none
使用Windows2012 R2 群組原則物件設定,登入使用者訊息內文與標題異常 RRS feed

  • 一般討論

  • Dear 各位先進前輩

    關於Windows 2012 R2上在AD中的群組原則中,新增互動式登入中的 [給登入使用者的訊息內文與標題]這兩項電腦設

    定經測試後發現,AD上設定完成要設定的AD 群組原則後給client端,使用者登入的訊息內文與標題原則後,一直會被本機

    原則中的使用者內文給取代,而不會apply到新設定到AD上的GPO,無論是新增的GPO物件或是在Default domain policy / Default domain controller policdy  新增這兩項設定


    • 已編輯 Y Hung 2015年1月22日 上午 08:56 修改內文
    • 已變更類型 George.Chang 2015年2月24日 上午 05:59 Customer Discontinued
    2015年1月22日 上午 08:51

所有回覆

  • Hi Y Hung

    跑一下gpresult然後將結果貼出來吧

    2015年1月22日 下午 03:41
    版主
  • dear  Lissam Coyote 

    執行後沒有發現錯誤,這台是DC,互動式登入的使用者內文及標題還是都會被修改成本機原則中的內文

    <meta content="IE=EmulateIE9" http-equiv="X-UA-Compatible" /><meta content="text/html; charset=UTF-16" http-equiv="Content-Type" /><style type="text/css"></style>
    群組原則管理
    body { font-size:68%;font-family:Microsoft JhengHei UI; margin:0px,0px,0px,0px; border: 1px solid #666666; background:#F6F6F6; width:100%; word-break:normal; word-wrap:break-word; } .head { font-weight:bold; font-size:160%; font-family:Microsoft JhengHei UI; width:100%; color:#6587DC; background:#E3EAF9; border:1px solid #5582D2; padding- height:24px; } .path { margin- margin- margin-bottom:5px;width:100%; } .info { padding-width:100%; } table { font-size:100%; width:100%; border:1px solid #999999; } th { border-bottom:1px solid #999999; text-align:left; padding- height:24px; } td { background:#FFFFFF; padding- padding-bottom:10px; padding- } .btn { width:100%; text-align:right; margin- } .hdr { font-weight:bold; border:1px solid #999999; text-align:left; padding- padding- height:24px; margin-bottom:-1px; width:100%; } .bdy { width:100%; height:182px; display:block; background:#FFFFFF; padding- padding-bottom:10px; padding- border:1px solid #999999; } button { width:6.9em; height:2.1em; font-size:100%; font-family:Microsoft JhengHei UI; margin-right:15px; } @media print { .bdy { display:block; } button { display:none; } .head { color:#000000; background:#FFFFFF; border:1px solid #000000; } }
    設定路徑:
    解釋
    <button accessKey="P" name="Print" onclick="window.print()" type="submit">列印(P)</button>
    <button accessKey="C" name="Close" onclick="window.close()" type="submit">關閉(C)</button>
    這個設定沒有可用的說明。
    支援的作業系統:
    無法使用
    群組原則結果
    LAB\ADA 的 LAB\mscLAB_admin
    資料收集: 2015/1/23 上午 11:26:49
    摘要
      在最後期間 電腦原則 在 2015/1/23 上午 11:24:23 重新整理
     
    <group alt="成功" class="vmlimage" coordsize="100,100" style="width:15px;height:15px;vertical-align:middle;"><oval class="vmlimage" fillcolor="green" strokecolor="green" style=""></oval><line class="vmlimage" from="10,60" strokecolor="white" strokeweight="3px" style="" to="40,80"></line><line class="vmlimage" from="35,80" strokecolor="white" strokeweight="3px" style="" to="80,20"></line></group> 沒有偵測到錯誤
    <group alt="警告" class="vmlimage" coordsize="100,100" style="width:15px;height:15px;vertical-align:middle;"><shape class="vmlimage" fillcolor="yellow" strokecolor="yellow" style=""><path v="m 50,0 l 0,99 99,99 x e"></path></shape><rect class="vmlimage" fillcolor="black" strokecolor="black" style=""></rect><rect class="vmlimage" fillcolor="black" strokecolor="black" style=""></rect></group> 偵測到快速連結 其他資訊...
      在最後期間 使用者原則 在 2015/1/23 上午 11:24:23 重新整理
     
