Настройки компьютера GPO не обновляются. Политика общего домена и все пользовательские настройки работают нормально.

Содержание

Вопрос или проблема
Ответ или решение
1. Проверьте настройки DNS на клиентских компьютерах
2. Проверьте службу DNS на контроллере домена
3. Убедитесь, что DNS-записи корректны
4. Проверьте настройки DHCP (если используется)
5. Используйте команду gpresult
6. Ручное обновление групповой политики
7. Логи в Event Viewer
Заключение

Вопрос или проблема

Сервер 2008R2, клиенты Win7

У меня небольшой домен с тремя GPO, связанными с самим доменом. Первая (порядок ссылки 1) – это политика по умолчанию для домена, которая была создана автоматически и содержит настройки для политик паролей. Вторая (порядок ссылки 2) – это политика, описывающая карты дисков, редирекцию папок и некоторые оффлайн-файлы. Третья предназначена для привилегированных пользователей и добавляет дополнительные карты дисков и параметры папок. Эта (и только эта) GPO имеет фильтрацию безопасности для группы пользователей “привилегированные пользователи” и содержит только пользовательские настройки. Остальное установлено для аутентифицированных пользователей.

Все пользовательские настройки применяются должным образом в заданном порядке. Однако настройки компьютера применяются только из политики по умолчанию для домена, как сообщается в gpresult. Когда я запускаю gpupdate, пользовательские настройки применяются успешно, но возникает ошибка при попытке обновить настройки компьютера.

Политика компьютера не может быть
успешно обновлена. Были найдены следующие ошибки:

Обработка групповой политики завершилась неудачно.
Windows не смог получить имя контроллера домена.
Это может быть вызвано сбоем разрешения имен.
Проверьте, правильно ли настроена и функционирует
ваша система доменных имен (DNS).

Есть идеи, что не так с моими DNS-настройками? Какие ошибки в DNS могут привести к тому, что пользовательские настройки применяются, а настройки компьютера – нет? И почему политика по умолчанию для домена не испытывает этих проблем?

Мне кажется, что ваши клиенты не используют ваши контроллеры домена в качестве своих DNS-серверов. Вам следует убедиться, что ваши контроллеры домена действительно запускают DNS для вашей зоны AD и что ваши клиенты настроены на их использование.

Если в вашей конфигурации произошли изменения, старые политики все равно будут применяться, так как они кэшируются на клиентах, но они не смогут обновить или проверить новые политики. Если вы используете DHCP, убедитесь, что он настроен на конфигурацию клиентов для использования правильных DNS-серверов.

Ответ или решение

Согласно вашему описанию, проблема с обновлением компьютерных настроек групповой политики (GPO) может быть вызвана некорректной конфигурацией DNS на клиентах. Ниже приведены шаги, которые помогут вам диагностировать и решить проблему.

1. Проверьте настройки DNS на клиентских компьютерах

Убедитесь, что компьютеры Windows 7 настроены так, чтобы использовать контроллер домена (DC) в качестве своего DNS-сервера. Для этого выполните следующие действия:

Откройте "Центр управления сетями и общим доступом".
Перейдите в "Изменение параметров адаптера".
Щелкните правой кнопкой мыши на используемом сетевом подключении и выберите "Свойства".
Выберите "Протокол интернета версии 4 (TCP/IPv4)" и нажмите "Свойства".
Убедитесь, что в разделе "Использовать следующие адреса DNS-серверов" указан IP-адрес вашего контроллера домена.

Если настройки неправильные, измените их и проверьте состояние подключения к DNS с помощью команды nslookup (например, nslookup yourdomain.local).

2. Проверьте службу DNS на контроллере домена

Убедитесь, что служба DNS работает на вашем контроллере домена. Для этого выполните следующие шаги:

Откройте "Диспетчер серверов" на Windows Server 2008 R2.
Перейдите в "Управление" -> "Службы".
Найдите "DNS Server" и убедитесь, что статус службы "Запущена". Если она не запущена, запустите ее.

3. Убедитесь, что DNS-записи корректны

Проверьте, что записи DNS для вашего домена и контроллера домена присутствуют и корректны:

Откройте "DNS Manager" на вашем контроллере домена.
Перейдите в соответствующую зону вашего домена и убедитесь, что записи "A" (для контроллера домена) присутствуют и имеют правильные IP-адреса.

4. Проверьте настройки DHCP (если используется)

Если вы используете DHCP для автоматической настройки сетевых параметров клиентов, убедитесь, что сервер DHCP правильно указывает адреса DNS. Проверьте настройки пула IP-адресов и убедитесь, что параметр "DNS-сервер" указывает на контроллер домена.

5. Используйте команду `gpresult`

Для диагностики проблем с GPO используйте команду gpresult /h gpresult.html, чтобы получить подробный отчет о применяемых политиках, включая ошибки. Откройте созданный файл в веб-браузере, чтобы более точно проанализировать, какие политики применяются, а какие — нет.

6. Ручное обновление групповой политики

После проверки всех вышеуказанных шагов попробуйте обновить групповые политики вручную с помощью команд:

gpupdate /force

7. Логи в Event Viewer

Проверьте события в "Просмотр событий" на клиенте и контроллере домена. В разделе "Журналы Windows" -> "Приложение" и "Система" ищите сообщения об ошибках, связанных с групповой политикой и DNS.

Заключение

Если после выполнения всех шагов проблема сохраняется, возможно, стоит проверить наличие других факторов, которые могут влиять на работу GPO, таких как брандмауэры или антивирусные программы. Также стоит рассмотреть возможность тестирования на другом клиенте или в иной сети.