GPO가 적용되지 않습니다. 이유 : 액세스 할 수 없거나 비어 있거나 비활성화되어 있습니다. Server 2012 R2 및 Windows 10


16

Windows Server 2012 R2 도메인이 있습니다.

어제 컴퓨터 (Windows 10 Pro 실행) 네트워크 드라이브가 작동을 멈췄습니다.

추가 조사 후 gpresult /h모든 그룹 정책 개체가 이유와 함께 실패한 것으로 나타납니다 Inaccessible, Empty, or Disabled.

모든 GPO가 여전히 존재하며 (중복 및 로컬) 도메인 컨트롤러에서 모두 활성화되어 있음을 확인했습니다. 또한 동일한 도메인 및 LAN에 20 개의 다른 시스템이 있으며 문제는 없습니다.

그러나 동일한 문제가있는 다른 컴퓨터가 테스트되었습니다! 서버에 문제가 있다는 의미입니까?

gpresult /r한 클라이언트가 로컬 DC1에서 GPO를 받고 다른 클라이언트가 DC2에서 GPO를 받고 있다고보고합니다. 따라서 특정 DC와 관련된 문제는 아닙니다.

gpupdate /force 정책이 적용되었다고 주장했지만 아무것도 고치지 않았습니다.

로컬 정책에 대한 레지스트리 항목을 삭제하려고했습니다 (이 안내서에 따라 /superuser/379908/how-to-clear-or-remove-domain-applied-group-policy-settings-after-leaving-the -do ) 및 재부팅 중-동일한 문제.

Microsoft ( https://support.microsoft.com/en-us/kb/2976965 ) 에서이 지원 페이지를 찾았 지만 Windows 7 또는 이전 클라이언트에만 적용된다고 주장합니다.

모든 내 컴퓨터 (서버 및 클라이언트 모두)가 64 비트 버전을 실행하고 있으며 완전히 업데이트되었습니다. 확실하게하기 위해 모두 재부팅했습니다.



감사. 귀하의 의견은 해결책의 단서를 제공했습니다. 아래를 참조하십시오.
Daniel

답변:


19

패치 joeqwerty 링크 확인하십시오 .

중요한 세부 사항이 있습니다.

알려진 문제

MS16-072는 사용자 그룹 정책이 검색되는 보안 컨텍스트를 변경합니다. 이 의도적으로 설계된 동작 변경은 보안 취약점으로부터 고객의 컴퓨터를 보호합니다. MS16-072를 설치하기 전에 사용자의 보안 컨텍스트를 사용하여 사용자 그룹 정책을 검색했습니다. MS16-072를 설치 한 후 컴퓨터 보안 컨텍스트를 사용하여 사용자 그룹 정책을 검색합니다. 이 문제는 다음 기술 자료 문서에 적용됩니다.

  • 3159398 MS16-072 : 2016 년 6 월 14 일 그룹 정책 보안 업데이트에 대한 설명
  • 3163017 Windows 10 누적 업데이트 : 2016 년 6 월 14 일
  • Windows 10 버전 1511 및 Windows Server 2016 Technical Preview 4 용 누적 업데이트 : 2016 년 6 월 14 일
  • 3163016 Windows Server 2016 Technical Preview 5 누적 업데이트 : 2016 년 6 월 14 일

조짐

사용자 계정이나 보안 그룹 또는 둘 다에서 보안 필터링 된 정책을 포함하여 모든 사용자 그룹 정책이 도메인에 가입 된 컴퓨터에 적용되지 않을 수 있습니다.

원인

이 문제는 그룹 정책 개체에 인증 된 사용자 그룹에 대한 읽기 권한이 없거나 보안 필터링을 사용하고 도메인 컴퓨터 그룹에 대한 읽기 권한이없는 경우에 발생할 수 있습니다.

해결

이 문제를 해결하려면 GPMC.MSC (그룹 정책 관리 콘솔)를 사용하고 다음 단계 중 하나를 수행하십시오.

-GPO (그룹 정책 개체)에 대한 읽기 권한이있는 Authenticated Users 그룹을 추가합니다.
-보안 필터링을 사용하는 경우 읽기 권한이있는 도메인 컴퓨터 그룹을 추가하십시오.

이 링크를 참조하십시오. MS16-072 배포 ( 모두 설명하고 영향을받는 GPO를 복구하기위한 스크립트 제공). 이 스크립트는 인증 된 사용자에 대한 권한이없는 모든 GPO에 인증 된 사용자 읽기 권한을 추가합니다.

