Políticas de grupo que não se aplicam a um servidor específico

5

Eu tenho um servidor - o 2008 R2 Enterprise, executando o WSUS e nosso servidor KMS - que não está conseguindo aplicar nenhuma política de grupo do domínio. Estou sem idéias de como fazer isso processar. Alguma ideia?

Meus passos até agora incluíram o seguinte.

  1. confirmou que o canal seguro é bom via netdom verify myhost
  2. tentou gpupdate /force
  3. Revisado a saída gpresult / v - que não mostra políticas de computador, o que acontece com isso
  4. Percorreu o registro. HKLM\Software\Microsoft\Windows\CurrentVersion\Group Policy\State\Machine\GPOLink-List mostra apenas uma entrada para a política local.
  5. Renomeie a pasta C: \ ProgramData \ Microsoft \ Diretiva de grupo
  6. Remova a chave HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\History
  7. Aplique as etapas descritas em KB310741
  8. verifique com atenção o log de eventos (aplicativo, sistema, política de grupo operacional), os quais não apresentam problemas.
  9. verifique o local no computador AD e as configurações de associação a grupos - deve haver cerca de 30 políticas sendo aplicadas.

Algo mais óbvio que eu perdi?

EDITAR:

Eu notei um item adicional de algum interesse - o valor Nome Distinto na chave Estado \ Máquina descrito acima está de volta em branco. Não sei como ou por quê. Tentei colar o valor correto, mas não funcionou.

    
por Tim Brigham 07.10.2013 / 18:58

2 respostas

4

Depois de todas as dores de cabeça e problemas que isso causou durante as últimas semanas, parece que o problema era como o nosso servidor Windows foi ativado. Parece que alguém inadvertidamente colocou uma chave do KMS por meio da GUI.

Isso resultou no sistema operacional não sendo ativado corretamente e não estando totalmente (?) associado ao domínio. Isso foi filtrado para não ser capaz de interagir com os controladores de domínio corretamente - a caixa de domínio de associação estava em cinza - e a entrada de DN necessária para que a diretiva de grupo funcionasse sem ser preenchida. No final, a caixa de junção out greyed out era a pista de que eu precisava, indicando um problema com a licença do Windows.

Quando eu digitava uma chave MAK e colocava as informações do KMS via cscript cscript slmgr.vbs /ipk xxxxx-xxxxx-xxxxx-xxxxx-xxxxx , como deveria ter sido, tudo começou a funcionar exatamente da maneira esperada.

Espero que isso ajude outra pobre alma em um mês de trabalho extra.

    
por 08.10.2013 / 23:02
1

Você não menciona se executou o RSoP, mas esse seria meu primeiro passo. Além disso, o servidor mostra algum sinal de "aplicação da política do computador" durante a inicialização?

Depois de obter seus resultados do RSoP, você pode pelo menos ver se o servidor acredita que deve estar aplicando políticas (se nada mais, as políticas de domínio / usuário padrão).

- Iniciar edição - Apenas releia e notou que você executou o GPRESULT. Eu continuaria com o monitor de processo (abaixo). - End Edit -

Meu próximo passo seria usar o Microsoft SysInternals Process Monitor no modo de log de inicialização para ver o que está acontecendo.

Além disso, outra coisa que tentei no passado é usar PsExec para iniciar um prompt de comando, sendo executado como a conta SYSTEM local. Em seguida, você pode executar uma listagem de diretórios simples da área de diretivas no SYSVOL. Tendo em conta que a aplicação / filtragem de políticas é controlada por ACLs NTFS de boa qualidade. Se você conseguir ver as políticas * (e essas serão as políticas do computador), você tem outro problema.

* As diretivas são listadas no SYSVOL usando seus GUIDs, mas elas podem ser resolvidas consultando-se o AD (ou navegando usando ADSIEDIT ou similar). Se você precisar do caminho LDAP, grite.

    
por 07.10.2013 / 19:31