GPO लागू करने में विफल; कारण: दुर्गम, खाली या अक्षम; सर्वर 2012 R2 और विंडोज 10


16

मेरे पास एक Windows Server 2012 R2 डोमेन है।

कल, एक कंप्यूटर (विंडोज 10 प्रो चल रहा है) नेटवर्क ड्राइव ने काम करना बंद कर दिया।

आगे की जांच ( gpresult /h) के बाद यह प्रतीत होता है कि सभी समूह नीति ऑब्जेक्ट कारण के साथ विफल हो रहे हैं Inaccessible, Empty, or Disabled

मैंने पुष्टि की है कि सभी GPO अभी भी मौजूद हैं और दोनों (निरर्थक और स्थानीय) डोमेन नियंत्रकों पर सक्षम हैं। इसके अलावा, एक ही डोमेन और LAN पर 20 अन्य मशीनें हैं जिनमें कोई समस्या नहीं है।

हालाँकि, एक अन्य कंप्यूटर है जिसे मैंने परीक्षण किया था जो उसी समस्या के साथ प्रस्तुत किया गया था! क्या इसका मतलब है कि सर्वर के साथ समस्या है?

gpresult /rरिपोर्ट करता है कि एक ग्राहक को स्थानीय डीसी 1 से जीपीओ मिल रहा है, और दूसरे को डीसी 2 से। तो यह एक विशिष्ट डीसी से संबंधित समस्या नहीं है।

gpupdate /force निश्चित कुछ भी नहीं (हालांकि यह दावा किया गया था कि नीतियां लागू की गई थीं)।

मैंने स्थानीय नीतियों के लिए रजिस्ट्री प्रविष्टियों को हटाने की कोशिश की (इस गाइड के बाद /superuser/379908/how-to-clear-or-remove-domain-applied-group-policy-settings-after-leaving-the -d ) और रिबूटिंग - एक ही समस्या।

मुझे यह समर्थन पृष्ठ Microsoft ( https://support.microsoft.com/en-us/kb/2976965 ) से मिला, लेकिन यह दावा करता है कि यह केवल विंडोज 7 या पहले के ग्राहकों पर लागू होता है।

मेरी सभी मशीनें (सर्वर और क्लाइंट दोनों) 64-बिट संस्करण चला रही हैं और पूरी तरह से अपडेट हैं। मैंने उन सभी को केवल सुनिश्चित करने के लिए रिबूट किया है।



धन्यवाद। आपकी टिप्पणी ने समाधान के लिए सुराग प्रदान किया। निचे देखो।
डैनियल

जवाबों:


19

पैच joeqwerty लिंक भी जांचें ।

महत्वपूर्ण विवरण है:

ज्ञात पहलु

MS16-072 सुरक्षा संदर्भ को बदल देता है जिसके साथ उपयोगकर्ता समूह नीतियां पुनर्प्राप्त की जाती हैं। यह बाय-डिज़ाइन व्यवहार परिवर्तन ग्राहकों के कंप्यूटर को सुरक्षा भेद्यता से बचाता है। MS16-072 स्थापित होने से पहले, उपयोगकर्ता की सुरक्षा संदर्भ का उपयोग करके उपयोगकर्ता समूह नीतियों को पुनर्प्राप्त किया गया था। MS16-072 स्थापित होने के बाद, उपयोगकर्ता समूह नीतियों को मशीन सुरक्षा संदर्भ का उपयोग करके पुनर्प्राप्त किया जाता है। यह समस्या निम्न KB आलेखों के लिए लागू होती है:

  • 3159398 MS16-072: समूह नीति के लिए सुरक्षा अद्यतन का विवरण: 14 जून, 2016
  • 3163017 विंडोज 10 के लिए संचयी अद्यतन: 14 जून, 2016
  • 3163018 विंडोज 10 संस्करण 1511 और विंडोज सर्वर 2016 के लिए संचयी अद्यतन तकनीकी पूर्वावलोकन 4: 14 जून, 2016
  • 3163016 विंडोज सर्वर 2016 के लिए संचयी अद्यतन तकनीकी पूर्वावलोकन 5: 14 जून 2016

