尽管符合过滤标准，GPO仍被拒绝

Question

我正在努力实现的

我们只在一个办公室使用集中打印，因此我需要确保在用户登录到终端服务器时存在相关的网络打印机，并防止任何本地打印机被重定向

问题

我有2倍的GPO，我只希望当用户登录到特定OU中的任何终端服务器时才适用于某个安全组。我已经通过安全过滤添加了这个组，但是GPO没有被应用，GP建模说访问被拒绝(安全过滤)。

不过，根据TechNet的说法，情况不应该是这样-

如果计算机帐户或用户帐户不符合安全筛选标准，则将在该客户端拒绝整个GPO。

我对上面的理解是，用户帐户符合安全过滤标准(即用户是指定的安全组的成员)，因此不应拒绝GPO。

正在尝试应用

的设置

下面是我目前正在做的事情的一步一步。每次用户登录到OU DD Terminal Servers中的终端服务器时，都会应用GPO。

第一个策略应该应用这些设置-

• 计算机-
  • 管理模板\System\组策略-
    • 组策略慢链路检测(禁用)
    • 脚本策略处理(启用、禁用、启用)
    • 用户组策略回送处理模式(替换)

• 用户-
  • Windows设置\脚本\登录
    • 一个名为add_network_printers.vbs的脚本

第二个策略应该应用这个设置(回想起来，它可以滚到上面的策略中，因为它应该影响相同的用户)-

• 计算机-
  • 管理模板\Windows组件/终端服务/客户机/服务器数据重定向-
    • 不允许客户端打印机重定向(已启用)

图像

下面的图片显示相关测试用户的GPO权限和组成员身份。请注意，我已经确保对象DD\Sherborne具有Apply Group Policy权限，尽管它在这里没有显示-

有人能帮我理解一下为什么这些GPO被拒绝了吗？谢谢。

Answer 1

第二个策略应该应用此设置(回想起来，它可以滚到上面的策略中，因为它应该影响相同的用户)--计算机--管理模板\Windows组件/终端服务/客户端/服务器数据重定向--不允许客户端打印机重定向(已启用)

这是您的解决方案的核心问题。上述策略是一种机器范围的配置--不能在每个用户的基础上应用。您可以使用此配置配置终端服务器，也可以不配置。与你所选择的政策没有任何关系。

其次，第一个策略(回收站和vbs脚本)应该是两个独立的策略。

第一个应该只包含计算机配置内容，理想情况下，应该应用于“经过身份验证的用户”，或者，至少是终端服务器帐户/组。

第二个策略是您的用户配置设置，应该只适用于您希望拥有该打印机的用户。

Answer 2

我不知道这是怎么回事。您需要计算机处理计算机配置设置，以便进行回环策略处理，以便在安全组中的用户登录到此计算机时，将用户配置设置应用到用户，但您拒绝了该机器读取和应用组策略对象所需的权限。你被抓到了-22。您需要设置安全筛选，以允许机器读取和应用此GPO。

见这里：

http://blogs.technet.com/b/askds/archive/2013/05/21/back-to-the-loopback-troubleshooting-group-policy-loopback-processing-part-2.aspx