locked
【AD GPO問題】互動式登入問題 RRS feed

  • 問題

  • 測試網境:

    AD DC(Windows 2008 R2)

    Client PC(Windows 7 Ent)

    問題1:一般沒特別去設定過的Client端,他預設可以去套用<互動式登入>的一些GPO嗎?

    問題2:AD GPO(Default Domain Policy)定義了『互動式登入:給登入使用者的訊息本文』,這個會在什麼時機顯示??因為嘗試登入電腦前後都沒看到~

    問題2:AD GPO(Default Domain Policy)定義了『互動式登入:網域控制站無法使用時,要求的先前登入次數』為2,重新開機並且登入後,將Client網路斷線(模疑成DC異常),再嘗試重新開機登入,皆可以使用cache登入,試了好幾次都正常,這條GPO是用在這嗎?為何無法作用?還是我可以登入是因為AD的什麼機制??

    麻煩各位專家解惑一下,感恩!~~~

    2014年2月18日 上午 08:20

解答

  • Hi Evergreen-CCchiang 您好,

    1. 您說的沒錯,DC也要套用到此GPO才能夠生效。如果您設置在Default Domain Policy上的電腦設定(不能是使用者設定)中就是正確的,因為只有Default Domain Policy和Default Domain Controller Policy是會套用到網域控制站上的。

    2. 關於那條GPO的說明您可以參考這篇文章中的說明,它並不是限制您的登入次數,而是限制cache的帳號個數,而已經被cache的帳號可以無限次登入

    另外,也歡迎您將測試的結果回報至論壇,以利討論的進行或是幫助有類似問題的朋友,謝謝您:)

    2014年2月19日 上午 06:27

所有回覆

  • Hi Evergreen-CCchiang,

    1. 所以請您確認您的網域功能等級,
    互動式登入的網域功能等級必須是windows server 2008(含)、用戶端是windows vista以上,才可以啟用此功能~否則使用者登入時將無法擷取登入資訊,也無法登入。

    2. 設置成功後並且gpo已更新,在成功登入後即會顯示~

    3.若DC不能連線時會使用前一次的cache去登入,此條GPO enable代表會通知使用者是用cache登入,disable代表不會通知使用者

    2014年2月19日 上午 02:06
  • Dear Sir,

    感謝您的回覆~~~

    1.我測試的環境網域及樹系等級都是Windows 2008....測試的Client PC是一部Win 7專業版

    2.GPO也確認Client端有套用到(因為上面還有設定其他的東西是有生效的),也下過gpupdate /force及重開機過,但在登入後還是沒有訊息~

    3.我也是認為離線時它是用cache登入,只是之前看到那條『互動式登入:網域控制站無法使用時,要求的先前登入次數』GPO可以設定次數,所以測試限制可以登入2次,但它又沒作用,所以才又測試了上面那條"訊息"的....

    依據網站有人提過的機碼位置,也有確認它有被改成〔2〕了~~所以表示它是有吃到GPO~~~只是疑問它為何沒作用而以

    有另外再測試把『互動式登入:不要顯示上次登入的使用者名稱』這條確是OK的....

    以上....,所以才有這些疑問......

    2014年2月19日 上午 02:57
  • Hi Evergreen-CCchiang 您好,

    1.互動式登入也必須設置在能套用到網域控制站的GPO上,且配置在電腦設定中,再麻煩您確認~

    2.『互動式登入:網域控制站無法使用時,要求的先前登入次數』代表的是使用cache登入前需有幾次成功登入次數

    3. 若是使用cache登入並不會顯示互動式登入的畫面,因為必須通過驗證才能算是互動式登入

    另外,若是要看GPO套用的結果請再cmd使用gpresult /r
    • 已編輯 Claire Ho 2014年2月19日 上午 04:06
    2014年2月19日 上午 04:01
  • Hi Karen Ho 您好,

    1."互動式登入也必須設置在能套用到網域控制站的GPO上,且配置在電腦設定中"這部份不是很清楚?目前我是設定在Default Domain Policy中的電腦設定中,您是指DC上也要套用這條GPO(設定在Default Domain Controllers Policy或另建立一條在Domain Controllers OU中)?

    2.抱歉這部份可能我遶了一了,主要我還是想確認cache登入到底有沒有限制?因為如果依據那條GPO說明,應該是可以限制的~但如果沒設定那條GPO會有限制嗎?因為我們試過用cache可以登入超過50次以上,後來才有測試啟用這條GPO確好像沒作用的問題。

    感謝您的回覆~~~

    2014年2月19日 上午 04:25
  • Hi Evergreen-CCchiang 您好,

    1. 您說的沒錯,DC也要套用到此GPO才能夠生效。如果您設置在Default Domain Policy上的電腦設定(不能是使用者設定)中就是正確的,因為只有Default Domain Policy和Default Domain Controller Policy是會套用到網域控制站上的。

    2. 關於那條GPO的說明您可以參考這篇文章中的說明,它並不是限制您的登入次數,而是限制cache的帳號個數,而已經被cache的帳號可以無限次登入

    另外,也歡迎您將測試的結果回報至論壇,以利討論的進行或是幫助有類似問題的朋友,謝謝您:)

    2014年2月19日 上午 06:27
  • Hi Evergreen-CCchiang

    您好, 歡迎您將後續測試結果回報至論壇, 或將對您有幫助的回覆標示為解答, 以利討論的進行並幫助其他有類似問題的朋友。

    謝謝您!

    2014年2月21日 上午 01:20