लक्षण

सभी उपयोगकर्ता समूह नीति, जिनमें उपयोगकर्ता खातों या सुरक्षा समूहों या दोनों पर सुरक्षा फ़िल्टर किए गए हैं, डोमेन में शामिल कंप्यूटरों पर लागू होने में विफल हो सकते हैं।

कारण

यह समस्या तब हो सकती है यदि समूह नीति ऑब्जेक्ट प्रमाणीकृत उपयोगकर्ता समूह के लिए पठन अनुमतियाँ अनुपलब्ध है या यदि आप सुरक्षा फ़िल्टरिंग का उपयोग कर रहे हैं और डोमेन कंप्यूटर समूह के लिए पठन अनुमतियाँ अनुपलब्ध हैं।

संकल्प

इस समस्या को हल करने के लिए, समूह नीति प्रबंधन कंसोल (GPMC.MSC) का उपयोग करें और निम्न चरणों में से एक का पालन करें:

- समूह नीति ऑब्जेक्ट (GPO) पर पढ़ें अनुमतियों के साथ प्रमाणित उपयोगकर्ता समूह जोड़ें।
- यदि आप सुरक्षा फ़िल्टरिंग का उपयोग कर रहे हैं, तो पठन अनुमति के साथ डोमेन कंप्यूटर समूह जोड़ें।

इस लिंक को देखें MS16-072 को तैनात करें जो सब कुछ समझाता है और प्रभावित GPO की मरम्मत के लिए स्क्रिप्ट प्रदान करता है। स्क्रिप्ट में लिखा गया है कि प्रमाणित उपयोगकर्ता उन सभी GPO की अनुमतियों को पढ़ते हैं जिनके पास प्रमाणीकृत उपयोगकर्ताओं के लिए कोई अनुमति नहीं है।

# Copyright (C) Microsoft Corporation. All rights reserved.

$osver = [System.Environment]::OSVersion.Version
$win7 = New-Object System.Version 6, 1, 7601, 0

if($osver -lt $win7)
{
    Write-Error "OS Version is not compatible for this script. Please run on Windows 7 or above"
    return
}

Try
{
    Import-Module GroupPolicy
}
Catch
{
    Write-Error "GP Management tools may not be installed on this machine. Script cannot run"
    return
}

$arrgpo = New-Object System.Collections.ArrayList

foreach ($loopGPO in Get-GPO -All)
{
    if ($loopGPO.User.Enabled)
    {
        $AuthPermissionsExists = Get-GPPermissions -Guid $loopGPO.Id -All | Select-Object -ExpandProperty Trustee | ? {$_.Name -eq "Authenticated Users"}
        If (!$AuthPermissionsExists)
        {
            $arrgpo.Add($loopGPO) | Out-Null
        }
    }
}

if($arrgpo.Count -eq 0)
{
    echo "All Group Policy Objects grant access to 'Authenticated Users'"
    return
}
else
{
    Write-Warning  "The following Group Policy Objects do not grant any permissions to the 'Authenticated Users' group:"
    foreach ($loopGPO in $arrgpo)
    {
        write-host "'$($loopgpo.DisplayName)'"
    }
}

$title = "Adjust GPO Permissions"
$message = "The Group Policy Objects (GPOs) listed above do not have the Authenticated Users group added with any permissions. Group policies may fail to apply if the computer attempting to list the GPOs required to download does not have Read Permissions. Would you like to adjust the GPO permissions by adding Authenticated Users group Read permissions?"