# Copyright (C) Microsoft Corporation. All rights reserved.

$osver = [System.Environment]::OSVersion.Version
$win7 = New-Object System.Version 6, 1, 7601, 0

if($osver -lt $win7)
{
    Write-Error "OS Version is not compatible for this script. Please run on Windows 7 or above"
    return
}

Try
{
    Import-Module GroupPolicy
}
Catch
{
    Write-Error "GP Management tools may not be installed on this machine. Script cannot run"
    return
}

$arrgpo = New-Object System.Collections.ArrayList

foreach ($loopGPO in Get-GPO -All)
{
    if ($loopGPO.User.Enabled)
    {
        $AuthPermissionsExists = Get-GPPermissions -Guid $loopGPO.Id -All | Select-Object -ExpandProperty Trustee | ? {$_.Name -eq "Authenticated Users"}
        If (!$AuthPermissionsExists)
        {
            $arrgpo.Add($loopGPO) | Out-Null
        }
    }
}

if($arrgpo.Count -eq 0)
{
    echo "All Group Policy Objects grant access to 'Authenticated Users'"
    return
}
else
{
    Write-Warning  "The following Group Policy Objects do not grant any permissions to the 'Authenticated Users' group:"
    foreach ($loopGPO in $arrgpo)
    {
        write-host "'$($loopgpo.DisplayName)'"
    }
}

$title = "Adjust GPO Permissions"
$message = "The Group Policy Objects (GPOs) listed above do not have the Authenticated Users group added with any permissions. Group policies may fail to apply if the computer attempting to list the GPOs required to download does not have Read Permissions. Would you like to adjust the GPO permissions by adding Authenticated Users group Read permissions?"

$yes = New-Object System.Management.Automation.Host.ChoiceDescription "&Yes", `
    "Adds Authenticated Users group to all user GPOs which don't have 'Read' permissions"
$no = New-Object System.Management.Automation.Host.ChoiceDescription "&No", `
    "No Action will be taken. Some Group Policies may fail to apply"
$options = [System.Management.Automation.Host.ChoiceDescription[]]($yes, $no)
$result = $host.ui.PromptForChoice($title, $message, $options, 0)  
$appliedgroup = $null
switch ($result)
{
    0 {$appliedgroup = "Authenticated Users"}
    1 {$appliedgroup = $null}
}
If($appliedgroup)
{
    foreach($loopgpo in $arrgpo)
    {
        write-host "Adding 'Read' permissions for '$appliedgroup' to the GPO '$($loopgpo.DisplayName)'."
        Set-GPPermissions -Guid $loopgpo.Id -TargetName $appliedgroup -TargetType group -PermissionLevel GpoRead | Out-Null
    }
}

당신은 (내가하는 것처럼) 오히려 도메인 컴퓨터에 대한 읽기 권한을 설정하는 역자 주 경우 인증 된 사용자는이 설정을 변경보다 0 {$appliedgroup = "Authenticated Users"}그에게0 {$appliedgroup = "Domain Computers"}


잠정적으로 이것을 답변으로 표시 할 것 같습니다. 보안 필터링에 대한 읽기 권한으로“도메인 컴퓨터”를 추가했으며 이제 문제가있는 컴퓨터 중 하나 이상이 작동하고 있습니다. 따라서 Windows Update를 통해 패치가 서버에 자동으로 적용되어이 문제가 발생했다고 가정합니다. 이제 GPO의 위임 탭과 보안 필터링 섹션의 차이점이 무엇인지 궁금합니다. 읽을 시간
Daniel

2
혼란을 조금 더하기 위해서는 정책을 적용하기 위해 사용자를 포함하는 보안 그룹과 컴퓨터를 포함하는 그룹을 추가해야했습니다. 하나 (사용자 또는 컴퓨터) 만 추가하면 정책이 적용되지 않습니다. 반드시 도메인 컴퓨터 그룹 일 필요는 없으며 정책을 적용해야 할 경우 사용자와 컴퓨터의 조합 만 보안 필터링에서 유효해야합니다.
Adwaenyth

그것은 회사를 위해 수정되었습니다-> 그룹 정책 개체 (GPO)에 대한 읽기 권한으로 인증 된 사용자 그룹 추가. Big thx
Brain Foo Long

모든 사람들이 GPO를 적용하기를 원하지 않기 때문에 실제 솔루션이 아닌 것 같습니다. MS가 여전히 Windows Update에서이를 배포하는 이유는 무엇입니까? 모든 것을 망칩니다.
Sephethus

@Sephethus 위임 탭을 사용하여 도메인 컴퓨터를 올바르게 추가하면 GPO가 정상적으로 작동합니다. GPO에 컴퓨터 설정이 없으면 도메인 컴퓨터를 보안 필터에 추가해도 아무 것도 적용되지 않지만 위임 탭이 더 좋습니다.
yagmoth555
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.