У меня есть один сервер - 2008 R2 Enterprise, на котором запущены WSUS и наш KMS-сервер, - который не может применить какие-либо групповые политики из домена. У меня нет идей, как это обработать. Любые идеи?
Мои шаги до сих пор включали следующее.
netdom verify myhostgpupdate /forceHKLM\Software\Microsoft\Windows\CurrentVersion\Group Policy\State\Machine\GPOLink-List показывает только запись для локальной политики. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\HistoryЧто-нибудь более очевидное, что я пропустил?
РЕДАКТИРОВАТЬ:
Я заметил еще один интересный предмет - Выдающееся имя Описанное выше значение ключа State \ Machine возвращается пустым. Не знаю, как и почему. Я попытался вставить правильное значение, но это не сработало.
После всех головных болей и проблем, которые это вызвало за последние несколько недель, похоже, проблема заключалась в том, как был активирован наш сервер Windows. Похоже, кто-то случайно ввел ключ KMS через графический интерфейс.
Это привело к тому, что ОС не активировалась правильно и не была полностью (?) Присоединена к домену. Это отфильтровывалось до невозможности правильно взаимодействовать с контроллерами домена - поле присоединения к домену было серым - и запись DN, необходимая для работы групповой политики, не заполнялась. В конце концов, выделенное серым цветом поле присоединения к домену было той подсказкой, в которой я нуждался, указывая на проблему с лицензией Windows.
Когда я набрал ключ MAK и ввел информацию о KMS через cscript cscript slmgr.vbs /ipk xxxxx-xxxxx-xxxxx-xxxxx-xxxxx как и должно быть, все заработало именно так, как вы ожидали.
Надеюсь, это поможет еще одной бедной душе из-за месяца дополнительной работы.
Вы не упоминаете, запустили ли вы RSoP, но это будет мой первый шаг. Кроме того, показывает ли сервер какие-либо признаки «применения компьютерной политики» во время запуска?
Получив результаты RSoP, вы сможете по крайней мере увидеть, верит ли в это сервер. должен применять политики (по крайней мере, политики домена / пользователя по умолчанию).
--Начать редактировать-- Просто перечитайте и заметьте, что вы запустили GPRESULT. Поэтому я бы продолжил мониторинг процесса (см. Ниже). --Конец редактирования--
Следующим шагом будет использование Microsoft SysInternals Process Monitor в режиме ведения журнала загрузки, чтобы увидеть, что происходит.
Кроме того, еще одна вещь, которую я пробовал в прошлом, - это использовать PsExec для запуска командной строки, запущенной как локальный СИСТЕМА учетная запись. Затем вы можете выполнить простой список каталогов области политик в SYSVOL. Помните, что применение / фильтрация политик контролируется старыми-добрыми списками контроля доступа NTFS. Если ты можешь видеть политики * (а это будут компьютерные политики), у вас другая проблема.
* Политики перечислены в SYSVOL с использованием их GUID, но они могут быть решены путем запроса AD (или просмотра с помощью ADSIEDIT или аналогичного). Если вам нужен путь LDAP, кричите.