none
组策略刷新问题gpupdate /force 无效? RRS feed

  • 问题


  • 设置组策略不能生效便要使用gpupdate /force 。
    发现一个问题, 如果以前用gpedit.msc编辑过组策略,哪怕没有做过软件限制策略, 只要导入新的pol文件,gpupdate /force一下立即就有用.
    反之,如果安装系统后,从来没有进入过gpedit.msc,那么无论你怎么导入pol文件,刷新都没有用. 打开gpedit.msc可以很清楚的看到导入的新内容,但就不生效.(当然了,这时候你随便在组策略里修改一个什么东西,应用一下,新策略也就立即生效了)

    那有什么方法可以应付这种情况呢. 就是那种从来没有使用过gpedit.msc的机器,怎么能导入新策略,刷新生效呢. 总不能要求人家进入组策略,修改一下什么东西,然后应用确定一下吧.

    2010年7月18日 10:00

答案

全部回复

  • 这个恐怕没有办法。如果不执行一下组策略,MMC 控制台等于是没有加载过组策略模板。
     
    --
    Alexis Zhang
     
    https://mvp.support.microsoft.com/profile/jie
    http://blogs.itecn.net/blogs/alexis
     
    推荐以 NNTP Bridge 桥接新闻组方式访问论坛以获取最佳用户体验。
     
    本帖是回复帖,原帖作者是楼上的 "pizzaviat"
     
    设置组策略不能生效便要使用gpupdate /force 。
    发现一个问题, 如果以前用gpedit.msc编辑过组策略,哪怕没有做过软件限制策略, 只要导入新的pol
     
     
    2010年7月18日 10:08
    版主
  • 我也是遇到这个问题,真搞不懂MS怎么就不让组策略可以导出导入,安全模板都可以~无奈
    2012年4月20日 4:54
  • 组策略设置可以导出导入,但是导入后必须执行一次刷新,刷新不能在导入后自动执行。GPUPDATE /FORCE 的作用正是为此。
     
    --
    Alexis Zhang
     
    http://mvp.support.microsoft.com/profile/jie
    http://blogs.itecn.net/blogs/alexis
     
    推荐以 NNTP Bridge 桥接新闻组方式访问论坛以获取最佳用户体验。
     
    本帖是回复帖,原帖作者是楼上的 "ahdung_AI"
     
    我也是遇到这个问题,真搞不懂MS怎么就不让组策略可以导出导入,安全模板都可以~无奈
     
     
    2012年4月20日 23:56
    版主
  • 请问Alexis兄说的“可以导入导出”是指将registry.pol文件拷出拷入么,如果是,这不就是不支持的表现么,拷文件这是偏门,哪能跟正统的导入导出一样,所以才出现LZ的问题,即在从来没有使用过组策略的PC上,即便拷入registry.pol文件,怎么gpupdate和重启都不好使,而我的问题也正如次,如何通过脚本使这样一台PC的组策略生效?
    2012年4月21日 1:12
  • 另外顺道还想请教一个问题:

    在XP或者win7下,与时间服务器同步时间时,如果本机时间与NTP时间差距太大,经尝试~似乎相差1天就不允许同步了,会提示什么安全原因~总之很操蛋,请问,有什么方法能放开这个限制,无论时间相差多少,一律允许同步。谢谢!

    2012年4月21日 1:14
  • 微软提供的组策略导出导入方法就是直接转移 Windows\system32\GroupPolicy 中的设置,然后配合重启或 GPUPDATE /FORCE 刷新。
     
    如果要说有什么工具的话,就是在 Microsoft Security Compliance Manager 里面:
     
    http://www.microsoft.com/download/en/details.aspx?displaylang=en&id=16776
     
    有一个工具 Local GPO 可以导出导入组策略设置。
     
    --
    Alexis Zhang
     
    http://mvp.support.microsoft.com/profile/jie
    http://blogs.itecn.net/blogs/alexis
     
    推荐以 NNTP Bridge 桥接新闻组方式访问论坛以获取最佳用户体验。
     
    本帖是回复帖,原帖作者是楼上的 "ahdung_AI"
     
    请问Alexis兄说的“可以导入导出”是指将registry.pol文件拷出拷入么,如果是,这不就是不支持的表现么,拷文件这是偏门,哪能跟正统的导入导出一样,所以才出现LZ的问题,即在从来没有使用过组策略的PC上,即便拷入?
     
     
    • 已建议为答案 ahdung_AI 2012年4月22日 1:49
    2012年4月21日 22:48
    版主
  • 默认差距是 15 小时(54000 秒),差距超过 15 小时会不允许同步。
     
    可以修改注册表项:
     
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config 中的
    MaxNegPhaseCorrection 与 MaxPosPhaseCorrection
     
    将数值增大,或者直接设置为 0xFFFFFFFF。
     
    --
    Alexis Zhang
     
    http://mvp.support.microsoft.com/profile/jie
    http://blogs.itecn.net/blogs/alexis
     
    推荐以 NNTP Bridge 桥接新闻组方式访问论坛以获取最佳用户体验。
     
    本帖是回复帖,原帖作者是楼上的 "ahdung_AI"
     
    在XP或者win7下,与时间服务器同步时间时,如果本机时间与NTP时间差距太大,经尝试~似乎相差1天就不允许同步了,会提示什么安全原因~总之很操蛋,请问,有什么方法能放开这个限制,无论时间相差多少,一律允许同步。
     
     
    • 已建议为答案 ahdung_AI 2012年4月22日 1:49
    2012年4月21日 22:56
    版主
  • 非常感谢!!!Alexis兄的回答总是那么精准犀利~TKS

    2012年4月22日 2:10
  • 不客气,希望我的回答对你有帮助。
     
    --
    Alexis Zhang
     
    http://mvp.support.microsoft.com/profile/jie
    http://blogs.itecn.net/blogs/alexis
     
    推荐以 NNTP Bridge 桥接新闻组方式访问论坛以获取最佳用户体验。
     
    本帖是回复帖,原帖作者是楼上的 "ahdung_AI"
     
    非常感谢!!!Alexis兄的回答总是那么精准犀利~TKS
     
     
    2012年4月22日 22:06
    版主