locked
網域使用者無法進行GPO套用 RRS feed

  • 問題

  • 你好,我們網域環境中有配置登入執行檔,當使用者登入電腦後會自動掛載網路磁碟機,但是最近突然間都不會正常執行,我在client(windows7)上執行gpupdate /force會顯示,"Windows 無法套用 Group Policy Registry 設定。",請問這會是什麼問題呢??
    2018年9月4日 上午 06:39

解答

  • 另外,再重看了一次你第一次貼的圖,其中使用中的GPO似乎不多。(不知是不是都設定Default Domain Policy中)

    若是GPO不多且真的沒辦法的情況下,可以考慮 【Reset Default Domain Policy】。(但,請考慮清除是否真的沒辦法了,再這麼做。)

    附帶一提,微軟的文件中有提到,"除非必要,否則不要修改default domain policy 或 default domain controller policy"
    原文節錄如下
    出處1:"Do not modify the default domain policy or default domain controller policy unless necessary. Instead, create a new GPO at the domain level and set it to override the default settings in the default policies. "
    出處2:"As a best practice, you should configure the Default Domain Policy GPO only to manage the default Account Policies settings, Password Policy, Account Lockout Policy, and Kerberos Policy."

    若真沒辦法了而也打算reset它,那請先研究一下這篇
    Restore Default Domain Policy and Default Domain Controller GPO settings to default

    • 已標示為解答 a810162 2018年9月13日 上午 03:28
    2018年9月12日 上午 03:41

所有回覆

  • 我在群組原則管理發現"default domain policy"的設定頁籤會出現,找不到路徑的錯誤,實際確認真的沒有這個資料夾與檔案,請問這樣有辦法修復嗎???


    • 已編輯 a810162 2018年9月4日 上午 08:00
    2018年9月4日 上午 07:28
  • 這是你的測試環境嗎?
    個人的小小建議,不要將你公司的相關資訊這麼容易的暴露出來.....(查了一下好像是竹科的公司呢..)

    看了一下你的圖,有二個問題
    1.你的日期時間是2112/3/11 下午1:54,日期時間有點怪?
    2.找不到路徑的那個錯誤,是指無法連到那台伺服器,要確認一下那台伺服器還在嗎?
    2018年9月4日 上午 07:48
  • 好的,感謝你的告知,已修改。

    那個日期顯示是公司憑證的到期日,我確認日期沒錯是2018/9/4,錯誤訊息顯示找不到對應的目錄檔案,但是主機是可以連線的,而且我有四台DC每一台都沒有此檔案,不知道是什麼原因造成...

    2018年9月4日 上午 08:16
  • 日期的部份看起來是我誤會了,你說的沒錯它應該是憑證的到期日。

    至於圖中找不到的那個部份,它應該是被刪除了!(先前我說錯了!)。圖中的那個錯誤指的是設定值無法載入。
    它是指你Default Domain Policy的設定中,找到[電腦設定]>[喜好設定]>[Windows設定]>[登錄]
    你檢查一下,這裡面是否有加了什麼設定(建議先移除相關的設定,移除前建議要備份唷~)


    • 已編輯 MSSlave 2018年9月6日 下午 02:37
    2018年9月6日 上午 08:20
  • 我確認發現裡面沒有設定,真奇怪...

    2018年9月6日 上午 09:39
  • 希望這篇討論能對您有幫助,
    討論提到請檢查 DFS 複寫狀態
    Group Policy Error:  GP Calls for Registry.xml but it shouldn't....

    蘇老碎碎念
    資訊無涯,回頭已不見岸
    Facebook - 微軟台灣官方論壇愛好者俱樂部

    論壇不是神壇,沒人會通靈知道問題狀況
    請正確簡述標題及詳述狀況
    如何在論壇正確發問,可以參考iThome的文章:
    如何問到我要的答案

    2018年9月6日 下午 01:20
    版主
  • 你可以試著直接在那個路徑下新增一個空白檔案,檔名就叫registry.xml試看看。
    請參考這篇 Default Domain Policy missing Preferences\Registry\Registry.xml
    可直接按[view best answer]

    另建議先備份GPO的相關設定。


    • 已編輯 MSSlave 2018年9月6日 下午 02:45
    2018年9月6日 下午 02:42
  • 我新增一個空白的xml,可是還是沒辦法完成gpupdate /force,現在顯示xml(0,0)有錯誤,會不會是因為他是空白的關係??

