接,报错出现。我尝试对这个策略进行不同的链接方式,发现只要该策略链接Domain Controllers,就会出现改报错。另外,策略的设置如下,请问是策略设置有问题,还是其他原因呢
正在更新策略...
用户策略更新成功完成。
计算机策略更新成功完成。
在计算机策略处理过程中遇到下列警告:
Windows 无法应用 IP Security 设置。IP Security 设置可能具有自身的日志文件。请单
击“详细信息”链接。
Windows 无法为组策略扩展 <IP Security> 记录策略结果集(RSoP)的信息。组策略设置已
成功应用到计算机或用户,但管理工具可能不会准确报告。
有关详细信息,请查看事件日志或从命令行运行 GPRESULT /H GPReport.html 来访问有关
组策略结果的信息。
Default Domain Controllers Policy 数据收集时间: 2016/9/26 8:31:05 域 book.cn 所有者 book\Domain Admins 创建时间 2008/9/5 19:09:26 修改时间 2016/9/2 15:04:50 用户修订 1 (AD),1 (sysvol) 计算机修订 46 (AD),46 (sysvol) 唯一的 ID {6AC1786C-016F-11D2-945F-00C04FB984F9} GPO 状态 已启用 位置 强制 链接状态 路径 book 否 已启用 book.cn Domain Controllers 否 已禁用 book.cn/Domain Controllers
此列表只包括 GPO 的域中的链接。此 GPO 内的设置只应用于下列组、用户和计算机:名称 NT AUTHORITY\Authenticated Users 这些组和用户拥有此 GPO 的指定权限名称 允许的权限 继承 book\Domain Admins 编辑设置,删除、修改安全性 否 book\Enterprise Admins 编辑设置,删除、修改安全性 否 NT AUTHORITY\Authenticated Users 读取(从安全筛选) 否 NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS 读取 否 NT AUTHORITY\SYSTEM 编辑设置,删除、修改安全性 否 策略 设置 审核策略更改 成功,失败 审核登录事件 成功,失败 审核对象访问 无审核 审核进程跟踪 成功 审核目录服务访问 成功 审核特权使用 无审核 审核系统事件 成功,失败 审核帐户登录事件 成功,失败 审核帐户管理 成功,失败 策略 设置 备份文件和目录 BUILTIN\Administrators,BUILTIN\Backup Operators,BUILTIN\Server Operators 创建一个令牌对象 创建一个页面文件 BUILTIN\Administrators 创建永久共享对象 从扩展坞上取下计算机 BUILTIN\Administrators 从网络访问此计算机 book\IUSR_SRV6,book\IWAM_SRV6,book\IWAM_SRV3,book\IWAM_SRV5,Everyone,BUILTIN\Administrators,NT AUTHORITY\Authenticated Users,NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS,BUILTIN\Pre-Windows 2000 Compatible Access,book\IUSR_SRV5,book\IUSR_SRV3 从远程系统强制关机 BUILTIN\Administrators,BUILTIN\Server Operators 调试程序 BUILTIN\Administrators 更改系统时间 NT AUTHORITY\LOCAL SERVICE,BUILTIN\Administrators,BUILTIN\Server Operators 关闭系统 BUILTIN\Administrators,BUILTIN\Backup Operators,BUILTIN\Server Operators,BUILTIN\Print Operators 管理审核和安全日志 book\Exchange Enterprise Servers,BUILTIN\Administrators,book\Exchange Servers 还原文件和目录 BUILTIN\Administrators,BUILTIN\Backup Operators,BUILTIN\Server Operators 加载和卸载设备驱动程序 BUILTIN\Administrators,BUILTIN\Print Operators 将工作站添加到域 NT AUTHORITY\Authenticated Users 拒绝本地登录 book\SUPPORT_388945a0 拒绝从网络访问这台计算机 book\SUPPORT_388945a0 拒绝以服务身份登录 拒绝作为批处理作业登录 配置文件单个进程 BUILTIN\Administrators 配置文件系统性能 BUILTIN\Administrators 取得文件或其他对象的所有权 BUILTIN\Administrators 绕过遍历检查 Everyone,BUILTIN\Administrators,NT AUTHORITY\Authenticated Users,BUILTIN\Pre-Windows 2000 Compatible Access 生成安全审核 S-1-5-82-3006700770-424185619-1745488364-794895919-4004696415,NT AUTHORITY\LOCAL