web-dev-qa-db-ja.com

GPOをコンピュータグループに適用する方法

会社に「WindowsServerUpdate Services」(WSUS)サーバーをインストールして、WindowsServerマシンに更新を提供しました。ここで、サーバーOUにGPOを設定して、サーバーにWSUSからの更新を強制的に取得させたいのですが、機能させることができません。私が行ったことは次のとおりです。

  • キー「SpecifyintranetMicrosoft update servicelocation」に必要な設定(「ComputerConfiguration」>「WindowsComponents」>「WindowsUpdate」の下にあります)を使用して「WSUS」と呼ばれるGPOと呼ばれる)を作成しました、「自動更新の構成」および「クライアント側のターゲティングを有効にする」。
  • 「MyServers」と呼ばれる第1レベルの組織単位を作成し、サーバーを「Computers」コンテナーからこのOUに移動します。
  • 「MyServers」内のコンピューターを含むそのOU内に「MyServersGroup」というグループを作成しました(OUとグループには同じサーバーが含まれています)。
  • GPO= "MyServers" OUにリンクし、セキュリティフィルターで、 "MyServersGroup"に "読み取り"および "グループポリシーの適用"アクセス許可を追加しました( "認証済み"は削除しませんでしたユーザー」グループ)。
  • ドメインコントローラーサーバーで "gpupdate/force"コマンドを実行し、次に "MyServers" OU内のサーバーの1つでFileServerと呼びます。

そして、ポリシーは適用されません。

適用されたポリシーを表示する代わりに、FileServerマシンで「GPResult/F/H report.html」を実行すると、適用されるポリシーは「デフォルトドメインポリシー」のみです。これには、「コンピューターの構成」セクション内にいくつかの設定がありますが、設定したキーで。 GPOはドメインルートにリンクされており、「認証されたユーザー」グループにのみ影響します。

Report.htmlファイルでは、「Winning GPO」は常に「デフォルトのドメインポリシー」であるため、「WSUS」文字列は表示されません。ポリシーを適用できないのはなぜですか?なぜこれが起こっているのか分かりません...

編集:「MyServersGroup」を削除し、「グループポリシーモデリングウィザード」を構成しました。これは、WSUSポリシーがデフォルトのポリシーとともに適用されていることを示していますが、FileServerではポリシーはまだ適用されていません(必要に応じてgpupdateを実行しました)。

1
nicovell3

グループは必要ありません。GPOをOUにリンクし、コンピューターをそのOU内に配置すると、GPOがそれらのコンピューターに自動的に適用され、それらだけです;そのためのグループは必要ありません。

私が起こっていると思うこと:GPOグループメンバーシップに基づくセキュリティフィルタリングは実際にはブロッキング GPOは適用されないため、サーバーは、再起動が発生するまでそのグループのメンバーとして認識されません(ユーザーがログオフして再度ログオンするまで、ユーザーのグループメンバーシップが更新されないのと同じです)。

6
Massimo