Saya memiliki Domain Windows Server 2012 R2.
Kemarin, drive jaringan komputer (yang menjalankan Windows 10 Pro) berhenti bekerja.
Setelah penyelidikan lebih lanjut ( gpresult /h
) tampaknya SEMUA objek kebijakan grup gagal dengan alasan Inaccessible, Empty, or Disabled
.
Saya telah mengkonfirmasi bahwa semua GPO masih ada dan diaktifkan pada pengontrol domain (redundan dan lokal). Selain itu, ada 20 mesin lain pada domain dan LAN yang sama dengan sama sekali tidak ada masalah.
Namun, ada satu komputer lain yang saya uji yang disajikan dengan masalah yang sama! Apakah itu berarti masalahnya ada pada server?
gpresult /r
melaporkan bahwa satu klien mendapatkan GPO dari DC1 lokal, dan yang lainnya dari DC2. Jadi itu bukan masalah yang berkaitan dengan DC tertentu.
gpupdate /force
tidak memperbaiki apa-apa (meskipun ia mengklaim bahwa kebijakan diterapkan).
Saya mencoba menghapus entri registri untuk kebijakan lokal (mengikuti panduan ini /superuser/379908/how-to-clear-or-remove-domain-applied-group-policy-settings-after-leaving-the -do ) dan me-reboot - masalah yang sama.
Saya menemukan halaman dukungan ini dari Microsoft ( https://support.microsoft.com/en-us/kb/2976965 ), tetapi mengklaim itu hanya berlaku untuk Windows 7 atau klien sebelumnya.
Semua mesin saya (baik server dan klien) menjalankan versi 64-bit dan sepenuhnya diperbarui. Saya telah me-reboot semuanya hanya untuk memastikan.
Jawaban:
Periksa tautan tambalan joeqwerty juga .
Ada detail penting:
Masalah Dikenal
MS16-072 mengubah konteks keamanan yang diambil dengan kebijakan grup pengguna. Perubahan perilaku menurut desain ini melindungi komputer pelanggan dari kerentanan keamanan. Sebelum MS16-072 diinstal, kebijakan grup pengguna diambil dengan menggunakan konteks keamanan pengguna. Setelah MS16-072 diinstal, kebijakan grup pengguna diambil dengan menggunakan konteks keamanan mesin. Masalah ini berlaku untuk artikel KB berikut:
Gejala
Semua Kebijakan Grup pengguna, termasuk yang telah difilter keamanan pada akun pengguna atau grup keamanan, atau keduanya, mungkin gagal diterapkan pada komputer yang bergabung dengan domain.
Sebab
Masalah ini dapat terjadi jika Objek Kebijakan Grup tidak memiliki izin Baca untuk grup Pengguna yang Diotentikasi atau jika Anda menggunakan pemfilteran keamanan dan tidak ada izin Baca untuk grup komputer domain.
Resolusi
Untuk mengatasi masalah ini, gunakan Konsol Manajemen Kebijakan Grup (GPMC.MSC) dan ikuti salah satu langkah berikut:
- Tambahkan grup Pengguna yang Diotentikasi dengan Izin Baca pada Objek Kebijakan Grup (GPO).
- Jika Anda menggunakan pemfilteran keamanan, tambahkan grup Domain Computers dengan izin baca.
Lihat tautan ini Menyebarkan MS16-072 yang menjelaskan semuanya dan menawarkan skrip untuk memperbaiki GPO yang terpengaruh. Skrip menambahkan izin pengguna yang Diotentikasi untuk membaca semua GPO yang tidak memiliki izin untuk pengguna yang Diotentikasi.
Jika Anda lebih suka untuk mengatur izin baca untuk Komputer Domain (seperti yang saya lakukan) daripada Pengguna yang Diotentikasi, ubah saja
0 {$appliedgroup = "Authenticated Users"}
menjadi seperti itu0 {$appliedgroup = "Domain Computers"}
sumber