У нас есть проблема, когда члены домена, созданные из определенного образа Windows 8, больше не могут обновлять групповую политику компьютера.
Эти члены домена недавно были перемещены в новую организационную единицу, но переместить их обратно невозможно, поскольку структура OU значительно изменилась.
Были также некоторые (недокументированные) изменения групповой политики, но это не должно иметь значения, учитывая, что ошибка все еще возникает, когда член домена находится в OU без примененных к нему GPO.
Другие члены домена (не созданные из указанного образа Windows 8) в порядке. Кроме того, проблема не возникает при присоединении образа Windows 8 к новому лесу. Это всего лишь комбинация старого леса и конкретного образа Windows 8.
В выходных данных gpresult / h мы видим, что компонент инфраструктуры групповой политики отказал из-за ошибки «Произошла ошибка службы каталогов».
Мы считаем, что на стороне клиента есть что-то, что нужно удалить / сбросить, чтобы клиент мог вести себя нормально.
Кто-нибудь знает, как это исправить?
Хотя это старый вопрос, он может быть полезен другим. Что нужно попробовать, если ваш GPclient отказывается извлекать новые объекты групповой политики (при условии, что вы заранее проверили, что состояние ссылки, область действия и т. Д. Новых объектов групповой политики верны):
gpupdate /target:computer /force /boot"%ALLUSERSPROFILE%\Application Data\Microsoft\Group Policy\History\*.*HKLM\SOFTWARE\PoliciesHKLM\SOFTWARE\Policies\Microsoft\Windows\System!UserPolicyMode (определяет режим обратной связи) C:\WINDOWS\security\Database\secedit.sdbHKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\PoliciesHKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group PolicyHKLM\SOFTWARE\Microsoft\Group Policycleanregpol.exe (есть Google для этого) Обычно я добивался наибольшего успеха при использовании шага 4, за которым следовал шаг 1. Обычное предупреждение относится к редактированию реестра.
Вы можете удалить текущие настройки GPO, удалив HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy ключ, а затем повторно заполнить gpupdate /force
Я не уверен, что это решит вашу проблему, но я счел полезным принудительно обновлять политику, когда кажется, что в противном случае они зависли. Я бы попытался массово протолкнуть его через psexec.
На самом деле. Это застрявшая политика. К счастью, есть довольно гениальный способ решить эту проблему. К сожалению, это неизвестно. Надеюсь, этот ответ дойдет до достаточного количества системных администраторов, чтобы исправить это.
Кстати, это работает на всех версиях Windows.
Это решение зависит от того, что рассматриваемая машина отключена от домена. Если он НЕ отключен от домена через ОС, это НЕ будет работать.
После отсоединения машины от контроллера домена (DC) войдите в систему, используя локальную (машинную) учетную запись администратора.
Выберите «Пуск» (откройте меню «Пуск»)> «Выполнить» (откройте приложение «Выполнить»), введите cmd (без кавычек) и нажмите Enter. [Или откройте меню «Пуск» и затем запустите программу командной строки.]
Введите gpupdate / force / boot и нажмите Enter.
По завершении перезагрузитесь. Старая групповая политика исчезла.
В основном, как это работает (поскольку он не получает политики при запуске команды), он применяет пустую политику, которая эффективно удаляет застрявшую политику раз и навсегда.
Если у вас возникнут проблемы, запустите gpresult / H GPReport.html из окна командной строки. Если вы видите контроллер домена или свидетельство того, что он использовал политику, отделите свой компьютер от сети, работающей на контроллере домена, и подключите машину к отдельной сети.
Для этого решения не требуется подключение к Интернету, но ссылка должна быть подключена, и у нее должен быть IP-адрес.