我的問題是,當客戶端剛啟動時,不會套用群組原則。啟動後,用戶端立即在事件日誌中發布一條錯誤訊息,來源為“GroupPolicy (Microsoft-Windows-GroupPolicy)”,事件 ID 1058:“群組原則處理失敗。[...]”。在「詳細資料」標籤中,ErrorCode 為 50,代表 ERROR_NOT_SUPPORTED。這不僅僅是一個表面問題:策略確實沒有正確應用:例如,映射的網路磁碟機不存在。等待一段時間後,執行「gpupdate」有效且策略正常應用:出現已對應的網路磁碟機。
我能夠重現問題的最簡單場景:在新安裝的 Windows Server 2012R2 上新建立的網域,用戶端是新安裝的 Windows 10 64 位元電腦。此網域僅由一個網域控制器組成,與其他網域沒有任何關係。
由於錯誤訊息指出 Windows 無法從網域的 Sysvol 共用讀取 .GPT 文件,因此我嘗試從命令提示字元存取相同文件。事實上,當我在啟動後立即打開命令提示字元時,我得到以下資訊:
C:\Users\username>dir \\domain.example.com\sysvol
The request is not supported.
等待一兩分鐘後,執行相同的命令將給出目錄列表。此時執行 gpupdate 就可以正常運作了。
我確實將群組原則設定“電腦啟動和登入時始終等待網路”設置為“啟用”,並且我知道應用了此策略:在同一個策略物件中指定了註冊表設置,當我檢查註冊表時在客戶端上有指定的設定。
其他可能相關的因素:
- NTLM 在網域中受到限制,但這似乎並不重要:即使在啟用它、更新策略並重新啟動所有電腦之後,症狀仍然相同。
- 伺服器是使用 DHCP 設定還是靜態設定並不重要。
- 該網域的 DNS 伺服器不支援動態更新。手動新增必要的記錄(來自 C:\Windows\System32\config\netlogon.dns)
- 客戶端上停用休眠(使用
powercfg /h off),因此每次啟動都是完全啟動,而不是快速啟動 - 策略啟動策略處理等待時間設定為 120 秒
- 與直流電的連接工作正常。 Ping 會起作用。關閉客戶端、在 AD 中停用我的帳戶、開啟用戶端將導致客戶端無法登入我:它立即註意到該帳戶已停用。
- 除了這個問題之外,我沒有發現任何異常情況。
這似乎更像是 SMB 問題,而不是群組原則問題。嗅探伺服器端的連線顯示了一些有趣的事情:我第一次執行該命令時dir \\domain.example.com\sysvol,DC 上的 Microsoft Message Analyzer 中顯示以下內容:
- 客戶端與DC的445埠建立TCP連接,且ComNegotiation成功執行(DialectRevision:0x02FF)。
- 之後,立即成功執行協商。 DialectRevision 是 0x0302。
- 之後,客戶端立即使用 TCP RST (??) 關閉 TCP 連接
接下來每次我發出命令並收到錯誤時,都會發生步驟 2 和 3。
當命令開始工作時,會發生步驟 1 和 2,但用戶端不是發送 TCP RST,而是執行 SessionSetup,然後是 TreeConnect,然後發生大量(看似正常的)SMB 聊天。
因此,看起來客戶端在啟動後一兩分鐘之前無法正確地與 DC 進行 SMB 對話,這會導致群組原則處理失敗。
有人知道我如何調試和解決這個問題嗎?
答案1
從 Windows 8 開始,微軟引入了「快速啟動」的概念,當您關閉作業系統時,它們會休眠作業系統記憶體佔用,就像休眠在正常休眠場景中一樣。這會導致作業系統啟動速度更快,但也會產生在啟動時停用每台電腦 GP 處理的副作用。這可能就是您所看到的,可以透過停用電腦設定\策略\管理範本\系統\關機\需要使用快速啟動下的策略來停用此功能
如果這不能解決問題,那麼很可能是網路堆疊計時問題,也就是電腦的 GP 處理在網路堆疊完全初始化之前就開始了。這個問題從XP 開始就存在,從Windows 7 開始,微軟在電腦配置\策略\管理範本\系統\群組原則\啟動策略處理等待時間下新增了一個策略,您可以在其中增加GP 在啟動之前等待的時間。嘗試將其設為 60 秒,看看是否有幫助。
達倫
答案2
我自己設法解決了這個問題。為了參考這就是解決我的問題的方法:
首先,我錯了,禁用 NTLM 的所有阻止會導致相同的症狀。這導致了不同的症狀,恰好有同樣的效果。如果沒有任何有效的 NTLM 阻止策略,該dir命令現在會導致存取被拒絕錯誤。群組策略仍然不適用,這是有道理的:SYSVOL 仍然無法存取。
一些網路搜尋告訴我,我知道有一個更常見的問題。儘管。顯然,Windows 10 用戶端在存取網域控制站的 SYSVOL 共用(可能還有 NETLOGON 共用)時可能會出現問題。據推測,Windows 10 更改了存取這些共享的方式,這可能會導致問題。解決方法是透過為 Windows 10 用戶端設定「強化 UNC 路徑」群組策略,在用戶端上為這些共用停用 UNC 路徑強化,如下所示:
\\*\SYSVOL RequireMutualAuthentication=0,RequireIntegrity=0,RequirePrivacy=0
\\*\NETLOGON RequireMutualAuthentication=1,RequireIntegrity=1
(如果您在從 Windows 10 用戶端存取 Netlogon 共用時遇到問題,也可以將該共用的所有三個參數設為零。)
請參閱Microsoft 關於 MS15-011 的文章了解更多。它包含對更改此設定的安全性影響的詳細描述,以及如何更改策略的詳細步驟。
警告: 注意上面的設置停用針對安全問題 MS15-011 的部分或全部保護措施就是為此而創建的!不要只是盲目地複製/貼上它們,但根據所涉及的風險做出明智的決定。此外,這個問題很可能在未來某個時候得到解決。發生這種情況時,請不要忘記將此策略設定為 MS15-011 中所述的建議值。
答案3
僅供發現此線程的其他人參考,透過將相互身份驗證設為 0 來關閉 UNC 強化會停用某些安全性。我們在 win7 用戶端上遇到了相同的問題,我正在嘗試與 Microsoft 合作解決這個問題。他們告訴我這是一個錯誤,但到目前為止還沒有給我一種方法來追蹤該錯誤何時得到解決。
請參閱此其他線程以獲取更多信息 https://social.technet.microsoft.com/Forums/en-US/6a20e3f6-728a-4aa9-831a-6133f446ea08/gpos-do-not-apply-on-windows-10-enterprise-x64
答案4
我嘗試了一些建議,包括註冊表更改和本地組策略更改,但都沒有解決問題 - 映射驅動器在啟動時仍然被 X'ed。 gpupdate 每次都會修復它,但這對使用者來說是一個額外的步驟。
最終解決該問題的方法是手動映射網路驅動器,取代每個驅動器上的 GPO 條目。無需斷開連接和更換,我將它們映射為與映射相同的方式,只需手動即可。