以往,为了方便管理或者其它目的,我们将组策略中的用户策略通过GPMC下发(例如用户文件夹重定向),只需把这条策略链接至该用户的同级\上级OU,然后在“安全筛选”中选中该用户(或者用户所在的用户组)。然而在去年10月,封装一个虚拟机模版时,更新了win7 pro sp1 x64的所有安全补丁,因为是在原有的模版基础上做更新,因此没有全面测试(一些必要的测试,也是用系统的本地管理员登录进行的),直接用这个模版创建新的虚拟机给同事使用,同事用域用户登录后,发现基于用户的所有策略全部失效!!!
这时又受经验主义的影响,常规的sysvol检查、gpresult分析,浪费了大把时间。
思前想后,模版的前后差别就是一些 应用程序的版本和微软补丁数量。于是复制一个模版,从微软补丁入手,一个一个删,删一个测一次。删了KB3159398后,用户策略恢复。百度之:微软的KB3159398说明。微软有白纸黑字的说了这个补丁的影响,并且给出了解决的办法:
症状
所有用户组策略(包括那些在用户帐户或安全组上进行了安全筛选的用户组策略)都可能无法应用于加入域的计算机。
原因
如果组策略对象中缺少可能出现此问题读了Authenticated Users组的权限,或者如果您正在使用安全过滤和缺少阅读的域中的计算机组的权限。
解析度
要解决此问题,请使用组策略管理控制台(GPMC.MSC)并按照以下步骤之一进行操作:
- 在组策略对象(GPO)上添加带有读取权限的Authenticated Users组。
- 如果您正在使用安全筛选,请添加具有读取权限的域计算机组。
/* 原文谷歌翻译,能看懂大概意思吧*/
"解析度"中的2个无序列表内容,就是解决办法了。
第一个办法显然是不实际的。
第二个办法,意思就是要把想生效用户组策略的计算机对象也加入到安全筛选,这也意味着,只筛选或者委派命中用户\用户组就能生效策略的办法将不复存在。
通俗点说,打了KB3159398补丁后的计算机,要执行GPMC下发的用户组策略,该策略的安全筛选或者委派必须同时选中这台计算机和用户这2个对象!
当然,win7,确切的说,是Windows NT 6.1内核版本的操作系统,可以选择不安装这个补丁,或者卸载了事,可是win10,已经集成了这个补丁的,没办法卸载。更何况我们服务对象中,利用第三方软件来升级补丁的强迫症用户不在少数。(我在GPMC改了Windows Update服务器地址,防火墙拦截了主流的安全软件补丁下载流量(某60某管家之类).但还是会有漏网之鱼,也没办法天天围着这个事情转。)
所以,还是养成习惯,改变管理方法吧!
原文地址:http://blog.51cto.com/siteo/2107917