У меня есть домен, состоящий из физических и виртуальных серверов. Некоторое время назад другой администратор, возможно, выполнил несколько обновлений по сценарию вручную на уровне клиента, которые теперь не позволяют изменениям в настройках безопасности достигать клиентов. Изменения, внесенные где-либо в обновлении групповой политики, исправны.
Контроллер одного домена - это определяется политикой контракта, но я изложил это там, поскольку не понимаю, как репликация может быть проблемой, но я открыт для любых мыслей.
Старый системный администратор использовал «политику домена по умолчанию» вместо настраиваемой именованной политики для сайта. Я скопировал старую политику под новое имя и отключил политику по умолчанию. Когда я запускаю gpupdate / force на клиенте, он не выдает ошибок, и они не отображаются в журналах. Когда я запускаю rsop, я по-прежнему вижу политику домена по умолчанию в качестве выигрышной политики для параметров безопасности, но в остальном это политика с новым именем. Что для меня становится очень интересным, так это то, что когда я щелкаю правой кнопкой мыши свойства для RSOP, я вижу, что он рисует только новое имя политики, а политику домена по умолчанию нигде не найти. RSOP тоже не выдает ошибок.
Вот что я делал до сих пор безуспешно: 1. Создал резервную копию и удалил HKCU \ Software \ Policies 2. Резервное копирование и удаление HKLM \ Software \ Policies 3. Резервное копирование и удаление HKCU \ Software \ Microsoft \ Windows \ Current Version \ Group Политика 4. Резервное копирование и удаление HKLM \ Software \ Microsoft \ Windows \ Current Version \ Group Policy 5. Удаление папки c: \ Windows \ System32 \ Group Policy 6. Выполнен неавторизованный откат на контроллере домена.
Все частички предложений, которые я нашел во время своих поисков. Я немного озадачен тем, что может быть причиной этого. Все остальное поведение машин согласуется с хорошими настройками DNS. Я могу без проблем включать и выключать их из домена - и это не имеет значения.
Я скопировал старую политику под новое имя и отключил политику по умолчанию.
Вы по ссылке отключили политику домена по умолчанию?
Не лучшая практика, не рекомендуется, возможно, даже не поддерживается. Объяснил бы, почему он отсутствует в RSOP и ваши неустойчивые результаты.
Вы можете использовать DCGPOFix инструмент для ремонта DDP. https://technet.microsoft.com/en-us/library/hh875588.aspx Обратите внимание на то, что говорится, что должно и не должно быть включено в DDP:
Рекомендуется настроить GPO политики домена по умолчанию. только для управления параметрами политик учетных записей по умолчанию, политикой паролей, политикой блокировки учетной записи и политикой Kerberos.
DCGPOFix инструмент или вручную удалите все настройки из других областей из DDP GPO.