none
網域群組原則問題 RRS feed

  • 問題

  •  

    請為各位先進

    在網域的預設群組原則A設定關閉防火牆後...(全公司的XP防火牆都被關閉了*強制設為否*)

    然後在網域內的其中一個OU中新增一個獨立的群組原則B(不受網域群組原則控管,不繼承)

    但是在B群組內的卻仍受A的原則控管,請問我有哪邊還需要設定或注意的嗎?

    PS:之前都很正常,自從更新到gpmcSP1之後就這樣了.....

    感謝回覆,謝謝。

    2008年6月6日 上午 09:21

所有回覆

  • 建議單獨建立一條 GPO, 並且套用到適當的 OU; 而非使用 default domain group polcy

     

    2008年6月6日 上午 10:18
  • 謝謝RYAN LIAO您的回覆

    目前我在網域下的群組原則是"新建立的"(目前是關閉防火牆)

    然後我在網域內的B部門下"新建"一個群組原則(勾選不繼承)

    然後用B部門的帳號登入網域,並Run gpupdate /force

    但是防火牆一樣是被關閉的(也檢查過B的群組原則,確定未設定任何規則或是設定成打開防火牆也沒用)

    所以這個是?  群組原則的否定權有大於下方的任何群組原則的不繼承嗎?

    還是有其他因素?

    感謝回覆的先進,謝謝。

     

    2008年6月9日 上午 09:10
  • 感謝RYAN LIAO 大的回覆

    相關文章我都去看過了也做了一些測試

    目前發現的是"電腦設定"跟"使用者設定"所套用的群組原則不同

    電腦設定是套用了網域的群組原則,而使用者設定則是套用了我新建在我部門的不繼承群組原則

    我另外去一般的USER電腦上看過,他們的電腦皆是套用網域的群組原則而已

     

    以下兩項我都設定好了,重開機並再次登入Run gpresult後結果仍然相同......

    1. Enable "Always wait for the network at computer startup and logon"
      Computer Configuration\Administrative Templates\System\Logon\ Always wait for the network at computer startup and logon
    2. Enable 慢速連線
      Computer Configuratoin\Administrative Templates\System\Group Policy\Group Policy slow link detection

    目前想說刪除所有的群組原則再重新建立,但因為上班時間影響頗鉅,只能挑假日來做測試
    有其他方法能測試或解除目前的問題嗎?感謝。

    2008年6月10日 上午 08:21
  •  vincent0712 寫信:

    感謝RYAN LIAO 大的回覆

    相關文章我都去看過了也做了一些測試

    目前發現的是"電腦設定"跟"使用者設定"所套用的群組原則不同

    電腦設定是套用了網域的群組原則,而使用者設定則是套用了我新建在我部門的不繼承群組原則

    我另外去一般的USER電腦上看過,他們的電腦皆是套用網域的群組原則而已

    請問上述電腦設定與使用者設定的描述是在說明什麼? 什麼叫做電腦設定是套用了網域的群組原則?

     

    以下兩項我都設定好了,重開機並再次登入Run gpresult後結果仍然相同......

    1. Enable "Always wait for the network at computer startup and logon"
      Computer Configuration\Administrative Templates\System\Logon\ Always wait for the network at computer startup and logon
    2. Enable 慢速連線
      Computer Configuratoin\Administrative Templates\System\Group Policy\Group Policy slow link detection

    目前想說刪除所有的群組原則再重新建立,但因為上班時間影響頗鉅,只能挑假日來做測試
    有其他方法能測試或解除目前的問題嗎?感謝。

     

     

    1. 請問你套用的位置是 "computer configuration" 還是 " user configuration"?
      • 建議套用至 "computer configuration"
    2. 在用戶端電腦上執行 gpresult, 是否有看到你所建立的 GPO 有被套用到?
    3. 再者, 可以開啟 userenv 來檢查較詳細的資料. 方式如下
      http://forums.microsoft.com/technet-cht/ShowPost.aspx?PostID=2319151&SiteID=23
    2008年6月10日 上午 09:13
  •  

    RYAN LIAO大,抱歉我的詞意不清

     

    目前發現的是"電腦設定"跟"使用者設定"所套用的群組原則不同

    ↑的意思是說,在我電腦上看到的群組原則,電腦設定是套用網域的群組原則,使用者設定則是套用我部門的群組原則所設定的

        東西

     

    網域的群組原則設定關閉防火牆

    我部門的群組設定是開啟防火牆(不繼承)-------但是電腦防火牆還是一樣關閉的...

