none
刷新策略时报错:Windows 无法应用 IP Security 设置

    问题

  • 在域控刷新策略时出现以下报错,PC客户端没有出现

    C:\Users\GP3_DENG>gpupdate /force
    正在更新策略...

    用户策略更新成功完成。
    计算机策略更新成功完成。

    在计算机策略处理过程中遇到下列警告:

    Windows 无法应用 IP Security 设置。IP Security 设置可能具有自身的日志文件。请单
    击“详细信息”链接。
    Windows 无法为组策略扩展 <IP Security> 记录策略结果集(RSoP)的信息。组策略设置已
    成功应用到计算机或用户,但管理工具可能不会准确报告。

    有关详细信息,请查看事件日志或从命令行运行 GPRESULT /H GPReport.html 来访问有关
    组策略结果的信息。

    我回忆报错前我进行的操作,发现这样一个问题:之前默认域控的策略链接在域下,我把它迁移至Domain Controllers并取消域下的链接,报错出现。我尝试对这个策略进行不同的链接方式,发现只要该策略链接Domain Controllers,就会出现改报错。另外,策略的设置如下,请问是策略设置有问题,还是其他原因呢

    Default Domain Controllers Policy
    数据收集时间: 2016/9/26 8:31:05
    常规
    详细信息
    book.cn
    所有者 book\Domain Admins
    创建时间 2008/9/5 19:09:26
    修改时间 2016/9/2 15:04:50
    用户修订 1 (AD),1 (sysvol)
    计算机修订 46 (AD),46 (sysvol)
    唯一的 ID {6AC1786C-016F-11D2-945F-00C04FB984F9}
    GPO 状态 已启用
    链接
    位置 强制 链接状态 路径
    book 已启用 book.cn
    Domain Controllers 已禁用 book.cn/Domain Controllers

