解决组策略故障17妙招

2023年11月26日发(作者：)

解决组策略故障17妙招

第1招：空密码账户无法访问Windows XP系统共享文件夹

故障现象：在使用空密码账户访问局域网中一台有共享文件夹的

Windows XP计算机时访问被拒绝了，而使用带有口令的账户访问该

共享资源时却可以成功访问。请问这是什么原因造成的，应该如何解

决？

解决方法：此问题是由于Windows XP的权限设置问题而引起的，只

需重新设置即可解决问题。在Windows XP计算机的“运行”编辑框

中输入“”命令并回车，打开“组策略”窗口。然后在左

窗格中依次展开“计算机配置/Windows 设置/安全设置/本地策略”

目录，并单击选中“安全选项”。在右窗格列表中找到“账户：使用

空白密码的本地账户只允许进行控制台登录”选项，默认处于“已启

用”状态。因为Windows XP的安全策略中采用了“拒绝优先”的原

则，所以空口令的用户通过网络访问使用Windows XP的计算机时便

会被禁止，如图2008120518所示。

图2008120518 “组策略”窗口

右键单击该选项，执行“属性”快捷命令。在打开的属性对话框中选

中“已禁用”单选框，并单击“确定”按钮使设置生效。最后关闭

“组策略”窗口，如图2008120519所示。

图2008120519 设置空口令账户登录策略

第2招：Windows Server 2003服务器找不到网络名

故障现象：某单位局域网中有一台运行Windows Server 2003的服务

器，在该服务器上可以通过“网上邻居”访问其它计算机中的共享文

件夹。在其它计算机的“网上邻居”中能够看到这台服务器，双击该

机图标显示登录对话框后输入合法的用户名和密码，却提示“找不到

网络名”，当然也就无法访问该机的共享文件夹。请问这是什么原因

造成的，应该如何解决？

解决方法：根据故障描述可以初步判断是由于该服务器的组策略设置

导致了问题的出现，很可能是在组策略中限制了其它计算机通过网络

访问本计算机。在Windows Server 2003服务器上打开“组策略”窗

口，在左窗格中依次展开“计算机配置/Windows设置/安全设置/本

地策略”目录，并单击选中“用户权利指派”选项。然后在右窗格列

表中找到并双击“从网络访问此计算机”选项，如图2008120520所

示。

图2008120520 “用户权利指派”列表

在打开的“本地安全策略设置”对话框中添加所有不能访问该服务

器的用户和组即可，如图2008120521所示。

图2008120521 添加用户和组

第3招：普通域用户无法在域控制器上登录

故障现象：某单位局域网基于域管理模式，现在想以普通合法域用户

的身份登录域控制器，但系统提示不能登录。请问这是什么原因，应

该如何解决？

解决方法：域控制器在网络中具有重要作用，因此基于安全考虑，默

认能在域控制器上登录的只有Administrators、Account operators、

Backup operators、Server operators和Print operators这些特

定的管理组中的用户。一般情况下普通域用户没有权力在DC上登录。

如果出于特殊需求必须使用普通域用户账户登录DC，可以通过设置

域控制器安全策略来实现。设置方法为：在Windows Server 2003域

控制器中依次单击“开始”→“管理工具”→“域控制器安全策

略”，打开“默认域控制器安全设置”窗口。在左窗格中依次展开

“安全设置/本地策略”目录，并单击选中“用户权限分配”选项。

然后在右窗格列表中找到并双击“允许在本地登录”选项，如图

2008120522所示。

图2008120522 双击“允许在本地登录”选项

在打开的“允许在本地登录 属性”对话框中单击“添加用户和组”

