Windows 10：组策略在启动后无法直接应用，以后会成功

我的问题是重新启动客户端时未应用组策略。引导后，客户端立即在事件日志中以源“ GroupPolicy（Microsoft-Windows-GroupPolicy）”和事件ID 1058发送错误消息：“组策略处理失败。[...]”。在“详细信息”选项卡中，ErrorCode为50，代表ERROR_NOT_SUPPORTED。这不仅仅是表面上的问题：策略实际上没有正确应用：例如，映射的网络驱动器不存在。等待一会儿后，执行“ gpupdate”将起作用，并且策略将正常应用：显示映射的网络驱动器。

我能够重现该问题的最简单方案是：在新安装的Windows Server 2012R2上新创建的域，客户端是新安装的Windows 10 64位计算机。该域仅由一个域控制器组成，与其他域没有任何关系。

由于错误消息指出Windows无法从域的Sysvol共享中读取.GPT文件，因此我尝试从命令提示符下访问相同的文件。确实，当我在启动后立即打开命令提示符时，得到以下信息：

C:\Users\username>dir \\domain.example.com\sysvol
The request is not supported.

等待一两分钟后，执行同一命令将显示目录列表。此时运行gpupdate就可以了。

我确实将组策略设置“始终在计算机启动和登录时等待网络”设置为“启用”，并且我知道已应用此策略：在同一策略对象中指定了注册表设置，当我检查注册表时在客户端上有指定的设置。

其他可能相关的因素：

• NTLM在域中受到限制，但这似乎无关紧要：即使启用它，更新策略并重新启动所有计算机，其症状仍然相同。
• 服务器是使用DHCP配置还是使用静态配置都没有关系。
• 域的DNS服务器不支持动态更新。手动添加了必要的记录（从C：\ Windows \ System32 \ config \ netlogon.dns）
• （使用powercfg /h off）在客户端上禁用了休眠模式，因此每次引导都是完全引导，而不是快速引导
• 策略启动策略处理等待时间设置为120秒
• 与DC的连接正常。ping通即可。关闭客户端，在AD中禁用我的帐户，再打开客户端将导致客户端无法登录我：它立即注意到该帐户已被禁用。
• 除了这个问题，我没有发现任何异常。

这似乎更多是SMB问题，而不是组策略问题。嗅探服务器端的连接显示出一些有趣的东西：第一次执行命令时dir \\domain.example.com\sysvol，DC上的Microsoft Message Analyzer显示以下内容：

1. 客户端建立到DC的端口445的TCP连接，并且成功执行了ComNegotiation（DialectRevision：0x02FF）。
2. 此后，立即成功进行了协商。DialectRevision为0x0302。
3. 此后，客户端立即使用TCP RST（??）关闭TCP连接。

以后每次我发出命令并收到错误消息时，都会发生步骤2和3。

当该命令开始起作用时，将执行步骤1和2，但是不是客户端发送TCP RST，而是执行SessionSetup，而是执行TreeConnect，然后发生大量（看似正常）SMB聊天。

因此，客户端似乎无法以某种方式在引导后一两分钟后才与DC正确地对话SMB，这会导致组策略处理失败。

有人知道我该如何调试和解决此问题？

从Windows 8开始，Microsoft引入了“快速启动”的概念，在这种情况下，当您关闭操作系统时，它们会休眠OS内存，就像休眠在正常休眠方案中一样。这将导致OS更快地启动，但是也具有在启动时禁用每计算机GP处理的副作用。这可能就是您所看到的，可以通过禁用“计算机配置\策略\管理模板\系统\关机\要求使用快速启动”下的策略来禁用此功能

如果那不能解决问题，则很可能是网络堆栈计时问题，其中计算机的GP处理在网络堆栈完全初始化之前就开始了。自XP以来，这种情况就一直存在，并且从Windows 7开始，Microsoft在Computer Configuration \ Policies \ Administrative Templates \ System \ Group Policy \ Startup Policy Processing Wait Time下添加了一个策略，您可以在其中增加GP在启动之前等待的时间。尝试将其设置为60秒，看看是否有帮助。

达伦

我自己解决了这个问题。供参考，这是解决我的问题的方法：

首先，我的错是，禁用所有NTLM阻止都会导致相同的症状。这导致了不同的症状，碰巧具有相同的效果。在没有任何有效的NTLM阻止策略的情况下，该dir命令现在导致访问被拒绝错误。组策略仍然不适用，这很有意义：仍然无法访问SYSVOL。

一些网络搜索告诉我，我知道存在一个更常见的问题。虽然。显然，Windows 10客户端在访问域控制器的SYSVOL共享（可能还有NETLOGON共享）时可能会遇到问题。可能Windows 10更改了访问这些共享的方式，这可能会导致问题。解决方法是通过为Windows 10客户端设置“ Hardened UNC Paths”组策略，为这些共享禁用客户端上的UNC路径强化，如下所示：

\\*\SYSVOL RequireMutualAuthentication=0,RequireIntegrity=0,RequirePrivacy=0
\\*\NETLOGON RequireMutualAuthentication=1,RequireIntegrity=1

（如果您在从Windows 10客户端访问Netlogon共享时遇到问题，则也可以将该共享的所有三个参数都设置为零。）

有关更多信息，请参阅Microsoft关于MS15-011的文章。它很好地描述了更改此设置对安全的影响，以及有关如何更改策略的详细步骤。

警告：请注意，以上设置将针对创建MS15-011的安全问题禁用部分或全部保护！不要盲目地复制/粘贴它们，而要根据所涉及的风险做出明智的决定。同样，这个问题很可能在将来的某个时候解决。发生这种情况时，请不要忘记按照MS15-011中的说明将此策略设置为推荐值。

我尝试了一些建议，包括注册表更改和本地组策略更改，但都没有解决问题-映射的驱动器在启动时仍被X掉。gpupdate每次都会对其进行修复，但这对用户来说是一个增加的步骤。

最终解决问题的是手动映射网络驱动器，替换了每个驱动器上的GPO条目。无需断开连接和更换，我将它们映射为与映射相同，只是手动进行了映射。

仅供参考，对于其他找到此线程的人，通过将双向身份验证设置为0关闭UNC强化将禁用您的某些安全性。我们在win7客户端上也遇到了同样的问题，而我正在尝试与Microsoft合作。他们告诉我这是一个错误，但到目前为止，还没有给我一种跟踪何时解决该错误的方法。

有关更多信息，请参见此其他线程 。https://social.technet.microsoft.com/Forums/zh-CN/6a20e3f6-728a-4aa9-831a-6133f446ea08/gpos-do-not-not-apply-on-windows-10-enterprise -x64