疑惑：Windows 7 打上KB3159398補丁之後，GPMC基於使用者物件的策略該何去何從？

標籤：使用者策略不生效 KB3159398

        以往，為了方便管理或者其它目的，我們將組策略中的使用者策略通過GPMC下發（例如使用者檔案夾重新導向），只需把這條策略連結至該使用者的同級\上級OU，然後在“安全性篩選”中選中該使用者（或者使用者所在的使用者組）。然而在去年10月，封裝一個虛擬機器模版時，更新了win7 pro sp1 x64的所有安全補丁，因為是在原有的模版基礎上做更新，因此沒有全面測試（一些必要的測試，也是用系統的本地管理員登入進行的），直接用這個模版建立新的虛擬機器給同事使用，同事用域使用者登入後，發現基於使用者的所有策略全部失效！！!

        這時又受經驗主義的影響，常規的sysvol檢查、gpresult分析，浪費了大把時間。

        思前想後，模版的前後差別就是一些 應用程式的版本和微軟補丁數量。於是複製一個模版，從微軟補丁入手，一個一個刪，刪一個測一次。刪了KB3159398後，使用者策略恢複。百度之：微軟的KB3159398說明。微軟有白紙黑字的說了這個補丁的影響,並且給出瞭解決的辦法：

        

癥狀

所有使用者組策略（包括那些在使用者帳戶或安全性群組上進行了安全性篩選的使用者組策略）都可能無法應用於加入域的電腦。

原因

如果組策略對象中缺少可能出現此問題讀了Authenticated Users組的許可權，或者如果您正在使用安全過濾和缺少閱讀的域中的電腦群組的許可權。

解析度

要解決此問題，請使用群組原則管理主控台（GPMC.MSC）並按照以下步驟之一進行操作：

• 在組策略對象（GPO）上添加帶有讀取許可權的Authenticated Users組。

• 如果您正在使用安全性篩選，請添加具有讀取許可權的域電腦組。

/* 原文Google翻譯，能看懂大概意思吧*/

        "解析度"中的2個無序列表內容，就是解決辦法了。

        第一個辦法顯然是不實際的。

        第二個辦法，意思就是要把想生效使用者組策略的電腦對象也加入到安全性篩選，這也意味著，只篩選或者委派命中使用者\使用者組就能生效策略的辦法將不複存在。

        通俗點說，打了KB3159398補丁後的電腦，要執行GPMC下發的使用者組策略，該策略的安全性篩選或者委派必須同時選中這台電腦和使用者這2個對象！

        當然，win7，確切的說，是Windows NT 6.1核心版本的作業系統，可以選擇不安裝這個補丁，或者卸載了事，可是win10，已經整合了這個補丁的，沒辦法卸載。更何況我們服務物件中，利用第三方軟體來升級補丁的強迫症使用者不在少數。（我在GPMC改了Windows Update伺服器位址，防火牆攔截了主流的安全軟體補丁下載流量(某60某管家之類).但還是會有漏網之魚，也沒辦法天天圍著這個事情轉。）        

        所以，還是養成習慣，改變管理方法吧！

疑惑：Windows 7 打上KB3159398補丁之後，GPMC基於使用者物件的策略該何去何從？