В течение многих лет у нас было около 20 политик печатного картографирования в организации с ~ 300 клиентами. Эта компания не обновляла Windows более 2 лет. На выходных нам было разрешено выпустить ВСЕ обновления Windows, необходимые для обновления (после тестирования). Оказывается, мы упустили крайнюю ситуацию; все подмножество групповых политик развертывания принтеров больше не доступно клиентам.
Политики не изменились, но они вообще не отображаются. Если мы выполняем RSOP или gpresult, они даже не отображаются как непримененные. Наши освобожденные компьютеры все еще получают и выполняют политику в обычном режиме, включая компьютер со свежим образом со старым образом.
При запуске «gpupdate / force» мы получаем ошибку на пораженных компьютерах со следующим текстом:
Во время обработки политики пользователя были обнаружены следующие предупреждения: Перенаправление папок расширения на стороне клиента групповой политики не удалось применить один или несколько параметров, поскольку изменения должны быть обработаны до запуска системы или входа пользователя в систему. Система будет ждать полного завершения обработки групповой политики перед следующим запуском или входом в систему для этого пользователя, и это может привести к медленному запуску и загрузке. Обновление компьютерной политики успешно завершено.
Для получения более подробной информации просмотрите журнал событий или запустите GPRESULT / H GPReport.html из командной строки, чтобы получить доступ к информации о результатах групповой политики.
Включены определенные политики пользователей, которые могут выполняться только во время входа в систему.
ОК для выхода ?. (Да / Нет)
Разрешение выхода из системы, перезагрузки и т. Д. Не меняет результата. При последующих выполнениях команды отображается то же сообщение. В выходных данных GPResult не упоминаются политики принтера или какие-либо сбои.
Это происходит в Windows 7 и Windows 10. Некоторые политики отображают компьютеры через «Развернутые принтеры», а некоторые - через «Панель управления». Ни один из них больше не появляется.
Сейчас мы проходим процесс удаления обновлений 1 за 1, чтобы увидеть, что изменилось (их 278), но мы полностью озадачены тем, что может заставить политику даже не распространяться. На наших контроллерах домена Windows Server 2008 ничего не изменилось, и политики отображаются на всех 3.
Приветствуются любые мысли об устранении неполадок.
Я предполагаю, что политики не имеют участника безопасности «Прошедшие проверку» с разрешением на чтение.
Мой коллега решил это. См. Эту статью: http://windowsitpro.com/patch-tuesday/update-kb3163622-breaks-group-policy-it-s-not-me-it-s-you
KB3163622, похоже, нарушает способ применения политик безопасности:
Что произошло: MS16-072 изменяет контекст безопасности, в котором извлекаются групповые политики пользователей. Это побочное изменение поведения защищает компьютеры клиентов от уязвимостей. Перед установкой MS16-072 политики группы пользователей были получены с использованием контекста безопасности пользователя. После установки MS16-072 политики групп пользователей извлекаются с использованием контекста безопасности компьютеров.
Почему это произошло: эта проблема может возникнуть, если у объекта групповой политики отсутствуют разрешения на чтение для группы прошедших проверку пользователей или если вы используете фильтрацию безопасности и отсутствуют разрешения на чтение для группы компьютеров домена.
Как это исправить: Чтобы решить эту проблему, используйте консоль управления групповой политикой (GPMC.MSC) и выполните одно из следующих действий:
- Добавьте группу прошедших проверку пользователей с разрешениями на чтение для объекта групповой политики (GPO).
- Если вы используете фильтрацию безопасности, добавьте группу «Компьютеры домена» с разрешением на чтение.