Mam domenę systemu Windows Server 2012 R2.
Wczoraj dysk sieciowy komputera (z systemem Windows 10 Pro) przestał działać.
Po dalszym badaniu ( gpresult /h
) wydaje się, że WSZYSTKIE obiekty zasad grupy zawodzą z powodu Inaccessible, Empty, or Disabled
.
Potwierdziłem, że wszystkie obiekty GPO nadal istnieją i są włączone zarówno na (redundantnych, jak i lokalnych) kontrolerach domeny. Ponadto istnieje 20 innych komputerów w tej samej domenie i sieci LAN bez żadnych problemów.
Jest jeszcze jeden komputer, który przetestowałem i który ma ten sam problem! Czy to oznacza, że problem dotyczy serwerów?
gpresult /r
zgłasza, że jeden klient otrzymuje obiekty GPO z lokalnego DC1, a drugi z DC2. Więc nie jest to problem związany z konkretnym DC.
gpupdate /force
nic nie naprawiono (chociaż twierdził, że zastosowano zasady).
Próbowałem usunąć wpisy rejestru dotyczące zasad lokalnych (postępując zgodnie z tym przewodnikiem /superuser/379908/how-to-clear-or-remove-domain-applied-group-policy-settings-after-leaving-the -do ) i ponowne uruchomienie - ten sam problem.
Znalazłem tę stronę pomocy technicznej firmy Microsoft ( https://support.microsoft.com/en-us/kb/2976965 ), ale twierdzi ona, że dotyczy tylko klientów Windows 7 lub wcześniejszych.
Wszystkie moje maszyny (zarówno serwer, jak i klient) mają 64-bitowe wersje i są w pełni zaktualizowane. Ponownie uruchomiłem je wszystkie, aby się upewnić.
Odpowiedzi:
Sprawdź poprawki odnośnik joeqwerty zbyt .
Jest ważny szczegół:
Znane problemy
MS16-072 zmienia kontekst bezpieczeństwa, z którym pobierane są zasady grupy użytkowników. Ta zmiana zachowania według projektu chroni komputery klientów przed luką w zabezpieczeniach. Przed zainstalowaniem biuletynu MS16-072 zasady grupy użytkowników zostały pobrane przy użyciu kontekstu zabezpieczeń użytkownika. Po zainstalowaniu biuletynu MS16-072 zasady grupy użytkowników są pobierane przy użyciu kontekstu zabezpieczeń komputera. Ten problem dotyczy następujących artykułów z bazy wiedzy:
Objawy
Wszystkie zasady grupy użytkowników, w tym te, które zostały przefiltrowane pod kątem bezpieczeństwa na kontach użytkowników lub grupach zabezpieczeń, lub na obu, mogą nie zostać zastosowane na komputerach przyłączonych do domeny.
Przyczyna
Ten problem może wystąpić, jeśli w obiekcie zasad grupy brakuje uprawnień do odczytu dla grupy użytkowników uwierzytelnionych lub jeśli korzystasz z filtrowania zabezpieczeń i brakuje uprawnień do odczytu dla grupy komputerów w domenie.
Rozkład
Aby rozwiązać ten problem, użyj konsoli zarządzania zasadami grupy (GPMC.MSC) i wykonaj jeden z następujących kroków:
- Dodaj grupę Użytkownicy uwierzytelnieni z uprawnieniami do odczytu w obiekcie zasad grupy (GPO).
- Jeśli korzystasz z filtrowania zabezpieczeń, dodaj grupę Komputery Domeny z uprawnieniami do odczytu.
Zobacz ten link Wdróż MS16-072, który wyjaśnia wszystko i oferuje skrypt do naprawy dotkniętych obiektów GPO. Skrypt dodaje Uwierzytelnionych użytkowników uprawnienia do odczytu do wszystkich obiektów zasad grupy, które nie mają uprawnień dla Uwierzytelnionych użytkowników.
Jeśli wolisz ustawić uprawnienia do odczytu dla komputerów w domenie (tak jak ja) zamiast użytkowników uwierzytelnionych, po prostu zmień to
0 {$appliedgroup = "Authenticated Users"}
na0 {$appliedgroup = "Domain Computers"}
źródło