    <group alt="成功" class="vmlimage" coordsize="100,100" style="width:15px;height:15px;vertical-align:middle;"><oval class="vmlimage" fillcolor="green" strokecolor="green" style=""></oval><line class="vmlimage" from="10,60" strokecolor="white" strokeweight="3px" style="" to="40,80"></line><line class="vmlimage" from="35,80" strokecolor="white" strokeweight="3px" style="" to="80,20"></line></group> 沒有偵測到錯誤
    <group alt="警告" class="vmlimage" coordsize="100,100" style="width:15px;height:15px;vertical-align:middle;"><shape class="vmlimage" fillcolor="yellow" strokecolor="yellow" style=""><path v="m 50,0 l 0,99 99,99 x e"></path></shape><rect class="vmlimage" fillcolor="black" strokecolor="black" style=""></rect><rect class="vmlimage" fillcolor="black" strokecolor="black" style=""></rect></group> 偵測到快速連結 其他資訊...
    電腦詳細資料
    一般
    電腦名稱 LAB\ADA
    網域 LAB.msc.com.tw
    站台 Default-First-Site-Name
    組織單位 LAB.msc.com.tw/Domain Controllers
    安全性群組成員資格
    顯示
    BUILTIN\Administrators
    Everyone
    BUILTIN\Users
    BUILTIN\Pre-Windows 2000 Compatible Access
    BUILTIN\Windows Authorization Access Group
    NT AUTHORITY\NETWORK
    NT AUTHORITY\Authenticated Users
    NT AUTHORITY\This Organization
    LAB\ADA$
    LAB\Domain Controllers
    NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS
    驗證授權單位宣稱的識別身分
    LAB\Denied RODC Password Replication Group
    Mandatory Label\System Mandatory Level
    元件狀態
    元件名稱 狀態 花費時間 上次處理時間 事件記錄檔
    群組原則基礎結構 成功 190 毫秒 2015/1/23 上午 11:24:23 檢視記錄檔
    Security 成功 1 秒 375 毫秒 2015/1/23 上午 11:24:23 檢視記錄檔
    登錄 成功 187 毫秒 2015/1/23 上午 11:24:21 檢視記錄檔
    設定
    原則
    Windows 設定
    安全性設定
    帳戶原則/密碼規則
    原則 設定 優勢 GPO
    使用可還原的加密來存放密碼 已停用 Default Domain Policy
    密碼必須符合複雜性需求 已啟用 Default Domain Policy
    密碼長度最小值 12 個字元 Default Domain Policy
    密碼最長使用期限 90 天 Default Domain Policy
    密碼最短使用期限 0 天 Default Domain Policy
    強制密碼歷程記錄 已記憶 3 個密碼 Default Domain Policy
    帳戶原則/帳戶鎖定原則
    原則 設定 優勢 GPO
    重設帳戶鎖定計數器的時間 30 分鐘 Default Domain Policy
    帳戶鎖定期間 30 分鐘 Default Domain Policy
    帳戶鎖定閾值 3 次無效的登入嘗試 Default Domain Policy
    帳戶原則/Kerberos 原則
    原則 設定 優勢 GPO
    使用者票證更新的最長存留期 7 天 Default Domain Policy
    使用者票證最長存留期 10 小時 Default Domain Policy
    服務票證最長存留期 600 分鐘 Default Domain Policy
    強制執行使用者登入限制 已啟用 Default Domain Policy
    電腦小時鐘同步處理最大容錯度 5 分鐘 Default Domain Policy
    本機原則/稽核原則
    原則 設定 優勢 GPO
    稽核目錄服務存取 成功,失敗 Default Domain Policy
    稽核系統事件 成功,失敗 Default Domain Policy
    稽核原則變更 成功,失敗 Default Domain Policy
    稽核特殊權限使用 成功,失敗 Default Domain Policy
    稽核帳戶登入事件 成功,失敗 Default Domain Policy
    稽核帳戶管理 成功,失敗 Default Domain Policy
    稽核登入事件 成功,失敗 Default Domain Policy
    本機原則/使用者權限指派
    原則 設定 優勢 GPO
    允許本機登入 ENTERPRISE DOMAIN CONTROLLERS, Print Operators, Server Operators, Account Operators, Backup Operators, Administrators Default Domain Controllers Policy
    以批次工作登入 Performance Log Users, Backup Operators, Administrators Default Domain Controllers Policy
    取代處理程序等級權杖 NETWORK SERVICE, LOCAL SERVICE Default Domain Controllers Policy
    取得檔案或其他物件的擁有權 Administrators Default Domain Controllers Policy
    建立分頁檔 Administrators Default Domain Controllers Policy
    修改韌體環境值 Administrators Default Domain Controllers Policy
    偵錯程式 Administrators Default Domain Controllers Policy
    將工作站新增至網域 Authenticated Users Default Domain Controllers Policy
    強制從遠端系統進行關閉 Server Operators, Administrators Default Domain Controllers Policy
    從網路存取這台電腦 Pre-Windows 2000 Compatible Access, ENTERPRISE DOMAIN CONTROLLERS, Authenticated Users, Administrators, Everyone Default Domain Controllers Policy
    從銜接站移除電腦 Administrators Default Domain Controllers Policy
    產生安全性稽核 NETWORK SERVICE, LOCAL SERVICE Default Domain Controllers Policy
    略過周遊檢查 Pre-Windows 2000 Compatible Access, Authenticated Users, Administrators, NETWORK SERVICE, LOCAL SERVICE, Everyone, Window Manager\Window Manager Group Default Domain Controllers Policy
    備份檔案及目錄 Server Operators, Backup Operators, Administrators Default Domain Controllers Policy
    載入及解除載入裝置驅動程式 Print Operators, Administrators Default Domain Controllers Policy
    監視系統效能 NT SERVICE\WdiServiceHost, Administrators Default Domain Controllers Policy
    監視單一處理程序 Administrators Default Domain Controllers Policy
    管理稽核及安全性記錄檔 Administrators Default Domain Controllers Policy
    增加排程優先順序 Administrators Default Domain Controllers Policy
    調整處理程序的記憶體配額 Administrators, NETWORK SERVICE, LOCAL SERVICE Default Domain Controllers Policy
    還原檔案及目錄 Server Operators, Backup Operators, Administrators Default Domain Controllers Policy
    關閉系統 Print Operators, Server Operators, Backup Operators, Administrators Default Domain Controllers Policy
    變更系統時間 Server Operators, Administrators, LOCAL SERVICE Default Domain Controllers Policy
    讓電腦及使用者帳戶受信賴,以進行委派 Administrators Default Domain Controllers Policy
    本機原則/安全性選項
    Microsoft Network Server
    原則 設定 優勢 GPO
    Microsoft 網路伺服器: 數位簽章伺服器的通訊 (如果用戶端同意) 已啟用 Default Domain Controllers Policy
    Microsoft 網路伺服器: 數位簽章伺服器的通訊 (自動) 已啟用 Default Domain Controllers Policy
    互動式登入
    原則 設定 優勢 GPO
    互動式登入: 不要求按 CTRL+ALT+DEL 鍵 已停用 Default Domain Controllers Policy
    互動式登入: 不要顯示上次登入的使用者名稱 已啟用 Default Domain Controllers Policy
    互動式登入: 在密碼到期前提示使用者變更密碼 14 天 Default Domain Policy
    互動式登入: 給登入使用者的訊息本文 -----您已登入MSC_LAB資訊系統 Windows Update WSUS
    互動式登入: 給登入使用者的訊息標題 -----您已登入MSC_LAB資訊系統----- Windows Update WSUS
    網域成員
    原則 設定 優勢 GPO
    網域成員: 安全通道資料加以數位加密或簽章 (自動) 已啟用 Default Domain Controllers Policy
    網域控制站
    原則 設定 優勢 GPO
    網域控制站: LDAP 伺服器簽章要求 Default Domain Controllers Policy
    網路存取
    原則 設定 優勢 GPO
    網路存取: 允許匿名 SID/名稱轉譯 已停用 Default Domain Policy
    網路安全性
    原則 設定 優勢 GPO
    網路安全性: 下次密碼變更時不儲存 LAN Manager 雜湊數值 已啟用 Default Domain Policy
    網路安全性: 強制限制登入時數 已停用 Default Domain Policy
    系統服務
    Windows Time (啟動模式: 自動)
    優勢 GPO Default Domain Policy
    權限
    沒有指定權限
    稽核
    沒有指定稽核
    公開金鑰原則/憑證服務用戶端 - 自動註冊設定
    原則 設定 優勢 GPO
    自動憑證管理 已啟用 [預設設定]
    選項 設定
    註冊新憑證,更新到期的憑證、處理擱置的憑證要求並移除撤銷的憑證 已停用
    更新和管理使用 Active Directory 中憑證範本的憑證 已停用
    公開金鑰原則/加密檔案系統
    憑證
    發給 簽發者 到期日 使用目的 優勢 GPO
    Administrator Administrator 2114/11/4 下午 04:16:03 檔案修復 Default Domain Policy

