locked
GPO突然無法套用,被拒絶的GPO理由 >>無法存取 RRS feed

  • 問題

  • 請教各位先進

    最近發現GPO無法套用成功的問題,簡述狀況如下:
    1.某些群組原則物件,在部份電腦上突然無法套用,但非全部的電腦
    2.這些群組原則物件,都已經存在很久了,但突然間無法套用
    3.若用乾淨PC的環境重新加入網域,就沒有問題
    4.問題都發生在一些已存在網域一段時間內的PC
    5.在有問題的PC,執行GPResult /H,查看被拒絶的GPO,那些原本應該被套用的原則,其拒絶的理由,皆顯示為"無法存取",而非"拒絕存取 (安全性篩選器)"
    6.但同樣的規則跟AD帳號,在沒問題的電腦上(如新加入網域),卻又可以正常套用
    7.查了DC上的Log,也沒有什麼錯誤訊息

    請問有什麼方法或步驟,可以在作一些驗証或除錯,請多指導,謝謝。
    2016年8月3日 下午 02:49

解答

  • 您好,

    請您將無法成功套用的GPO 安全性加入Authenticated Users就可以了.

    您可以參考之前討論GPO下的Authenticated User群組是否可刪除

    https://social.technet.microsoft.com/Forums/zh-TW/c6a69e09-9ddf-4cf7-866a-f0ac2b7c2160/gpoauthenticated-user?forum=winserver2012zhtw

    提供您參考,

    希望對您有所幫助

    謝謝.


    • 已編輯 MarkMa168 2016年8月4日 上午 12:50
    • 已標示為解答 F.Y 2016年8月4日 上午 04:21
    2016年8月4日 上午 12:45
  • 如果 GPO 在安全性篩選套用特定部門或群組,
    像是機敏性比較高的財務或者高層,
    不建議將 Auth Users 放入委派權限並給予讀取權限,
    請改加入 Domain Computers 並授予讀取權限

    因為授予 Auth Users 讀取權限,
    代表網域的每一個成員都可以用手動方式讀取這個 GPO 目錄底下的資料,
    若是 GPO 剛好又有設定掛載某一個區域的網路分享,
    會讓有心人士找到這個分享位置,並嘗試去讀取甚至進一步破解

    另外,這個狀況是從今年六月的 MS16-072 安全性更新開始做的更動,
    未來需要參考另一篇討論中的連結進行設定


    蘇老碎碎念
    資訊無涯,回頭已不見岸
    Facebook - 微軟台灣官方論壇愛好者俱樂部
    如何在論壇正確發問,請參考iThome的文章: 如何問到我要的答案

    • 已編輯 AskaSuModerator 2016年8月4日 上午 01:14
    • 已標示為解答 F.Y 2016年8月4日 上午 04:21
    2016年8月4日 上午 01:12
    版主

所有回覆