    2018年9月7日 上午 02:38
  • OK,剛測了一下,確實它不能是空白的檔案。

    但沒關係,你可以自已另開新的一個GPO,並在這個GPO中去[電腦設定]>[喜好設定]>[Windows設定]>[登錄]裡
    隨便新增一個設定值。然後你再去相對應的那個路徑下 \\<domain name>\\SYSVOL\<domain name>\Policies\{UID}\Machine\Preferences\Registry 就可以看到你剛剛設定的那個檔案。

    把這個檔案,COPY到你新建空白檔的那個位置,
    再去編輯Default Domain Policy,這時在登錄的位置,就會看到你剛剛的設定值,接著把那個設定清除。
    然後關閉編輯,reflash 一下錯誤應該就會消失了。

    2018年9月7日 上午 04:20
  • 你好,最近遭遇問題比較多,我測試照您的方法新建新的GPO,在新的GPO中修改登錄值,然後覆蓋到Default Domain Policy的目錄中。但是當我要去修改新增的登錄值卻出現以下錯誤訊息,不讓我進行操作。

    請問有遇過這狀況嗎?


    2018年9月11日 上午 09:50
  • 我測試的結果並不會出現你這樣的錯誤,而是可以在Default Domain Policy的[電腦設定]>[喜好設定]>[Windows設定]>[登錄]中看到我另外新增的登錄設定值。
    請問你是將 Registry.xml 放在這個路徑下嗎?\\<Domain Name>\SYSVOL\<Domain Name>\Policies\{Default Domain Policy UID}\MACHINE\Preferences\Registry\

    另外,從你的錯誤畫面看起來,應該是XML的內容有錯。
    請確認一下,你那個XML檔內容是否也是類似如此?
    <?xml version="1.0" encoding="utf-8"?>
    <RegistrySettings clsid="{XXXXXXXX}"><Registry clsid="{XXXXXXXXX}" name="test" status="test" image="5" changed="2018-09-12 03:05:34" uid="{XXXXXXXXXXXXXXXXXXX}"><Properties action="C" displayDecimal="1" default="0" hive="HKEY_LOCAL_MACHINE" key="SOFTWARE\Microsoft" name="test" type="REG_SZ" value="1"/></Registry>
    </RegistrySettings>

    2018年9月12日 上午 03:15
  • 另外,再重看了一次你第一次貼的圖,其中使用中的GPO似乎不多。(不知是不是都設定Default Domain Policy中)

    若是GPO不多且真的沒辦法的情況下,可以考慮 【Reset Default Domain Policy】。(但,請考慮清除是否真的沒辦法了,再這麼做。)

    附帶一提,微軟的文件中有提到,"除非必要,否則不要修改default domain policy 或 default domain controller policy"
    原文節錄如下
    出處1:"Do not modify the default domain policy or default domain controller policy unless necessary. Instead, create a new GPO at the domain level and set it to override the default settings in the default policies. "
    出處2:"As a best practice, you should configure the Default Domain Policy GPO only to manage the default Account Policies settings, Password Policy, Account Lockout Policy, and Kerberos Policy."

    若真沒辦法了而也打算reset它,那請先研究一下這篇
    Restore Default Domain Policy and Default Domain Controller GPO settings to default

    • 已標示為解答 a810162 2018年9月13日 上午 03:28
    2018年9月12日 上午 03:41
  • 我在我測試環境新增一個新的GPO,並在新的GPO上建立登錄項目,確實會在對應的資料夾底下產生新registy.xml。但是當我把建立的登錄項目刪除後,對應的Registy.xml就會跟著消失。是不是如果沒有設定本來就不會出現此檔案呢???

    如果是這樣,系統的GPO還一直去查找此檔案也是很奇怪...

    我想日後再找時間將所有的DC依序重新開機看看,目前是不影響企業運作,此狀況日後再觀察好了,感謝大家的幫忙,謝謝~

    2018年9月13日 上午 03:28
  • ”......是不是如果沒有設定本來就不會出現此檔案呢???..."
    原本來說是這樣沒錯。

    但若原本在登錄內有設定,卻沒有從編輯裡去清掉設定,而是直接將那個檔案刪除,就會看到那樣的找不到檔案的錯誤。

    2018年9月13日 上午 05:42
  • 原來如此,那可能有人動到設定,

    我再內部確認,感謝您的幫忙,謝謝。

    2018年9月20日 上午 09:14