如何将 GPO 应用于计算机组

Question

我刚刚在我的公司中安装了一个“Windows Server Update Services”（WSUS）服务器来为 Windows Server 机器提供更新。现在我想在服务器 OU 中设置一个 GPO 以强制它们从 WSUS 获取更新，但我无法让它工作。我所做的是：

• 在“指定 Intranet Microsoft 更新服务位置”、“配置自动更新”和“启用”项下，使用所需设置（位于“计算机配置”>“Windows 组件”>“Windows 更新”下）创建了一个名为“WSUS”的 GPO客户端定位”。
• 创建了一个名为“MyServers”的第一级组织单位，并将我的服务器从“Computers”容器移动到这个 OU。
• 在该 OU 中创建了一个名为“MyServersGroup”的组，其中包含“MyServers”中的计算机（OU 和组包含相同的服务器）。
• 将 GPO 链接到“MyServers”OU，并在安全过滤器处添加具有“读取”和“应用组策略”权限的“MyServersGroup”（我没有删除“经过身份验证的用户”组）。
• 在我的域控制器服务器中运行“gpupdate /force”命令，然后在“MyServers”OU 中的一台服务器中运行，我们称之为 FileServer。

并且该政策不适用。

当我在 FileServer 机器上运行“GPResult /F /H report.html”时，没有显示应用的策略，应用的唯一策略是“默认域策略”，它在“计算机配置”部分中有一些设置，但没有在我配置的键上。该 GPO 链接到域根目录，仅影响“经过身份验证的用户”组。

在 report.html 文件中，“WSUS”字符串甚至没有出现，因为“Winning GPO”始终是“默认域策略”。为什么不能应用我的保单？我不明白为什么会这样......

编辑：现在我已经删除了“MyServersGroup”并配置了“组策略建模向导”。它显示了 WSUS 策略与默认策略一起应用，但在 FileServer 中该策略尚未应用（我运行了 gpupdate 以防万一）。

Answer 1

该组不是必需的：如果您将 GPO 链接到一个 OU 并将您的计算机放置在该 OU 中，GPO 将自动应用于这些计算机，并且仅应用于这些计算机；你不需要一个小组。

我认为正在发生的事情：基于组成员身份的 GPO 安全过滤实际上阻止了 GPO 的应用，因为在重新启动之前，服务器不会被识别为该组的成员（就像在重新启动之前不会为用户刷新组成员身份一样）他们注销并再次登录）。