windows 2016 AD域，组策略中配置的计算机配置。在加入域的客户端中没有生效？

Posted 2023-04-26

在Windows server 2016 上建立了一个AD域Windows 10 pro 加入了这个域AD域中新建两个OU一个OU用于存放域用户，一个OU存放加入的计算机两个OU分别建立GPO。存放用户的OU组策略中都是用户配置相关没有计算机配置。存放计算机的OU组策略都是计算机配置相关没有用户配置。创建好规则后有刷新组策略 gpupdate /force 然后客户端计算机登录与域用户，通过gpresult /r 查看只有用户配置的信息，没有计算机配置的信息。客户端计算机打开rsop.msc 提示权限不足无法生成计算机相关的信息。

参考技术A 一般情况下，如果组策略中的计算机配置好了，是会生效的，可以使用ADManager Plus，图形化管理AD域！ 参考技术B

两个问题：

权限问题，zhan，普通用户无权限问题

组策略问题，图二，操作错的，这是本地机。如图六一样操作，针对组。

另外检查 DNS问题，主服务器DNS

客户机，，DNS要指向域IP,

这样解析快，一定要域自建DNS......

追问

1，普通用户权限无法获取计算机配置组策略吗？ 这个不应该吧？ 2.你是说图1错的吧？计算机不用直接加入OU？二是在OU里面创建一个用户组，然后将这个计算机加入这个用户组？然后在对这个OU创建相应的策略？ 3.是AD服务器建立的dns，客户端是指向的AD域服务器

追答

1不是不足，是不能用命令更新，你重启，下次登录，就能更新，

组策略：如图下，可能没指定计算机类（加入域的计计算机），我知2008，有针对的

另外建议提升一下zhang为 admin组，这影响不太多，测试用的，不是实制所需要，这有利于数据是否权限问题

(当你在配置新的安全策略后,原则上在工作站或服务器上，每90分钟更新一次安全性设置,而在域控制器则5分钟更新一次;初此之外,在没有任何更改的情况下,这些安全设置每16小时会更新一次。如果我们想要强迫更新，就需要强制更新命令 gpupdate /force （必需客户端更新命令，单服务器更新无效）

图2，这本身操作，无问题这是本地机的，不能这样远程能访问域，组策略的，(看是win10)

不是域，2016



追问

客户端域重启和注销 因为有实际场景，所以能不提升权限就不提升。

2008如何指定计算机类的？2016上应该有类似的

服务器上使用命令强制刷新了，客户端也重启和注销了

客户端已经加入域了，用户配置生效了，但是计算机配置获取不到

主要是这个计算机是拒绝访问的状态，如何给他单独的权限而不是给管理员权限

追答

通过组策略赋予注册表HKLM_SOFTWARE键Domain Users组完全控制权限；

一般情况：

我们用Filemon和Regmon来进行监控，找出所需的文件或注册表值，来适当放开权限。

但现实中，大部分软件，都足够了。



本回答被提问者采纳

windows 2008 server 域环境通过组策略下发计划任务

1、AD域环境

2、服务版本：2008

目的：通过组策略下发计划任务让客户端每天定时重启。

重启脚本内容：

C:\WINDOWS\system32\shutdown.exe -r -t 60    
@@echo off
echo ******************* >>c:\Scripts.log
echo "reboot脚本已经运行" >>c:\Scripts.log
date /T >>c:\Scripts.log
time /T >>c:\Scripts.log
echo "reboot脚本运行结束行" >>c:\Scripts.log

echo ************************ >>c:\Scripts.log
@@echo on

第一句为：一分钟后重启系统

剩余部分为在C盘c:\Scripts.log记录脚本执行时间。

1、在2008  server 上打开组策略管理器，在已经建立好的域leo.com上创建名为“test“的组织单位。

2、在”test“上面新建组策略”reboot“

3、选中新建的”reboot“组策略右键点击”编辑“，依次打开”首选项“”控制面板设置“”计划任务“开始设置计划任务

在AD用户计算机里面将要测试的计算机添加到test组

在leo-pc在手动更新策略 cmd 输入 gpupdate /force

查看策略是否生效。