    以下是gpresult所列出的

     

    COMPUTER SETTINGS
    ------------------
        CN=xxx,CN=Computers,DC=xx ,DC=com,DC=tw
        上次套用的群組原則:     2008/6/11 at 下午 05:20:44
        套用的群組原則來自:     xx.xx.com.tw
        群組原則低速連結閾值: 500 kbps

        已套用的群組原則物件
        -----------
            xx Domain Policy
            xx Domain Policy

        下列 GPO 並未套用,因為它們被 WMI 篩選器
        --------------------------
            本機群組原則
                篩選 :  並未套用 (空)

        電腦是下列安全性群組的一部分:
        ----------------
            BUILTIN\Administrators
            Everyone
            Debugger Users
            BUILTIN\Users
            NT AUTHORITY\NETWORK
            NT AUTHORITY\Authenticated Users
            Domain Computers
            CERTSVC_DCOM_ACCESS


    USER SETTINGS
    --------------
        CN=xx OU=資訊部,DC=xx,DC=com,DC=tw
        上次套用的群組原則:     2008/6/11 at 下午 05:20:44
        套用的群組原則來自:     xx.xx.com.tw
        群組原則低速連結閾值: 500 kbps

        已套用的群組原則物件
        -----------
            IT Policy

        下列 GPO 並未套用,因為它們被 WMI 篩選器
        --------------------------
            本機群組原則
                篩選 :  並未套用 (空)
    **************************************************************************

    執行完%windir%\debug\usermode\userenv.log的結果如下

    USERENV(3a0.738) 19:16:34:341 ProcessAutoexec: Cannot process autoexec.bat.

    USERENV(3a0.b0) 07:21:26:082 ProcessGPOs: GetGPOInfo failed.
    USERENV(3a0.1c8) 07:31:28:076 GetGPOInfo:  Local GPO's gpt.ini is not accessible, assuming default state.

     

    我不知道該如何"只套用"COMPUTER SETTINGS...

    我需要把網域群組原則砍掉重新再建過新的嗎?

    感謝~

     

     

     

    2008年6月11日 上午 09:47
    1. 請問您所建立的 GPO 是否有在 "已套用的群組原則物件" 的名單中? 目前以套用的有兩個 xx domain policy. 其中一個應該是 default domain policy.
    2. 該用戶端電腦作業系統為何?
    3. 是否有將 "Always wait for network at computer start up and logon" 開啟?
    4. 設定完成後, 在 DC 上使用 force 指令強迫更新 (gpupdate /force)
    5. 接著用戶端電腦重新開機登入, 再檢查一次 userenv 的資料
    2008年6月11日 上午 10:00
  • RYAN LIAO大,抱歉這麼晚回覆

    1.請問您所建立的 GPO 是否有在 "已套用的群組原則物件" 的名單中? 目前以套用的有兩個 xx domain policy. 其中一個應該是 default domain policy.

    Ans:有,目前已將default domain policy拿掉(並停用)

    2.該用戶端電腦作業系統為何?

    Ans: XP_SP3 and SP2

    3.是否有將 "Always wait for network at computer start up and logon" 開啟?

    Ans:已開啟

    4.設定完成後, 在 DC 上使用 force 指令強迫更新 (gpupdate /force)

    Ans:每次修改完群組原則都會執行

    5.接著用戶端電腦重新開機登入, 再檢查一次 userenv 的資料
    Ans:重新開機過,套用的仍是下方的User Setting(上面的Computer Setting一樣是套用到網域群組原則)
     
    我最近作了幾個測試,(所有群組原則皆刪掉重建)
    1.在網域群組原則(名稱取為A)內設定"開啟防火牆"
    2.在網域內的某個部門(部門名稱叫B)新增一個群組原則(名稱也取為B)後,編輯"關閉防火牆"
    3.群組原則B點選強制並取消繼承
    4.然後使用B部門的帳號登入PC後執行gpupdate /force後,再執行gpresult
    5.結果是Computer Setting套用了網域的群組原則,但User Setting套用了B群組原則
    所以使用B部門帳號登入防火牆還是一樣開啟的(不繼承跟強制都選了,它還是繼承網域的群組原則....)
    這是正常的嗎? 不好意思 再次請教您,謝謝。
    2008年6月29日 下午 05:36