按钮，并单击“浏览”按钮找到目标用户，连续单击“确定”按钮完

成添加，如图2008120523所示。

图2008120523 添加允许在本地登录的用户或组

第4招：不符合密码策略无法在Windows Server 2003域添加用户

故障现象：某公司局域网域控制器运行Windows Server 2003系统，

在“Active Directory用户和计算机”窗口中添加用户时，总是提

示所设置的密码不符合密码策略。请问密码策略有哪些要求呢，能不

能禁用密码策略？

解决方法：Windows Server 2003系统在安全性方面大大增强，默认

域的安全策略要求域用户的密码必须符合复杂性要求，这些要求包

括：在大写字母、小写字母、数字和符号4种中必须有3种；密码最

小长度为6位；密码中不得包括全部或部分用户名。在设置域用户密

码的时候必须满足上述要求方能成功创建域用户。

可以通过以下方法禁用密码复杂性要求：依次单击“开始”→“管理

工具”→“域安全策略”，打开“默认域安全设置”窗口。在左窗格

中依次展开“安全设置/账户策略”目录，并单击选中“密码策略”

选项。然后在右窗格列表中双击“密码必须符合复杂性要求”选项，

在打开的“密码必须符合复杂性要求 属性”对话框中选中“已禁

用”单选框，并单击“确定”按钮，如图2008120524所示。

图2008120524 设置密码策略

用户还可以将密码长度最小值由“7个字符”改为“0个字符”，另

外为了使域策略设置马上生效，可使用gpupdate命令进行刷新，如

图2008120525所示。

图2008120525 刷新组策略

第5招：在Windows XP系统中限制用户修改计算机网络配置

故障现象：某公司局域网中的计算机全部运行Windows XP系统，由

于使用计算机的员工对计算机了解不是很深入，常常出现因错误修改

网络配置而不能上网的情况。请问能不能限制用户修改本机的网络配

置呢？

解决方法：因为计算机全部运行Windows XP系统，因此可以通过设

置本地策略来限制用户修改计算机网络配置。具体操作方法为：依次

单击“开始”→“运行”，在“运行”编辑框中键入命令

并回车，打开“组策略”窗口。在左窗格中依次展开“用户配

置”→“管理模版”→“网络”目录，并选中“网络连接”选项。然

后在右窗格列表中找到并双击“禁止访问LAN连接的属性”选项，如

图2008120526所示。

图2008120526 编辑“网络连接”策略

在打开的“禁止访问LAN连接的属性 属性”对话框中选中“已启

用”单选框，并单击“确定”按钮使设置生效，如图2008120527所

示。

图2008120527 禁止访问LAN连接的属性

重复上述步骤将“为管理员启用Windows 2000网络连接设置”设置

为“已启用”。当用户试图修改网络连接属性是，会发现快捷菜单中

的“属性”命令不可用，如图2008120528所示。

图2008120528 “属性”命令不可用

小提示：如果利用本地策略实现则本地管理员可以重新解除限制，如

果利用域策略实现则只是域用户受此限制，而本地管理员不受此限

制。另外应当让客户端计算机用户以非本地管理员身份登录系统。

第6招：所有域用户不能登录Windows 2000域控制器

故障现象：某公司办公局域网基于Windows 2000 Server系统，由于

管理员的误操作将域控制器中的所有用户（包括管理员）的本地登录

权限禁止了。现在所有的用户（包括管理员）都无法本地登录域控制

器，出错提示为“此系统的本地策略不允许你采用交互式登录”。请

问这个问题应该如何解决？

解决方法：根据故障描述可以判断出在“域安全策略”和“域控制器

安全策略”中同时禁止了本地登录权限。因为如果只是“域安全策

略”禁止，由于域控制器是个OU（组织单元），而根据组策略的LSDOU

原则，Administrators组的成员是可以登录域控制器的进而重新编

辑策略；如果只是“域控制器安全策略”禁止，则该策略只对域控制

器生效，管理员可以从域内的其它计算机登录到域来编辑策略。

要解决被“域安全策略”和“域控制器安全策略”同时禁止的问题，

首先必须明确策略设置值存储在GPT（位于域控制器的

winnt/sysvol/sysvol文件夹中，以GUID为文件夹名）中。其中安

全设置部分保存在域控制器的“winnt/sysvol/sysvol/域名

