我們最近一直在清理我們的網域、活動目錄、群組原則等。定義的中央儲存庫在某個時候已經用核武摧毀了自己。因此,總的來說,我們的域多年來經歷了太多具有不同經驗水平的不同系統管理員的困擾,並且還從2000 年至2003 年以及2003 年至2008 年進行了升級,我們準備在明年內進行另一次升級。
無論如何,我們似乎遇到的一個問題是非常臃腫的預設域策略,其中添加了各種隨機設定。我猜想某些設定在某些時候已被棄用,而且我似乎無法找到它們來在編輯器中將其關閉。我將很多東西放入更多與主題相關的GPO 中,確保它們仍然被合併等等。不是所有機器,但基於使用者或 PC 的 OU,或 Win 7 與 Win 10 等,沒有明顯的其他模式。它是“系統屬性”>“遠端”選項卡中的特定設定。
此時我意識到中央儲存庫中的管理範本已被破壞(我自己對 Windows 網域管理有點陌生)。我的猜測是,預設網域策略或我一直在修復或刪除的其他策略之一包含了一些我在 GPO 編輯器中看不到的設置,因為我們甚至沒有加載該策略模板。因此,在加載預設模板後,我編輯了正確的設置,應用了 GPO,強制更新......但什麼也沒發生。我強制強制執行,我確保它會擊中我的用戶,在 GPRESULT 中確認,然後我什至將它鏈接到最接近我的 AD 對象的 USER 和 PC OU 中......但仍然沒有。
我手動將兩個註冊表項新增到 GPO 以允許遠端桌面並且不需要 NLA。依然沒有。我可以手動切換這些註冊表項,然後在系統屬性面板中更改設置,將註冊表項更改回確認狀態,但 GPO 不會更改註冊表項。
我在範圍:計算機設定上運行 GPRESULT 我看到以下內容:
該 GPO 的設定顯示在「設定」中
該政策顯示在“應用 GPO”下並顯示“強制 = 是”
正確的獲勝 GPO 列在各個設定中,註冊表項顯示「結果:成功」。
是的,在多次 GPUPDATE /FORCE、重新啟動、等待 GPO 刷新週期(加上最大偏移值)之後,這些設定不會在我的 PC 上更改,並且沒有更改!
有人能在這裡指出正確的方向嗎?任何幫助將非常感激!
編輯:
具體設定: 管理範本方法:Windows 元件/遠端桌面服務/遠端桌面會話主機/連線 允許使用者使用遠端桌面服務進行遠端連線 - 已啟用
Windows 元件/遠端桌面服務/遠端桌面會話主機/安全性需求使用網路層級驗證對遠端連線進行使用者驗證 - 已停用
登錄項目方法: HKEY_LOCAL_MACHINE SYSTEM\CurrentControlSet\Control\Terminal Server fDenyTSConnections REG_DWORD 0x0 (0)
HKEY_LOCAL_MACHINE SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp UserAuthentication REG_DWORD 0x0 (0)
它們都是計算機的變化。
我已經在 PC OU 的範圍內嘗試過使用 GPO,並且還嘗試將 GPO 放在用戶和 PC 的範圍內。
答案1
我應該更仔細地閱讀你的問題。
您在登錄中的錯誤位置尋找群組原則設定。群組原則設定(來自「管理範本」部分)被寫入以下四個登錄位置之一:
HKEY_LOCAL_MACHINE\SOFTWARE\policies
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies
HKEY_CURRENT_USER\SOFTWARE\policies
HKEY_ CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies
像您所做的那樣手動修改註冊表項有點轉移注意力。您期望群組原則變更這些按鍵,並且在沒有看到您期望的結果時,您得出的結論是群組策略沒有被應用...但正如您的GPRESULT 結果所證明的那樣.... ..您只是在錯誤的地方尋找更改。
當群組原則配置這些設定時,您應該會看到它反映在 GUI 中。在下圖中,該設定不可用,這意味著它由群組原則管理:
在下圖中,該設定可用,這表示它不受群組原則管理:
