原則問題

本節包含下列主題:

原則未套用到代理程式

套用到代理程式的 Client Security 原則不正確

Client Security 可透過原則將設定部署到代理程式。這些原則是透過 Client Security 建立的群組原則物件 (GPO) 直接部署到組織單位 (OU),他們也可以新增到系統管理員先前建立的現有 GPO 中。

下列各節補充標準群組原則疑難排解主題。如需一般群組原則疑難排解的相關資訊,請參閱疑難排解 Micrrosoft Windows Server 中的群組原則 (英文) (http://go.microsoft.com/fwlink/?LinkId=86299)。

Client Security 代理程式可能未接收設定的 Client Security 原則。

背景

為了讓代理程式接收 Client Security 原則的設定,正在執行代理程式的電腦必須接收包含 Client Security 原則的 GPO。未將 GPO 套用到目標電腦可能有許多原因,先前參考的文件已說明其中許多原因。以下是一些額外的 Client Security 特定案例:

  • 目標電腦不屬於已部署 Client Security 原則的安全性群組。
  • 目標電腦不在已部署 Client Security 原則的 OU 中。
  • 目標電腦是不同網域的成員。
解決方案

若要判斷其中哪個原因導致此問題,請執行使用者安全性內容下的命令提示字元 的 gpresult.exe。此工具可產生許多有用的資訊,但在疑難排解工作中,您應該著重於下表所述部分。

標籤 描述

電腦設定

電腦在網域中的 OU 位置及其網域成員資格

電腦是下列安全性群組的成員

電腦所屬的每個群組 (列在已套用和篩選的群組原則區段後面)

請檢查這些區域以判定電腦是否為正確群組的成員,且電腦是否位於已部署 Client Security 原則的 OU 中。

Client Security 代理程式可能已接收錯誤的 Client Security 原則。

背景

關於此問題,可能有兩個 Client Security 特定相關原因:

  • 用戶端電腦不在預期的安全性群組或 OU 中。若要確認電腦的安全性群組成員資格和 OU 位置,請執行 gpresult.exe。
  • 原則繼承已覆寫預期會套用到代理程式的原則。

此外,如 Active Directory 複寫和網路連線等問題可能會干擾 Client Security 原則的應用程式。如需此類較為嚴重的問題之詳細資訊,請參閱上述的參考文件。

解決方案

若要解決此原因,您必須判斷電腦正在從哪個 GPO 接收其 Client Security 設定。

判斷控制 Client Security 設定的 GPO
  1. 在 [執行] 對話方塊中,鍵入 rsop.msc,再按下 ENTER。

  2. 完成分析程序後,在 [電腦設定] 下展開 [系統管理範本] 並按一下 [額外的登錄設定]。

  3. 在 [詳細資料] 窗格中,尋找包含下列登錄路徑的設定:

    SOFTWARE\Policies\Microsoft\Microsoft Forefront\Client Security\1.0

    [GPO 名稱] 欄位可識別發出 Client Security 設定的 GPO。

Bb418853.note(zh-tw,TechNet.10).gif附註
Client Security 原則會以作為不同的單位的方式套用。與其餘群組原則不同的是:系統會將 Client Security 原則中的設定當成一個單位套用,其中的繼承會覆寫全部設定或完全不覆寫設定。
顯示: