GPO'lar uygulanamaz; nedeni: Erişilemez, Boş veya Devre Dışı; Server 2012 R2 ve Windows 10

16

Windows Server 2012 R2 Etki Alanım var.

Dün, bir bilgisayarın (Windows 10 Pro çalıştıran) ağ sürücüsünün çalışması durdu.

Daha fazla araştırmadan sonra ( gpresult /h) TÜM grup ilkesi nesneleri bu nedenle başarısız oluyor Inaccessible, Empty, or Disabled.

Tüm GPO'ların hala var olduğunu ve hem (artık hem de yerel) etki alanı denetleyicilerinde etkinleştirildiğini onayladım. Ayrıca, aynı etki alanında ve LAN'da kesinlikle sorunsuz 20 makine daha var.

Ancak, test ettiğim ve aynı sorunla karşılaşan bir bilgisayar daha var! Bu, sunuculardaki sorunun olduğu anlamına mı geliyor?

gpresult /rbir istemcinin yerel DC1'den diğeri DC2'den GPO aldığını bildirir. Bu nedenle, belirli bir DC ile ilgili bir sorun değildir.

gpupdate /force hiçbir şey düzeltmedi (politikaların uygulandığını iddia etmesine rağmen).

Yerel ilkeler için kayıt defteri girdilerini silmeyi denedim (bu kılavuz /superuser/379908/how-to-clear-or-remove-domain-applied-group-policy-settings-after-leaving-the -do ) ve yeniden başlatma - aynı sorun.

Bu destek sayfasını Microsoft'tan buldum ( https://support.microsoft.com/en-us/kb/2976965 ), ancak yalnızca Windows 7 veya daha eski istemciler için geçerli olduğunu iddia ediyor.

Tüm makinelerim (hem sunucu hem de istemci) 64 bit sürümleri çalıştırıyor ve tamamen güncelleniyor. Emin olmak için hepsini yeniden başlattım.

active-directory  group-policy  windows-server-2012-r2  windows-10 
Daniel
kaynak
4
joeqwerty
Teşekkürler. Yorumunuz çözümün ipucunu verdi. Aşağıya bakınız.
Daniel

Yanıtlar:

19

Yama joeqwerty bağlantısını da kontrol edin .

Önemli ayrıntı var:

Bilinen Sorunlar

MS16-072, kullanıcı grubu ilkelerinin alındığı güvenlik içeriğini değiştirir. Bu tasarım gereği davranış değişikliği, müşterilerin bilgisayarlarını bir güvenlik açığından korur. MS16-072 yüklenmeden önce, kullanıcı güvenlik ilkeleri kullanılarak kullanıcı grubu ilkeleri alındı. MS16-072 yüklendikten sonra, makine grubu güvenlik bağlamı kullanılarak kullanıcı grubu ilkeleri alınır. Bu sorun aşağıdaki KB makaleleri için geçerlidir:

  • 3159398 MS16-072: Grup İlkesi için güvenlik güncelleştirmesinin açıklaması: 14 Haziran 2016
  • 3163017 Windows 10 için toplu güncelleştirme: 14 Haziran 2016
  • 3163018 Windows 10 Sürüm 1511 ve Windows Server 2016 için Teknik Güncelleştirme 4: 14 Haziran 2016
  • 3163016 Windows Server 2016 için Toplu Güncelleştirme Teknik Önizleme 5: 14 Haziran 2016

belirtiler

Kullanıcı hesaplarında veya güvenlik gruplarında veya her ikisinde birden güvenlik filtresi uygulanmış olanlar da dahil olmak üzere tüm kullanıcı Grup İlkeleri, etki alanına katılmış bilgisayarlara uygulanamayabilir.

Sebep olmak

Bu sorun, Grup İlkesi Nesnesinin Kimliği Doğrulanmış Kullanıcılar grubu için Okuma izinleri yoksa veya güvenlik filtrelemesi kullanıyorsanız ve etki alanı bilgisayarları grubu için Okuma izinleri yoksa oluşabilir.

çözüm

Bu sorunu gidermek için, Grup İlkesi Yönetim Konsolu'nu (GPMC.MSC) kullanın ve aşağıdaki adımlardan birini izleyin:

- Grup İlkesi Nesnesi'ne (GPO) Okuma İzinleri olan Kimliği Doğrulanmış Kullanıcılar grubunu ekleyin.
- Güvenlik filtrelemesi kullanıyorsanız, Etki Alanı Bilgisayarları grubunu okuma izniyle ekleyin.

Bu bağlantıya bakın Her şeyi açıklayan ve etkilenen GPO'ları onarmak için komut dosyası sunan MS16-072'yi dağıtın . Komut dosyası, Kimliği Doğrulanmış kullanıcılar, Kimliği Doğrulanmış kullanıcılar için izni olmayan tüm GPO'lara okuma izinleri ekler.

# Copyright (C) Microsoft Corporation. All rights reserved.

$osver = [System.Environment]::OSVersion.Version
$win7 = New-Object System.Version 6, 1, 7601, 0

if($osver -lt $win7)
{
    Write-Error "OS Version is not compatible for this script. Please run on Windows 7 or above"
    return
}

Try
{
    Import-Module GroupPolicy
}
Catch
{
    Write-Error "GP Management tools may not be installed on this machine. Script cannot run"
    return
}

$arrgpo = New-Object System.Collections.ArrayList

foreach ($loopGPO in Get-GPO -All)
{
    if ($loopGPO.User.Enabled)
    {
        $AuthPermissionsExists = Get-GPPermissions -Guid $loopGPO.Id -All | Select-Object -ExpandProperty Trustee | ? {$_.Name -eq "Authenticated Users"}
        If (!$AuthPermissionsExists)
        {
            $arrgpo.Add($loopGPO) | Out-Null
        }
    }
}

if($arrgpo.Count -eq 0)
{
    echo "All Group Policy Objects grant access to 'Authenticated Users'"
    return
}
else
{
    Write-Warning  "The following Group Policy Objects do not grant any permissions to the 'Authenticated Users' group:"
    foreach ($loopGPO in $arrgpo)
    {
        write-host "'$($loopgpo.DisplayName)'"
    }
}

$title = "Adjust GPO Permissions"
$message = "The Group Policy Objects (GPOs) listed above do not have the Authenticated Users group added with any permissions. Group policies may fail to apply if the computer attempting to list the GPOs required to download does not have Read Permissions. Would you like to adjust the GPO permissions by adding Authenticated Users group Read permissions?"

$yes = New-Object System.Management.Automation.Host.ChoiceDescription "&Yes", `
    "Adds Authenticated Users group to all user GPOs which don't have 'Read' permissions"
$no = New-Object System.Management.Automation.Host.ChoiceDescription "&No", `
    "No Action will be taken. Some Group Policies may fail to apply"
$options = [System.Management.Automation.Host.ChoiceDescription[]]($yes, $no)
$result = $host.ui.PromptForChoice($title, $message, $options, 0)  
$appliedgroup = $null
switch ($result)
{
    0 {$appliedgroup = "Authenticated Users"}
    1 {$appliedgroup = $null}
}
If($appliedgroup)
{
    foreach($loopgpo in $arrgpo)
    {
        write-host "Adding 'Read' permissions for '$appliedgroup' to the GPO '$($loopgpo.DisplayName)'."
        Set-GPPermissions -Guid $loopgpo.Id -TargetName $appliedgroup -TargetType group -PermissionLevel GpoRead | Out-Null
    }
}

Eğer (benim yaptığım gibi) ziyade Alan Bilgisayarlar için okuma izni ayarlamak preffer ise Doğrulanmış Kullanıcılar sadece bu değişiklik daha 0 {$appliedgroup = "Authenticated Users"}buna0 {$appliedgroup = "Domain Computers"}

yagmoth555
kaynak
Görünüşe göre bunu geçici olarak cevap olarak işaretleyeceğim. Güvenlik filtrelemeye okuma erişimi olan “Etki Alanı Bilgisayarları” ekledim ve şimdi sorunlu bilgisayarlardan en az biri çalışıyor. Bu yüzden bir yama otomatik olarak kendini Windows Update aracılığıyla sunucuya uyguladığını ve bu soruna neden olduğunu varsayıyorum. Şimdi bir GPO Temsilcisi sekmesi ile Güvenlik Filtreleme bölümü arasındaki farkın ne olduğunu merak ediyorum ... okuma zamanı
Daniel
2
Kargaşaya biraz eklemek için, ilkeyi uygulamak için kullanıcıyı ve bilgisayarı içeren grubu eklemek zorunda kaldım. Yalnızca bir kullanıcı veya bilgisayar eklemek ilkenin uygulanmamasına neden olur. Etki Alanı Bilgisayarları grubu olması gerekmez; ilke geçerliyse, güvenlik filtrelemesinde yalnızca kullanıcı ve bilgisayar bileşiminin geçerli olması gerekir.
Adwaenyth
Şirketimiz için bu sorunu düzeltti -> Grup İlkesi Nesnesi (GPO) üzerinde Okuma İzinleri ile Kimliği Doğrulanmış Kullanıcılar grubunu ekleyin. Büyük thx
Beyin Foo Uzun
Herkesin bu GPO'nun uygulanmasını istemediğim için gerçek bir çözüm gibi görünmüyor, sadece gruptaki belirli insanlar. MS neden hala Windows Update'te dağıtmaktadır? Her şeyi kırar.
Sephethus
@Sephethus Etki alanı bilgisayarını doğru eklemek için delege sekmesini kullanın, GPO her zamanki gibi çalışacaktır. GPO'nuzda herhangi bir bilgisayar ayarı yoksa, etki alanı bilgisayarını güvenlik filtresine eklemek de hiçbir şeyin geçerli olmasını sağlamaz, ancak delege sekmesi bence daha iyidir.
yagmoth555
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.