    此列表只包括 GPO 的域中的链接。
    安全筛选
    此 GPO 内的设置只应用于下列组、用户和计算机:
    名称
    NT AUTHORITY\Authenticated Users
    委派
    这些组和用户拥有此 GPO 的指定权限
    名称 允许的权限 继承
    book\Domain Admins 编辑设置,删除、修改安全性
    book\Enterprise Admins 编辑设置,删除、修改安全性
    NT AUTHORITY\Authenticated Users 读取(从安全筛选)
    NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS 读取
    NT AUTHORITY\SYSTEM 编辑设置,删除、修改安全性
    计算机配置(已启用)
    策略
    Windows 设置
    安全设置
    本地策略/审核策略
    策略 设置
    审核策略更改 成功,失败
    审核登录事件 成功,失败
    审核对象访问 无审核
    审核进程跟踪 成功
    审核目录服务访问 成功
    审核特权使用 无审核
    审核系统事件 成功,失败
    审核帐户登录事件 成功,失败
    审核帐户管理 成功,失败
    本地策略/用户权限分配
    策略 设置
    备份文件和目录 BUILTIN\Administrators,BUILTIN\Backup Operators,BUILTIN\Server Operators
    创建一个令牌对象
    创建一个页面文件 BUILTIN\Administrators
    创建永久共享对象
    从扩展坞上取下计算机 BUILTIN\Administrators
    从网络访问此计算机 book\IUSR_SRV6,book\IWAM_SRV6,book\IWAM_SRV3,book\IWAM_SRV5,Everyone,BUILTIN\Administrators,NT AUTHORITY\Authenticated Users,NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS,BUILTIN\Pre-Windows 2000 Compatible Access,book\IUSR_SRV5,book\IUSR_SRV3
    从远程系统强制关机 BUILTIN\Administrators,BUILTIN\Server Operators
    调试程序 BUILTIN\Administrators
    更改系统时间 NT AUTHORITY\LOCAL SERVICE,BUILTIN\Administrators,BUILTIN\Server Operators
    关闭系统 BUILTIN\Administrators,BUILTIN\Backup Operators,BUILTIN\Server Operators,BUILTIN\Print Operators
    管理审核和安全日志 book\Exchange Enterprise Servers,BUILTIN\Administrators,book\Exchange Servers
    还原文件和目录 BUILTIN\Administrators,BUILTIN\Backup Operators,BUILTIN\Server Operators
    加载和卸载设备驱动程序 BUILTIN\Administrators,BUILTIN\Print Operators
    将工作站添加到域 NT AUTHORITY\Authenticated Users
    拒绝本地登录 book\SUPPORT_388945a0
    拒绝从网络访问这台计算机 book\SUPPORT_388945a0
    拒绝以服务身份登录
    拒绝作为批处理作业登录
    配置文件单个进程 BUILTIN\Administrators
    配置文件系统性能 BUILTIN\Administrators
    取得文件或其他对象的所有权 BUILTIN\Administrators
    绕过遍历检查 Everyone,BUILTIN\Administrators,NT AUTHORITY\Authenticated Users,BUILTIN\Pre-Windows 2000 Compatible Access
    生成安全审核 S-1-5-82-3006700770-424185619-1745488364-794895919-4004696415,NT AUTHORITY\LOCAL SERVICE,NT AUTHORITY\NETWORK SERVICE
    锁定内存页
    提高计划优先级 BUILTIN\Administrators
    替换一个进程级令牌 book\IWAM_SRV3,book\IWAM_SRV5,NT AUTHORITY\LOCAL SERVICE,NT AUTHORITY\NETWORK SERVICE,book\IWAM_SRV6,S-1-5-82-3006700770-424185619-1745488364-794895919-4004696415
    同步目录服务数据
    为进程调整内存配额 book\IWAM_SRV3,book\IWAM_SRV5,NT AUTHORITY\LOCAL SERVICE,NT AUTHORITY\NETWORK SERVICE,BUILTIN\Administrators,book\IWAM_SRV6,S-1-5-82-3006700770-424185619-1745488364-794895919-4004696415
    信任计算机和用户帐户可以执行委派 BUILTIN\Administrators
    修改固件环境值 BUILTIN\Administrators
    以操作系统方式执行
    以服务服务登录 NT AUTHORITY\NETWORK SERVICE,book\admin2,S-1-5-82-3006700770-424185619-1745488364-794895919-4004696415
    允许本地登录 book\ePO User Group,BUILTIN\Administrators,BUILTIN\Backup Operators,BUILTIN\Account Operators,BUILTIN\Server Operators,BUILTIN\Print Operators,book\IUSR_SRV5,book\IUSR_SRV3,book\IUSR_SRV6
    作为批处理作业登录 BUILTIN\IIS_IUSRS,book\gp3_deng,book\SPAMfighterService,book\IWAM_SRV6,book\IWAM_SRV3,NT AUTHORITY\LOCAL SERVICE,book\SUPPORT_388945a0,book\IWAM_SRV5,book\IUSR_SRV5,book\IIS_WPG,ASPUSER,book\IUSR_SRV3,book\IUSR_SRV6,book\itd08
    本地策略/安全选项
    Microsoft 网络服务器
    策略 设置
    Microsoft 网络服务器: 对通信进行数字签名(如果客户端允许) 已启用
    Microsoft 网络服务器: 对通信进行数字签名(始终) 已启用
    网络安全
    策略 设置
    网络安全: LAN 管理器身份验证级别 仅发送 NTLM 响应
    域成员
    策略 设置
    域成员: 对安全通道数据进行数字加密或数字签名(始终) 已启用
    域控制器
    策略 设置
    域控制器: LDAP 服务器签名要求
    其它
    策略 设置
    审核: 强制审核策略子类别设置(Windows Vista 或更高版本)替代审核策略类别设置 已启用
    系统服务
    Windows Time (启动模式: 自动)
    权限
    类型 名称 权限
    允许 NT AUTHORITY\SYSTEM 完全控制
    允许 BUILTIN\Administrators 完全控制
    允许 book\Domain Users 完全控制
    允许 NT AUTHORITY\INTERACTIVE 读取
    正在审核
    类型 名称 访问
    故障 Everyone 完全控制
    高级审核配置
    帐户登录
    策略 设置
    审核 Kerberos 身份验证服务 成功,失败
    帐户管理
    策略 设置
    审核计算机帐户管理 成功
    审核通讯组管理 成功
    审核安全组管理 成功
    审核用户帐户管理 成功,失败
    详细跟踪
    策略 设置
    审核进程创建 成功
    审核进程终止 成功
    DS 访问
    策略 设置
    审核目录服务访问 成功
    审核目录服务更改 成功
    登录/注销
    策略 设置
    审核注销 成功
    审核登录 成功,失败
    审核网络策略服务器 成功,失败
    审核其他登录/注销事件 成功
    对象访问
    策略 设置
    审核其他对象访问事件 成功
    策略更改
    策略 设置
    审核身份验证策略更改 成功
    审核授权策略更改 成功
    系统
    策略 设置
    审核安全状态更改 成功
    管理模板
    从中央存储检索到的策略定义(ADMX 文件)。
    系统/系统还原
    策略 设置 注释
    用户配置(已启用)
    策略
    管理模板
    从中央存储检索到的策略定义(ADMX 文件)。
    网络/脱机文件
    策略 设置 注释
    <a gpmc_settingdescription="确定在用户注销时是否完全同步脱机文件。

    此设置也禁用“脱机文件”选项卡上的“注销前同步所有脱机文件”选项。这样做可以在某项设置控制该选项时防止用户对其进行更改。

    如果启用此设置,脱机文件将完全同步。完全同步可确保脱机文件是完整的并且是最新的。

    如果禁用此设置,系统将只执行快速同步。快速同步可确保文件的完整性,但不确保它们是最新的。

    如果未配置此设置,则默认情况下,系统将执行快速同步,但是用户可以更改此选项。

    “计算机配置”和“用户配置”文件夹中均包括此设置。如果对这两项设置都进行了配置,则“计算机配置”中的设置优先于“用户配置”中的设置。

    提示: 若要在不更改设置的情况下更改同步方式,请在 Windows 资源管理器的“工具”菜单上单击“文件夹选项”,再单击“脱机文件”选项卡,然后选择“注销前同步所有脱机文件”选项。" gpmc_settingname="注销前同步所有脱机文件" gpmc_settingpath="用户配置/管理模板/网络/脱机文件" gpmc_supported="仅 Windows Server 2003、Windows XP 和 Windows 2000 操作系统" href="javascript:void();" onclick="javascript:showExplainText(this); return false;">注销前同步所有脱机文件
    已禁用


    • 已编辑 GP3_deng 2016年9月26日 2:42
    2016年9月26日 0:53

答案

  • 你好!

