组策略——Win10 用户组策略不生效

Win10 用户组策略不生效

2018年11月18日 21:59:05

问题现象

Windows server 2008部署的AD服务器和打印服务器，客户端系统有win7，有win10。通过组策略将打印机部署至每个用户，结果win7的打印机列表里面会自动出现组策略部署的打印机，win10的就是不出现。刚开始怀疑是Server 2008服务器版本低不兼容，后来添加Windows server 2016服务器，角色依旧是AD服务器和打印服务器，Server 2008降级并将林和域级别提升至Server 2016。可惜的是问题依旧。

如图所示，“GPNB-总经理办公室”里很多域用户。现象就是，用户如果使用的是win7，该GPO部署的打印机会自动出来，如果是win10，打印机就是不出来。反复重启、强制刷新组策略都不管用，而且发现这种问题不是个案，观察了很多客户端电脑，都有此规律。

问题原因

在不经意地添加authenticated users又删除它的时候，碰到了一个系统提示。至此真想大白于天下。

提示的大体意思是要想从域控制器读取GPO数据以应用用户组策略，组策略得先取得计算机账户许可。Authenticated Users 或者Domain Computers安全组至少要添加一个到组策略的“安全筛选”里面，才能保证用户组策略被执行。

结合问题现象，可以得出结论：Windows 10、Windows Server 2016系列系统引入了新的组策略安全机制，给指定domain user用户应用用户组策略得先取得domain user 登陆的计算机的domain computer账户许可。

Authenticated Users：Windows系统中所有使用用户名、密码登录并通过身份验证的账户，不包括来宾账户Guest，即使来宾帐户有密码。与Everyone的区别在于Everyone包括所有账户，如内置的来宾账户和LOCAL_SERVICE。

Authenticated Users 是指只要是在计算机上经过验证的账号，即通过验证后的用户账号或者计算机账号都是属于该组的。

默认组策略是以这个组作为安全筛选，以便于让所有的计算机和用户都被应用到该策略。

系统的某些权限机制需要针对已经通过身份验证的用户来应用，因此使用这一用户组加以代表。

不添加“Domain Computers”，而只是添加个别计算机账号，结果组策略不生效。

添加“Domain Computers”并强制刷新组策略，GPO数据成功被复制到了客户端计算机相应的目录下了。

解决办法

一、GPO安全筛选中添加Authenticated Users，可是这样会对域中所有计算机上的所有user应用用户组策略。

二、GPO安全筛选中先添加computer账号或者组，然后再添加user账号或者组。