SERVICE,NT AUTHORITY\NETWORK SERVICE 锁定内存页 提高计划优先级 BUILTIN\Administrators 替换一个进程级令牌 book\IWAM_SRV3,book\IWAM_SRV5,NT AUTHORITY\LOCAL SERVICE,NT AUTHORITY\NETWORK SERVICE,book\IWAM_SRV6,S-1-5-82-3006700770-424185619-1745488364-794895919-4004696415 同步目录服务数据 为进程调整内存配额 book\IWAM_SRV3,book\IWAM_SRV5,NT AUTHORITY\LOCAL SERVICE,NT AUTHORITY\NETWORK SERVICE,BUILTIN\Administrators,book\IWAM_SRV6,S-1-5-82-3006700770-424185619-1745488364-794895919-4004696415 信任计算机和用户帐户可以执行委派 BUILTIN\Administrators 修改固件环境值 BUILTIN\Administrators 以操作系统方式执行 以服务服务登录 NT AUTHORITY\NETWORK SERVICE,book\admin2,S-1-5-82-3006700770-424185619-1745488364-794895919-4004696415 允许本地登录 book\ePO User Group,BUILTIN\Administrators,BUILTIN\Backup Operators,BUILTIN\Account Operators,BUILTIN\Server Operators,BUILTIN\Print Operators,book\IUSR_SRV5,book\IUSR_SRV3,book\IUSR_SRV6 作为批处理作业登录 BUILTIN\IIS_IUSRS,book\gp3_deng,book\SPAMfighterService,book\IWAM_SRV6,book\IWAM_SRV3,NT AUTHORITY\LOCAL SERVICE,book\SUPPORT_388945a0,book\IWAM_SRV5,book\IUSR_SRV5,book\IIS_WPG,ASPUSER,book\IUSR_SRV3,book\IUSR_SRV6,book\itd08 策略 设置 Microsoft 网络服务器: 对通信进行数字签名(如果客户端允许) 已启用 Microsoft 网络服务器: 对通信进行数字签名(始终) 已启用 策略 设置 网络安全: LAN 管理器身份验证级别 仅发送 NTLM 响应 策略 设置 域成员: 对安全通道数据进行数字加密或数字签名(始终) 已启用 策略 设置 域控制器: LDAP 服务器签名要求 无 策略 设置 审核: 强制审核策略子类别设置(Windows Vista 或更高版本)替代审核策略类别设置 已启用 权限类型 名称 权限 允许 NT AUTHORITY\SYSTEM 完全控制 允许 BUILTIN\Administrators 完全控制 允许 book\Domain Users 完全控制 允许 NT AUTHORITY\INTERACTIVE 读取 正在审核类型 名称 访问 故障 Everyone 完全控制 策略 设置 审核 Kerberos 身份验证服务 成功,失败 策略 设置 审核计算机帐户管理 成功 审核通讯组管理 成功 审核安全组管理 成功 审核用户帐户管理 成功,失败 策略 设置 审核进程创建 成功 审核进程终止 成功 策略 设置 审核目录服务访问 成功 审核目录服务更改 成功 策略 设置 审核注销 成功 审核登录 成功,失败 审核网络策略服务器 成功,失败 审核其他登录/注销事件 成功 策略 设置 审核其他对象访问事件 成功 策略 设置 审核身份验证策略更改 成功 审核授权策略更改 成功 策略 设置 审核安全状态更改 成功 从中央存储检索到的策略定义(ADMX 文件)。策略 设置 注释 用户配置(已启用) 从中央存储检索到的策略定义(ADMX 文件)。策略 设置 注释 <a gpmc_settingdescription="确定在用户注销时是否完全同步脱机文件。
此设置也禁用“脱机文件”选项卡上的“注销前同步所有脱机文件”选项。这样做可以在某项设置控制该选项时防止用户对其进行更改。
如果启用此设置,脱机文件将完全同步。完全同步可确保脱机文件是完整的并且是最新的。
如果禁用此设置,系统将只执行快速同步。快速同步可确保文件的完整性,但不确保它们是最新的。
如果未配置此设置,则默认情况下,系统将执行快速同步,但是用户可以更改此选项。
“计算机配置”和“用户配置”文件夹中均包括此设置。如果对这两项设置都进行了配置,则“计算机配置”中的设置优先于“用户配置”中的设置。
提示: 若要在不更改设置的情况下更改同步方式,请在 Windows 资源管理器的“工具”菜单上单击“文件夹选项”,再单击“脱机文件”选项卡,然后选择“注销前同步所有脱机文件”选项。" gpmc_settingname="注销前同步所有脱机文件" gpmc_settingpath="用户配置/管理模板/网络/脱机文件" gpmc_supported="仅 Windows Server 2003、Windows XP 和 Windows 2000 操作系统" href="javascript:void();" onclick="javascript:showExplainText(this); return false;">注销前同步所有脱机文件已禁用
- 已编辑 GP3_deng 2016年9月26日 2:42
答案
-
你好!