$yes = New-Object System.Management.Automation.Host.ChoiceDescription "&Yes", `
    "Adds Authenticated Users group to all user GPOs which don't have 'Read' permissions"
$no = New-Object System.Management.Automation.Host.ChoiceDescription "&No", `
    "No Action will be taken. Some Group Policies may fail to apply"
$options = [System.Management.Automation.Host.ChoiceDescription[]]($yes, $no)
$result = $host.ui.PromptForChoice($title, $message, $options, 0)  
$appliedgroup = $null
switch ($result)
{
    0 {$appliedgroup = "Authenticated Users"}
    1 {$appliedgroup = $null}
}
If($appliedgroup)
{
    foreach($loopgpo in $arrgpo)
    {
        write-host "Adding 'Read' permissions for '$appliedgroup' to the GPO '$($loopgpo.DisplayName)'."
        Set-GPPermissions -Guid $loopgpo.Id -TargetName $appliedgroup -TargetType group -PermissionLevel GpoRead | Out-Null
    }
}

आप के लिए डोमेन कंप्यूटर्स पढ़ने की अनुमति सेट करने के लिए नहीं बल्कि (के रूप में मैं करता हूँ) preffer हैं से प्रमाणीकृत उपयोगकर्ता सिर्फ इस बदल 0 {$appliedgroup = "Authenticated Users"}कि करने के लिए0 {$appliedgroup = "Domain Computers"}


लगता है कि मैं उत्तर के रूप में इसे अस्थायी रूप से चिह्नित करूंगा। मैंने अपनी सुरक्षा फ़िल्टरिंग के लिए रीड एक्सेस के साथ "डोमेन कंप्यूटर्स" को जोड़ा और अब समस्या वाले कम से कम एक कंप्यूटर काम कर रहा है। इसलिए मुझे लगता है कि Windows अद्यतन के माध्यम से सर्वर पर स्वचालित रूप से एक पैच लागू होता है और इस समस्या का कारण बनता है। अब मैं यह भी सोच रहा हूं कि GPO और सुरक्षा फ़िल्टरिंग अनुभाग के लिए डेलिगेशन टैब में क्या अंतर है ... पढ़ने के लिए समय
डैनियल

2
भ्रम के लिए थोड़ा जोड़ने के लिए, मेरे लिए यह आवश्यक था कि उपयोगकर्ता और सुरक्षा समूह को जोड़ने के लिए सुरक्षा नीति को लागू करने के लिए कंप्यूटर युक्त समूह को जोड़ना होगा। केवल एक (उपयोगकर्ता या कंप्यूटर) को जोड़ने से नीति लागू नहीं होगी। यह जरूरी नहीं है कि डोमेन कंप्यूटर समूह ही हो, बस उपयोगकर्ता और कंप्यूटर का संयोजन सुरक्षा फ़िल्टरिंग में मान्य होना चाहिए यदि नीति लागू होनी चाहिए।
अदवनेथ

इसने हमारी कंपनी के लिए इसे तय किया -> समूह नीति ऑब्जेक्ट (GPO) पर पढ़ें अनुमतियों के साथ प्रमाणित उपयोगकर्ता समूह जोड़ें। बिग thx
ब्रेन फू लॉन्ग

यह वास्तविक समाधान प्रतीत नहीं होता है क्योंकि मैं नहीं चाहता कि हर कोई उस GPO को लागू करे, जो समूह के विशिष्ट लोगों के लिए है। एमएस अभी भी विंडोज अपडेट में इसे क्यों तैनात कर रहा है? यह सब कुछ तोड़ देता है।
सेफेथस

@ Sephethus डोमेन कंप्यूटर को सही जोड़ने के लिए डीलेग्यूशन टैब का उपयोग करें, GPO हमेशा की तरह काम करेगा। यदि आपकी GPO को कोई कंप्यूटर सेटिंग नहीं मिली, तो डोमेन कंप्यूटर को सुरक्षा फ़िल्टर में जोड़ने से कुछ भी लागू नहीं होगा, लेकिन मेरे विचार में डीलेग्यूशन टैब बेहतर है।
yagmoth555
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.