概述

如果不是完全明白利用组策略管理AD的基本内容,组策略会很难设计、实现、排错。有在组策略中有一些移动的部分,更不用说组策略对AD正常运转的依赖。当为了一个希望的结果对组策略对象进行修改,但当组策略未正确工作会令人沮丧。这些年我总结了一个方法去排查造成对计算机和用户账户的组策了失败的原因。


1.DNS IP未配置正确

为了使组策略正常工作,受管理的PC必须正确的在AD进行认证。当客户端从DHCP获取IP,客户端到DNS获取这个域的域控制器的列表。同时,客户端获得了域的首选KDC。如果受管的电脑没有从DNS处获取域控制器信息,他不能采用kerberos认证,几乎所有的A