    这个错误是由于默认域策略应用到域控的OU上报错的,那么对应得客户端就是域控了。

    >>>域控是指这台服务器上安装了active directory domain service 这个角色。不是应用哪个域策略决定域控的。

    我回忆报错前我进行的操作,发现这样一个问题:之前默认域控的策略链接在域下,我把它迁移至Domain Controllers并取消域下的链接,报错出现。我尝试对这个策略进行不同的链接方式,发现只要该策略链接Domain Controllers,就会出现改报错。另外,策略的设置如下,请问是策略设置有问题,还是其他原因呢

    >>>我漏看了这点。这个问题可能就是由于你这个操作引起的, 因为域控的安全设置策略优先于域的安全策略。

    这里有个相似的帖子,您可以参考一下。

    https://social.technet.microsoft.com/Forums/windowsserver/en-US/3a20ef93-2394-4089-bc28-68f26ea79048/domain-security-policy-vs-domain-controller-security-policy?forum=winserverDS

    谢谢。


    Please remember to mark the replies as answers if they help and unmark them if they provide no help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2016年9月30日 2:52
    版主

全部回复

  • 你好!

    这个问题可能是由组策略客户端扩展去加载以下路径下的历史文件引起的。

    users\All Users\Microsoft\Group Policy\History\<GUID>\Preferences

    尝试删除损坏以上路径的文件大小为0kbXML文件或者本地的XML文件。

    然后运行gpupdate /force看看这个问题是否依然存在。

    谢谢。



    Please remember to mark the replies as answers if they help and unmark them if they provide no help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.


    2016年9月27日 13:24
    版主
  • 你好!

    我没有找到你说的路径,请问是 C:\Users\Default\AppData\Local\Microsoft\Windows\History这个路径嘛?

    另外,我想问下 C:\Windows\SYSVOL\domain  目录下我对比了一下其他域控,发现多了 Policies_NTFRS_240ce51b 和  scripts_NTFRS_00175256  这两个文件夹,请问和这些有关系吗?

    2016年9月28日 0:21
  • 你好!

    我没有找到你说的路径,请问是 C:\Users\Default\AppData\Local\Microsoft\Windows\History这个路径嘛?

    >>>不是的,就是C:\users\All Users\Microsoft\Group Policy\History\<GUID>\Preferences这个路径。 这个路径中有隐藏的文件夹,如果你找不到相应的文件,尝试在地址栏中输入文件名。

    另外,我想问下 C:\Windows\SYSVOL\domain  目录下我对比了一下其他域控,发现多了 Policies_NTFRS_240ce51b   scripts_NTFRS_00175256  这两个文件夹,请问和这些有关系吗?

    >>>默认情况下,这个路径下只有两个文件夹:policiesscripts

    谢谢。


    Please remember to mark the replies as answers if they help and unmark them if they provide no help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2016年9月29日 8:23
    版主
  • 这个错误是由于默认域策略应用到域控的OU上报错的,那么对应得客户端就是域控了。而我在域控上面C:\users\All Users\Microsoft\Group Policy下没有发现目标,而且有几台域控C:\users\All Users\Microsoft\下根本就没有Group Policy这个文件夹

    2016年9月29日 9:22
  • 你好!

    这个错误是由于默认域策略应用到域控的OU上报错的,那么对应得客户端就是域控了。

    >>>域控是指这台服务器上安装了active directory domain service 这个角色。不是应用哪个域策略决定域控的。

    我回忆报错前我进行的操作,发现这样一个问题:之前默认域控的策略链接在域下,我把它迁移至Domain Controllers并取消域下的链接,报错出现。我尝试对这个策略进行不同的链接方式,发现只要该策略链接Domain Controllers,就会出现改报错。另外,策略的设置如下,请问是策略设置有问题,还是其他原因呢

    >>>我漏看了这点。这个问题可能就是由于你这个操作引起的, 因为域控的安全设置策略优先于域的安全策略。

    这里有个相似的帖子,您可以参考一下。

    https://social.technet.microsoft.com/Forums/windowsserver/en-US/3a20ef93-2394-4089-bc28-68f26ea79048/domain-security-policy-vs-domain-controller-security-policy?forum=winserverDS

    谢谢。


    Please remember to mark the replies as answers if they help and unmark them if they provide no help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2016年9月30日 2:52
    版主