У меня есть сеть Windows, основанная на устаревшей инфраструктуре Windows Server 2003, с двумя контроллерами домена, настроенными на репликацию между собой.
Пытаясь выяснить, почему не применяется определенный объект групповой политики, я обнаружил, что членство в компьютерной группе на реальном компьютере неправильно установлено. Запуск от имени администратора: gpresult /v перечисляет только группы по умолчанию, но не другие группы, в которые входит компьютер. Эти группы отображаются, если я перехожу к «Членам» для учетной записи компьютера в домене. Группы представляют собой глобальные группы безопасности (а не группы распределения).
Если я применяю параметр GPO к политике домена по умолчанию, он также применяется к компьютеру, чтобы он мог получить свои параметры GPO и применить их.
Доступно любое членство в группе пользователей, даже если пользователь только что был добавлен в группу.
Я пробовал очистку klist как со спецификой, так и без нее (-lh и т. Д.), Удалив компьютер из домена (с самого компьютера) и повторно присоединив его к домену. Без изменений (во всяком случае потерял членство в группе «доменные компьютеры»).
Я убедился, что репликация между контроллерами домена работает с dcdiag и dcdiag /c, а gpresult /v call показывает основной DC (который также является IM) в качестве источника (я видел оба - без изменений).
Я совершенно не знаю, как отладить это дальше; whoami / groups не показывает ничего, кроме встроенных групп. Ни для одного из серверов постоянного тока в журнале событий нет предупреждений или ошибок.