    啟動本機群組原則物件編輯器來參閱其他關於獨立設定的資訊。
    系統管理範本
    已從本機電腦抓取原則定義 (ADMX 檔案)。
    Windows 元件/Windows Update
    原則 設定 優勢 GPO
    檢查更新的
    間隔 (小時): 22
    原則 設定 優勢 GPO
    設定偵測更新的近端內部網路更新服務: http://127.0.0.1
    設定近端內部網路統計伺服器: http://127.0.0.1
    (例如: http://IntranetUpd01)
    原則 設定 優勢 GPO
    設定自動更新: 3 - 自動下載和通知我安裝
    下列設定只有在選取 4 時才需要和適用。
    在自動維護期間安裝 已停用
    排程安裝日期: 0 - 每天
    排程安裝時間: 03:00
    群組原則物件
    已套用的 GPO
    Default Domain Controllers Policy [{6AC1786C-016F-11D2-945F-00C04fB984F9}]
    連結位置 LAB.msc.com.tw/Domain Controllers
    副檔名已設定 Security
    登錄
    強制
    已停用
    安全性篩選器 NT AUTHORITY\Authenticated Users
    修訂 AD (86), SYSVOL (86)
    WMI 篩選器  
    Default Domain Policy [{31B2F340-016D-11D2-945F-00C04FB984F9}]
    連結位置 LAB.msc.com.tw
    副檔名已設定 {B1BE8D72-6EAC-11D2-A4EA-00C04F79F83A}
    Security
    登錄
    強制
    已停用
    安全性篩選器 NT AUTHORITY\Authenticated Users
    修訂 AD (263), SYSVOL (263)
    WMI 篩選器  
    Windows Update WSUS [{A9DE2AE6-BED9-42EA-8758-91415C4910A6}]
    連結位置 LAB.msc.com.tw
    副檔名已設定 Security
    登錄
    強制
    已停用
    安全性篩選器 NT AUTHORITY\Authenticated Users
    修訂 AD (54), SYSVOL (54)
    WMI 篩選器  
    本機群組原則 [LocalGPO]
    連結位置 Local
    副檔名已設定 登錄
    強制
    已停用
    安全性篩選器  
    修訂 AD (3), SYSVOL (3)
    WMI 篩選器  
    被拒絕的 GPO
    WMI 篩選器
    名稱 參照 GPO
    使用者詳細資料
    一般
    使用者名稱 LAB\mscLAB_admin
    網域 LAB.msc.com.tw
    安全性群組成員資格
    顯示
    LAB\Domain Users
    Everyone
    BUILTIN\Administrators
    BUILTIN\Users
    BUILTIN\Pre-Windows 2000 Compatible Access
    NT AUTHORITY\REMOTE INTERACTIVE LOGON
    NT AUTHORITY\INTERACTIVE
    NT AUTHORITY\Authenticated Users
    NT AUTHORITY\This Organization
    LOCAL
    LAB\Domain Admins
    LAB\Group Policy Creator Owners
    LAB\Schema Admins
    LAB\Enterprise Admins
    驗證授權單位宣稱的識別身分
    LAB\Denied RODC Password Replication Group
    Mandatory Label\High Mandatory Level
    元件狀態
    元件名稱 狀態 花費時間 上次處理時間 事件記錄檔
    群組原則基礎結構 成功 296 毫秒 2015/1/23 上午 11:24:23 檢視記錄檔
    設定
    沒有設定定義。
    群組原則物件
    已套用的 GPO
    被拒絕的 GPO
    本機群組原則 [LocalGPO]
    連結位置 Local
    副檔名已設定  
    強制
    已停用
    安全性篩選器  
    修訂 AD (0), SYSVOL (0)
    WMI 篩選器  
    拒絕理由 空白
    WMI 篩選器
    名稱 參照 GPO
    2015年1月27日 上午 02:43
  • Hi Y Hung

