2008 AD组策略无法被应用及复制问题

最新推荐文章于 2020-12-19 09:49:23 发布
最新推荐文章于 2020-12-19 09:49:23 发布
阅读量995 收藏
点赞数
分类专栏: 经验分享 文章标签: windows server domain service 服务器 活动
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bisheng_hu/article/details/4684974
版权
环境:
两台DC均为Win08的系统,森林和域级别均为2003AD的五个FSMO均在DC-01上,两个DC均为GCGPO操作对象为DC-01
 
表面现象:
最早是发现某些服务器在重启之后,某些应用的服务无法启动,在服务的属性配置里面,是以某个域用户身份启动的。检查日志以后发现,这些登陆操作因为拒绝,所以没有成功启动。之前在一个AD全局的GPO上已经配置了允许以服务登陆的设置,并添加了相关的两个域用户。
理论上,不应该存在拒绝登陆的问题。
 
深入问题:
然后我在AD当中专门新建了一个名为“logon as services”的安全组和OU。新建了一条“logon as services”的组策略,应用到整个AD上。并将AD全局GPO上的这个配置项取消。使得整个AD都只应用这条单独建立的这条GPO
但是在客户端无论是重启还是gpupdate命令,从日志能够看到,组策略应用成功,但是配置并没有生效。用/force也一样。
 
根本原因:
通过用GP Result检查,发现客户端应用的GPO来自与DC-02,想到所有的操作都是在DC-01,怀疑是两台DCGPO模板复制有问题。打开两台DC存放GPO的文件夹,发现果然DC-02上的GPO的修改时间是好几个月以前的。
但奇怪的是,在FRS复制日志中没有发生AD复制相关的警告和报错。
 
解决方案:
通过执行了以下步骤,最终解决了这个问题:
1.停止两台域控制器的NTFRS服务。
2.DC-02(有问题的)的注册表项/HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/NtFrs/Parameters/Backup/Restore/Process at StartupBurFlags值改为D2
3.DC-01(正常的)的注册表项HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/NtFrs/Parameters/Backup/Restore/Process at StartupBurFlags的值改为D4
4.重启两台域控制器的NTFRS服务。
5.等待一段时间同步后,再强制进行活动目录站点的复制以及组策略的强制刷新。
 
另外,这里在提供一些类似问题解决办法的KB链接,虽然不是明确针对Win08的,但基本原理是一样的,了解相关的操作差异以后,一样能够得到帮助。
1. Using the BurFlags registry key to reinitialize File Replication Service replica sets
2. How to force a non-authoritative restore of the data in the Sysvol folder . a domain controller in Windows 2000 Server and in Windows Server 2003

本文出自 “Bisheng.Hu” 博客,请务必保留此出处http://bisheng.blog.51cto.com/409831/130503

bisheng_hu
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
AD域更新计算机配置组策略无效的解决,Window server 2012 R2 AD域的组策略设置
weixin_39839162的博客
07-08 3103
1.AD域的组策略添加有助于管理AD域中的用户使用的client端的环境。2.组策略依附于AD域的OU构成3.使用“gpmc.msc”在运行里面打开,或者是在“开始—管理工具”里面打开4.在打开的组策略管理界面里面,林kaka下的DefaultDomain Policy为全局策略,而只对计算机做了配置。一、简单组策略的建立实现:来做一个实例说明组策略的简单实现:要求:更改行政部门的用户 popo ...
计算机策略无法作用于用户,【AD】客户端无法应用组策略问题系列
weixin_42467661的博客
06-17 2106
组策略包含计算机和用户,针对计算机的组策略开机即运作,对象是计算机,针对用户的组策略应用用户配置的时候生效,对象是用户。一。域控主机0.有没有用 gpupdate /force刷新过;1.看OU策略是针对计算机还是用户,如果是计算机,那么对应的计算机要移动到相应的OU内,用户也一样。不然是无法生效的;2.查看组策略父子关系是否有“强制”和“阻止继承”等,一般来说不会;3.查看DNS配置是否有出现...
AD域环境下组策略不生效排查.
热门推荐
zhuzhuxiazst的专栏
05-06 1万+
云桌面环境,设定了组策略,强制用户强密码,设定密码过期以及锁定账户策略后,发现实际终端策略没有生效。以下为排查思路: 1 在终端上执行 gpupdate /force,强制更新组策略。 2 在终端商执行gpresult /z 或者gpresult /v 查看终端应用组策略情况。 3 如果步骤2看不到创建的组策略在终端中应用,则排查域控服务器问题。 4 组策略里,域的根目录下,有一个D...
AD域要开放的端口
lionzl的专栏
10-22 6172
AD域要开放的端口 1.用户登录与验证身份时会用到的连接端口 Microsoft-DS traffic : 445/TCP 445/UDP Kerberos : 88/TCP 88/UDP LDAP ping : 389/UDP DNS : 53/TCP 53/UDP 2.计算机登录与验证身份时会用到的连接端口 Microsof
组策略复制失败排错思路实例
weixin_33681778的博客
05-26 262
背景描述:上午在做Branchcache的站点域的托管式缓存,由于是之前的环境快照过来的,在做的时候遇到了一个错误,不解决的话无法进行下去,故整理一下分享出来!实验拓扑故障描述:在总部DC上做了策略后,在分支结构的客户端上刷新组策略却报错如图:由于分支客户端并没有更新到总部下发的组策略,所以我们的Branchcache的实验也就无法在进行下去,我们就来谈谈如何排错吧!Setu...
03-Windows Server 2012 R2 AD组策略应用.rar
最新发布
08-25
**Windows Server 2012 R2中的活动目录(AD)与组策略应用** Windows Server 2012 R2是微软推出的一款企业级操作系统,它包含了许多关键的服务和功能,其中最重要的一项就是活动目录(Active Directory, AD)。AD是...
组策略加载过程分析,域控
07-06
5. 客户端在重新应用 AD 组策略的时候,就是直接去 \\域名\SYSVOL\域名\Policies\{GPO 的 GUID}\ 中复制所有的文件和文件夹,复制到 C:\WINDOWS\system32\GroupPolicy 目录中,然后套用 Registry.pol 的设置。...
AD(活动目录)管理员操作手册域控及组策略管理.docx
09-09
- **组策略**:定义并应用网络范围内的设置,如安全策略、桌面布局、应用程序配置等。 - **域控制器**:处理域内的身份验证请求,维护AD数据库的复制和一致性。 - **DNS集成**:将网络对象与DNS名称关联,简化资源...
组策略导入导出工具免安装
08-29
组策略Windows操作系统中用于管理和配置用户和计算机设置的重要功能,尤其在Active Directory(AD)环境中,它扮演着核心角色。AD域管理是大型企业或组织网络架构的基础,通过集中控制来规范用户权限、安全设置、...
AD组策略管理程序
04-09
AD组策略管理程序GPMC是Windows Server 2003及后续版本中不可或缺的管理工具,它使得管理员能够高效、直观地管理组策略对象,从而更好地控制和维护组织的网络环境。正确理解和运用GPMC,将有助于提升IT基础设施的...
域环境下禁止文件复制的方法
weixin_33712881的博客
07-28 2402
通过组策略:禁止剪切板重定向这个组策 可以实现 末验证 转载于:https://blog.51cto.com/amcto111/625213
组策略在客户机上不应用的解决方法
Frank的资料库
01-24 4848
组策略不apply到客户端上很久以前就遇到了,当时是研究 Event log 中的 UserEnv 1054 错误。MS的KB当时的解释是开机启动时网卡自动协商会有很多的闪断,造成组策略下载和处理的中断,解决方法是改注册表关闭NLA 网络地址感知。 当时就试验不行,因为不急,所以也就放下了. 前些天处理一个关于证书的问题,因为是通过组策略发布的,组策略应用应用程序就无法使用证书,仔细研究了一下
FRS 迁移到DFSR概述(第一部分 )
weixin_33738578的博客
03-18 2019
假设您尝试将在先前版本的Windows Server上运行的某个Active Directory域控制器(DC)升级到Windows Server 2019. 您可能会看到以下错误:“副本验证失败。指定的域[DomainName]仍在使用文件复制服务(FRS)来复制SYSVOL共享。 FRS已弃用。” DC域控 C盘驱动器的SYSVOL文件夹用于将登录脚本和组策略文件复制...
ad策略下发_AD组策略的设置(超详细)
weixin_39797393的博客
12-19 1975
一、编辑组策略1、允许用户登陆本计算机在OU里面→右键属性→组策略→新建策略→编辑策略→计算机配置→WINDOWS设置→安全设置→本地策略→用户权限分配→允许在本地登陆。用gpupdate /force 命令刷新。2、拒绝用户访问运行、CMD、以及批处理文件。1、在要设定的OU上点击右键→属性→组策略→编辑策略→用户配置→管理摸板→任务栏和开始菜单→删除开始菜单上的运行菜单。用gpupdate /...
域策略不生效解决办法
weixin_34104341的博客
03-23 8727
因生产环境发生变化,修改了域服务器的地址,及文件服务器地址。 所有终端桌面文件,通过域策略漫游存放到文件服务器上。现文件服务器地址发生了变更,所以在域策略中也修改了相关配置。 终端刷新组策略后,发现新的域策略没有生效。终端无法访问桌面文件。通过gpresult /r 命令查看,域策略应用是正确的。却为何新的域策略不会生效? 在终端win7系统中删除所有用户的配置文件...
AD域更新计算机配置组策略无效的解决
eggsound的博客
08-13 7123
组策略对所在的容器内的用户和计算机起作用,你的计算机有没有放在策略所在的容器内??? 比方说你是在销售部的OU上做的策略,但是你销售部的计算机在computers里没在销售部OU内,那计算机当然不会受到策略的控制了 ...
Windows Server 2008 R2 AD DS组策略管理与排故详解
Windows Server 2008 R2 Active Directory Domain Services (AD DS)架构中,组策略管理是关键的一环,它涉及到规划、设计、部署和维护企业的IT政策。本部分主要探讨以下几个关键知识点: 1. **组策略部署管理**:...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值