最近、ドメイン、アクティブ ディレクトリ、グループ ポリシーなどをクリーンアップしました。MCSDCS DNS ゾーンは間違った場所にあり、SYSVOL は 1 年以上ジャーナル ラップ エラーでロックされていたためレプリケートされておらず、ポリシー定義の中央リポジトリは、ある時点で自動的に消去されました。したがって、全体として、ドメインは、さまざまなレベルの経験を持つ多くの異なるシステム管理者を経た長年の苦労の影響を受けており、2000 年から 2003 年、さらに 2003 年から 2008 年へとアップグレードされており、今後 1 年以内に別のアップグレードを行う準備をしています。
いずれにせよ、私たちが抱えていた問題の 1 つは、非常に肥大化した既定のドメイン ポリシーで、さまざまなランダムな設定が追加されていました。一部の設定は、ある時点で廃止されたと思われますが、エディターで無効にする方法が見つからなかったようです。私は多くのものをよりトピック関連の GPO に取り出し、それらがまだ統合されていることを確認しました。それを実行すると、建物内のほぼすべてのマシンで RDP 設定がすべてデフォルトに戻りました。すべてではありませんが、ユーザーまたは PC の OU、または Win 7 と Win 10 などに基づく明らかな他のパターンはありません。Windows ファイアウォールは使用していないため、ファイアウォール関連の設定ではありません。これは、[システム プロパティ] > [リモート] タブの特定の設定です。
ここで、中央リポジトリ内の管理テンプレートが削除されたことに気付きました (私自身、Windows ドメイン管理については初心者です)。推測ですが、既定のドメイン ポリシーか、修正または削除していた他のポリシーのいずれかに、ポリシー テンプレートが読み込まれていなかったために GPO のエディターで確認できない設定が含まれていたのではないかと思います。そのため、既定のテンプレートを読み込んだ後、正しい設定を編集し、GPO を適用し、強制的に更新しましたが、何も起こりませんでした。強制的に適用し、ユーザーに適用されることを確認し、GPRESULT で確認し、AD オブジェクトに最も近い USER OU と PC OU にリンクしましたが、それでも何も起こりませんでした。
リモート デスクトップを許可し、NLA を必要としないために、2 つのレジストリ キーを GPO に手動で追加しました。それでも何も起こりません。これらのレジストリ キーを手動で切り替えることができ、システム プロパティ パネルで設定を変更すると、キーが確認に戻りますが、GPO ではキーが変更されません。
スコープ:コンピュータ設定で GPRESULT を実行すると、次の結果が表示されます。
そのGPOの設定は「設定」に表示されます
ポリシーは「適用されたGPO」の下に表示され、「強制 = はい」と表示されます。
正しい勝利の GPO は個々の設定にリストされ、レジストリ キーには「result:success」と表示されます。
はい、GPUPDATE /FORCE を複数回実行し、再起動し、GPO 更新サイクル (および最大オフセット値) を待機した後も、PC の設定は変更されません。
誰か私に正しい方向を示してもらえますか? どんな助けでも大歓迎です!
編集:
特定の設定: 管理テンプレート アプローチ: Windows コンポーネント/リモート デスクトップ サービス/リモート デスクトップ セッション ホスト/接続 ユーザーがリモート デスクトップ サービスを使用してリモート接続できるようにする - 有効
Windows コンポーネント/リモート デスクトップ サービス/リモート デスクトップ セッション ホスト/セキュリティ ネットワーク レベル認証を使用してリモート接続にユーザー認証を要求する - 無効
レジストリ キー アプローチ: HKEY_LOCAL_MACHINE SYSTEM\CurrentControlSet\Control\Terminal Server fDenyTSConnections REG_DWORD 0x0 (0)
HKEY_LOCAL_MACHINE SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp UserAuthentication REG_DWORD 0x0 (0)
どちらもコンピュータの変更です。
私は、PC OU のスコープ内の GPO でこれを試し、また、ユーザーと PC の両方のスコープ内に GPO を配置しようとしました。
答え1
あなたの質問をもっと注意深く読むべきでした。
レジストリ内の間違った場所でグループ ポリシー設定を探しています。グループ ポリシー設定 (管理用テンプレート セクションから) は、次の 4 つのレジストリの場所のいずれかに書き込まれます。
HKEY_LOCAL_MACHINE\SOFTWARE\ポリシー
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ポリシー
HKEY_CURRENT_USER\SOFTWARE\ポリシー
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies
あなたが行ったようにレジストリ キーを手動で変更するのは、少々的外れです。グループ ポリシーがそれらのキーを変更することを期待していて、期待した結果が表示されなかったため、グループ ポリシーが適用されていないという結論に達しました... しかし、GPRESULT の結果が証明しているように、変更を見つける場所を間違えているだけです。
これらの設定がグループ ポリシーによって構成されている場合、GUI に反映されるはずです。下の画像では設定が利用できないため、グループ ポリシーによって管理されていることを意味します。
下の画像では設定が利用可能であり、グループ ポリシーによって管理されていないことを意味します。