    看您的設定優勢的GPO是Windows Update WSUS,正常來說本機原則會是最低的套用順序,嘗試使用gpupdate /force強制套用,測試其他Client是否有同樣問題。


    請記得將對您有幫助的回覆"標示為解答"以幫助其他尋找解答及參與社群討論的朋友們。

    Please remember to click Mark as Answer on the post that helps you. This can be beneficial to other community members reading the thread.

    2015年2月3日 上午 05:52
  • 會去設定GPO為windows Update WSUS是因為使用預設的default domain policy GPO群組物件仍解決不了問題,所以才改使用者登入內文,改設定在其他GPO上

    2.下過很多次 gpupdate/force,也把群組物件設定強制套用, 結果仍然不行,只要是有加入此domain的工作端的電腦,使用者登入內文都是以AD的本機原則的內文為主。

    3.有再裝一套AD來測試,DC的群組原則上的使用者登入內文與標題,一經過修改後,本機原則應該是要自行同步與AD的群組原則設定上的內文一樣,沒有順序性的問題,而敝司遇到的是AD的群組原則物件與本機原則造成錯亂,兩邊不知道以誰為主。

    2015年2月4日 下午 04:14
  • Hi Y Hung

    DC上在群組原則編輯器內所設定編輯的群組原則,會依照您設定連結的OU或Domain套用到下面的Computer或User,而DC所設定的群組原則當和本機群組原則互相衝突時,會以DC所設定的群組原則為主,但很重要的是並不會直接取代本機群組原則內的設定,所以並不會有"本機原則應該是要自行同步與AD的群組原則設定上的內文一樣"的情況,如果要查詢DC所套用的群組原則狀況,可以透過gpupdate或是rsop.msc這兩個指令查詢,gpedit.msc一定不會自動同步GPO所套用的內容。


    請記得將對您有幫助的回覆"標示為解答"以幫助其他尋找解答及參與社群討論的朋友們。

    Please remember to click Mark as Answer on the post that helps you. This can be beneficial to other community members reading the thread.

    2015年2月5日 上午 02:29
  • Dear George

    查詢rsop.msc 執行完後,發現群組原則結果的內容是與本機原則相同,但修改後重開機,就是不同步,DC所設定的群組原則當和本機群組原則互相衝突時,會以DC所設定的群組原則為主,這是指正常的情況下,現在確定的是AD原則改完後,有加入Domain的Client端,一直吃到的是AD上本機的原則,就連另一台DC也是,無法吃default domain controller policy,要如何檢查這是此部AD那邊出了問題。

    2015年2月9日 上午 09:22
  • Hi Y Hung

    您的其他GPO設定是否有套用?

    您有建立另一個AD的測試環境,那個環境也無法套用?


    請記得將對您有幫助的回覆"標示為解答"以幫助其他尋找解答及參與社群討論的朋友們。

    Please remember to click Mark as Answer on the post that helps you. This can be beneficial to other community members reading the thread.

    2015年2月9日 上午 09:58
  • Dear George

    1.您的其他GPO設定是否有套用? 有的,其他的GPO設定是有被套用的,目前只有發現AD上的群組原則的使用者內文無法更改

    2.有重新建立另一個AD的測試環境,測試環境上的AD是正常的,只有這一座AD會有這種情形。

    3.目前只有使用者登入的內文標題,有沒有辦法改變內容的問題,沒有看到系統上有其他的錯誤,但是怕AD有其他隱藏的問題,因為這座AD上有3套上線的SQL2014 Cluster上線,所以無法整個AD重建。

    2015年2月10日 上午 01:54
  • Hi Y Hung

    如果只有使用者登入的內文標題無法套用,那就從最簡單的環境開始做測試。

    1.建立新的OU,啟一台新的Client加入網域並登入測試AD帳號,將這個Client移動到這個新的OU。

    2.建立新的GPO只設定使用者登入的內文標題,並連結到這新的OU上,並選擇"禁止繼承Block Inheritance"

    3.確認安全性篩選是Authenticated Users並加入這部電腦,並且確認沒有套用WMI篩選

    測試以上情境是否可以正常套用。


    請記得將對您有幫助的回覆"標示為解答"以幫助其他尋找解答及參與社群討論的朋友們。

    Please remember to click Mark as Answer on the post that helps you. This can be beneficial to other community members reading the thread.

    2015年2月11日 上午 03:20