疑惑:Windows 7 打上KB3159398补丁之后,GPMC基于用户对象的策略该何去何从?

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了疑惑:Windows 7 打上KB3159398补丁之后,GPMC基于用户对象的策略该何去何从?相关的知识,希望对你有一定的参考价值。

        以往,为了方便管理或者其它目的,我们将组策略中的用户策略通过GPMC下发(例如用户文件夹重定向),只需把这条策略链接至该用户的同级\上级OU,然后在“安全筛选”中选中该用户(或者用户所在的用户组)。然而在去年10月,封装一个虚拟机模版时,更新了win7 pro sp1 x64的所有安全补丁,因为是在原有的模版基础上做更新,因此没有全面测试(一些必要的测试,也是用系统的本地管理员登录进行的),直接用这个模版创建新的虚拟机给同事使用,同事用域用户登录后,发现基于用户的所有策略全部失效!!!

        这时又受经验主义的影响,常规的sysvol检查、gpresult分析,浪费了大把时间。

        思前想后,模版的前后差别就是一些 应用程序的版本和微软补丁数量。于是复制一个模版,从微软补丁入手,一个一个删,删一个测一次。删了KB3159398后,用户策略恢复。百度之:微软的KB3159398说明。微软有白纸黑字的说了这个补丁的影响,并且给出了解决的办法:

        


症状

所有用户组策略(包括那些在用户帐户或安全组上进行了安全筛选的用户组策略)都可能无法应用于加入域的计算机。

原因

如果组策略对象中缺少可能出现此问题了Authenticated Users组的权限,或者如果您正在使用安全过滤和缺少阅读的域中的计算机组的权限。

解析度

要解决此问题,请使用组策略管理控制台(GPMC.MSC)并按照以下步骤之一进行操作:

  • 在组策略对象(GPO)上添加带有读取权限Authenticated Users组。

  • 如果您正在使用安全筛选,请添加具有读取权限域计算机组。


/* 原文谷歌翻译,能看懂大概意思吧*/


        "解析度"中的2个无序列表内容,就是解决办法了。

        第一个办法显然是不实际的。

        第二个办法,意思就是要把想生效用户组策略的计算机对象也加入到安全筛选,这也意味着,只筛选或者委派命中用户\用户组就能生效策略的办法将不复存在。

        通俗点说,打了KB3159398补丁后的计算机,要执行GPMC下发的用户组策略,该策略的安全筛选或者委派必须同时选中这台计算机和用户这2个对象!

        当然,win7,确切的说,是Windows NT 6.1内核版本的操作系统,可以选择不安装这个补丁,或者卸载了事,可是win10,已经集成了这个补丁的,没办法卸载。更何况我们服务对象中,利用第三方软件来升级补丁的强迫症用户不在少数。(我在GPMC改了Windows Update服务器地址,防火墙拦截了主流的安全软件补丁下载流量(某60某管家之类).但还是会有漏网之鱼,也没办法天天围着这个事情转。)        

        所以,还是养成习惯,改变管理方法吧!


以上是关于疑惑:Windows 7 打上KB3159398补丁之后,GPMC基于用户对象的策略该何去何从?的主要内容,如果未能解决你的问题,请参考以下文章

windows下python安装readline模块 实现自动补全

PowerShell 查找删除Windows补丁文件

Windows 7 更新程序 (KB974332) 系统提示 不适用您的计算机。

在Windows 7安装Horizon Agent 7.12失败的解决方法

如何调用/包装 Scintilla?怀疑

windows xp 安全更新程序KB944338为啥装不上?