这个错误是由于默认域策略应用到域控的OU上报错的,那么对应得客户端就是域控了。
>>>域控是指这台服务器上安装了active directory domain service 这个角色。不是应用哪个域策略决定域控的。
我回忆报错前我进行的操作,发现这样一个问题:之前默认域控的策略链接在域下,我把它迁移至Domain Controllers并取消域下的链接,报错出现。我尝试对这个策略进行不同的链接方式,发现只要该策略链接Domain Controllers,就会出现改报错。另外,策略的设置如下,请问是策略设置有问题,还是其他原因呢
>>>我漏看了这点。这个问题可能就是由于你这个操作引起的, 因为域控的安全设置策略优先于域的安全策略。
这里有个相似的帖子,您可以参考一下。
谢谢。
Please remember to mark the replies as answers if they help and unmark them if they provide no help.
If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.- 已建议为答案 Jay GuModerator 2016年10月11日 1:58
- 已标记为答案 Jay GuModerator 2016年10月12日 9:31
全部回复
-
你好!
这个问题可能是由组策略客户端扩展去加载以下路径下的历史文件引起的。
users\All Users\Microsoft\Group Policy\History\<GUID>\Preferences
尝试删除损坏以上路径的文件大小为0kb的XML文件或者本地的XML文件。
然后运行gpupdate /force看看这个问题是否依然存在。
谢谢。
Please remember to mark the replies as answers if they help and unmark them if they provide no help.
If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.- 已编辑 Jay GuModerator 2016年9月27日 13:25
-
你好!
我没有找到你说的路径,请问是 C:\Users\Default\AppData\Local\Microsoft\Windows\History这个路径嘛?
>>>不是的,就是C:\users\All Users\Microsoft\Group Policy\History\<GUID>\Preferences这个路径。 这个路径中有隐藏的文件夹,如果你找不到相应的文件,尝试在地址栏中输入文件名。
另外,我想问下 C:\Windows\SYSVOL\domain 目录下我对比了一下其他域控,发现多了 Policies_NTFRS_240ce51b 和 scripts_NTFRS_00175256 这两个文件夹,请问和这些有关系吗?
>>>默认情况下,这个路径下只有两个文件夹:policies和scripts。
谢谢。
Please remember to mark the replies as answers if they help and unmark them if they provide no help.
If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com. -
你好!
这个错误是由于默认域策略应用到域控的OU上报错的,那么对应得客户端就是域控了。
>>>域控是指这台服务器上安装了active directory domain service 这个角色。不是应用哪个域策略决定域控的。
我回忆报错前我进行的操作,发现这样一个问题:之前默认域控的策略链接在域下,我把它迁移至Domain Controllers并取消域下的链接,报错出现。我尝试对这个策略进行不同的链接方式,发现只要该策略链接Domain Controllers,就会出现改报错。另外,策略的设置如下,请问是策略设置有问题,还是其他原因呢
>>>我漏看了这点。这个问题可能就是由于你这个操作引起的, 因为域控的安全设置策略优先于域的安全策略。
这里有个相似的帖子,您可以参考一下。
谢谢。
Please remember to mark the replies as answers if they help and unmark them if they provide no help.
If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.- 已建议为答案 Jay GuModerator 2016年10月11日 1:58
- 已标记为答案 Jay GuModerator 2016年10月12日 9:31