none
AD GPO設定部分失效 RRS feed

  • 問題

  • AD server 為windows server 2012

    client為Windows 8.1

    我在群組原則中有設定關於螢幕保護程式的選項如下:

    1. 以密碼保護螢幕保護裝置

    2. 啟用螢幕保護裝置

    3. 強制特定螢幕保護裝置

    4. 螢幕保護裝置逾時

    正常狀況下,所有的client都正常套用原則,並且關於螢幕保護程式部分的設定都會為鎖定的


    但有一台client偶爾會出現等候時間的鎖定部分失效,也就是等候時間變成可以調整的狀態

    不管停止動作多久,螢幕保護程式都不會啟動,但是若執行gpupdate /force並重新開機的話,又會恢復正常

    想請問一下相關LOG該在哪裡查詢? 並且有沒有方法可以解決此問題(只有特定client遇到)

    謝謝。



















    2015年6月23日 上午 05:50

解答

  • Hi Eve_Chen

    GPO的設定最後到Client端都是寫入機碼中,所以您可以針對機碼做查看,以下是GPO套用後的機碼位置和設定值

    Windows Registry Editor Version 5.00
    
    [HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\Control Panel\Desktop]
    "ScreenSaveActive"="1"
    "SCRNSAVE.EXE"="%Systemroot%\\System32\\Bubbles.scr"
    "ScreenSaveTimeOut"="20"
    
    

    另外如果是使用者設定的螢幕保護程式機碼設定,是位於以下位置,機碼名稱和設定值都和GPO是一樣的

    HKEY_CURRENT_USER\Control Panel\Desktop

    所以如果針對這個問題,您可以去稽核的方式去確認是否有人去修改這兩個位置的機碼,以下是設定方式

    1. 在以上兩個機碼資料,右鍵內容使用權限->進階->稽核 分頁->新增 Everyone->類型 全部->溝選設定數值

    2. 可以透過GPO或是本機安全性原則設定,進階稽核原則->物件存取->稽核登錄


    請記得將對您有幫助的回覆"標示為解答"以幫助其他尋找解答及參與社群討論的朋友們。

    Please remember to click Mark as Answer on the post that helps you. This can be beneficial to other community members reading the thread.

    • 已標示為解答 Eve_Chen 2015年6月23日 上午 09:13
    2015年6月23日 上午 08:36
  • 嘗試自己修改機碼確認有產生相關log,會有以下事件產生


    請記得將對您有幫助的回覆"標示為解答"以幫助其他尋找解答及參與社群討論的朋友們。

    Please remember to click Mark as Answer on the post that helps you. This can be beneficial to other community members reading the thread.

    • 已標示為解答 Eve_Chen 2015年6月23日 上午 09:13
    2015年6月23日 上午 08:38

所有回覆

  • Hi Eve_Chen

    GPO的設定最後到Client端都是寫入機碼中,所以您可以針對機碼做查看,以下是GPO套用後的機碼位置和設定值

    Windows Registry Editor Version 5.00
    
    [HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\Control Panel\Desktop]
    "ScreenSaveActive"="1"
    "SCRNSAVE.EXE"="%Systemroot%\\System32\\Bubbles.scr"
    "ScreenSaveTimeOut"="20"
    
    

    另外如果是使用者設定的螢幕保護程式機碼設定,是位於以下位置,機碼名稱和設定值都和GPO是一樣的

    HKEY_CURRENT_USER\Control Panel\Desktop

    所以如果針對這個問題,您可以去稽核的方式去確認是否有人去修改這兩個位置的機碼,以下是設定方式

    1. 在以上兩個機碼資料,右鍵內容使用權限->進階->稽核 分頁->新增 Everyone->類型 全部->溝選設定數值

    2. 可以透過GPO或是本機安全性原則設定,進階稽核原則->物件存取->稽核登錄


    請記得將對您有幫助的回覆"標示為解答"以幫助其他尋找解答及參與社群討論的朋友們。

    Please remember to click Mark as Answer on the post that helps you. This can be beneficial to other community members reading the thread.

    • 已標示為解答 Eve_Chen 2015年6月23日 上午 09:13
    2015年6月23日 上午 08:36
  • 嘗試自己修改機碼確認有產生相關log,會有以下事件產生


    請記得將對您有幫助的回覆"標示為解答"以幫助其他尋找解答及參與社群討論的朋友們。

    Please remember to click Mark as Answer on the post that helps you. This can be beneficial to other community members reading the thread.

    • 已標示為解答 Eve_Chen 2015年6月23日 上午 09:13
    2015年6月23日 上午 08:38
  • 我想使用者應該不會自行修改機碼的部分。

    只是如果要查詢您所說的這些設定值的話,有沒有詳盡的路徑或圖示解說呢?

    抱歉,因為我本身是使用LINUX系統的,對WINDOWS沒有概念。

    2015年6月23日 上午 08:46
  • Hi Eve_Chen

    當然一般使用者不會去修改,但稽核只是去記錄每次異動的時間、使用者和異動內容,再從中去反推是由哪個GPO或應用程式去做這部分的修改,您可以在Windows 8.1執行regedit,開啟登陸編輯程式,就可以找到我上面提供的路徑設定。


    請記得將對您有幫助的回覆"標示為解答"以幫助其他尋找解答及參與社群討論的朋友們。

    Please remember to click Mark as Answer on the post that helps you. This can be beneficial to other community members reading the thread.

    2015年6月23日 上午 08:53
  • 我再嘗試看看,謝謝您的回答。
    2015年6月23日 上午 09:13