/Pllicies/策略的GUID/MACHINE/Microsoft/Windows

NT/SecEdit/”这个安全模版文件中，该文件实质是一个

文本文件，可利用记事本进行编辑。默认域的策略和默认域控制器的

策略使用固定的GUID，其中默认域的策略的GUID为

31B2F340-016D-11D2-945F-00C04FB984F9，默认域控制器的策略的

GUID为6AC1786C-016F-11D2-945F-00C04FB984F9。

明确了上述文件的作用和位置后，可以利用C盘的隐含共享C$或

winnt/sysvol/sysvol/的共享sysvol连接域控制器编辑该文件，具

体操作步骤如下：

第1步，在任意一台域成员计算机上以域管理员的身份登录到域，并

通过共享连接到域控制器。找到安全模板文件。

第2步，利用记事本打开文件，找到文件中[Privilege

Rights]小节下的拒绝本地登录SeDenyInteractiveLogonRight和允

许在本地登录SeInteractiveLogonRight关键字进行编辑。例如，使

SeDenyInteractiveLogonRight所等于的值为空，保证

SeInteractiveLogonRight=*S-l-5-32-544,„„，最后保存文件。

如果域中不止一台域控制器，则为了保证域控制器同步时使所做的修

改最终生效，需要打开“winnt/sysvol/sysvol/域名/Policies/刚修

改策略的GUID/”文件，找到文件中[General]小节下的

Version，手动将其值增大（通常是增加10000）。该值是所修改的

这个组策略对象的版本号，版本号提高后可以保证更改被复制到其它

DC上。保存文件后重新启动域控制器，则域策略将被刷新。

第7招：在Windows Server 2003域中编辑组策略进行软件部署

故障现象：某公司局域网拥有100多台计算机，服务器运行Windows

Server 2003系统并升级为域控制器。在以前的网络管理过程中，每

次为客户计算机添加软件时都需要逐机进行。而微软的AD域管理模

式功能强大，请问能不能借助AD域的强大管理功能实现软件的自动

部署呢，具体应该如何操作？

解决方法：在AD域中可以通过编辑软件安装策略，并借助Windows

Installer实现软件的自动部署。譬如准备为每台域成员计算机均安

装Office2003 Professional（假设所有的计算机均使用Windows

2000或Windows XP系统），通过编辑安装策略完成这一工作的具体

方法如下所述：

1．指派MSI程序包

首先要做的工作就是把Office 2003 Professional的MSI安装包指

派到每一台域成员计算机中。

第1步，将Office 2003 Professional安装光盘中Office11文件夹

内的所有内容放入域中的一个共享文件夹中，并保证所有域成员计算

机均能连接到该文件夹。

第2步，打开“Active Directory 用户和计算机”控制台窗口。用

鼠标右键单击域名，执行“属性”命令。在打开的属性

对话框中单击“组策略”标签，然后在“组策略”选项卡中单击“新

建”按钮新建一条组策略Office11Install，如图2008120529所示。

图2008120529 新建组策略

第3步，保持Office11Install策略的选中状态，单击“编辑”按钮

打开“组策略编辑器”控制台窗口。在左窗格中依次展开“计算机设

置/软件设置”目录，然后右击“软件安装”选项，在弹出的快捷菜

单中执行“新建/程序包”命令，如图2008120530所示。

图2008120530 创建一个新软件安装包

小提示：在“计算机配置”和“用户配置”里都有“软件安装”选

项，均用于在域内部署软件。如果软件要部署到域中的计算机中，就

在“计算机配置”里定义；如果软件要部署给域中的用户，则应该在

“用户配置”里定义。

第4步，在“打开”对话框中通过“网上邻居”找到事先存储在域共

享文件夹中的MSI安装文件，并单击“打开”按钮。这时

会打开“部署软件”对话框，默认选中“已指派”单选框。无须进行

设置，直接单击“确定”按钮，如图2008120531所示。

图2008120531 在发行程序包前进行部署

第5步，返回“组策略编辑器”窗口，可以在右窗格中看到已经指派

的软件名称，如图2008120532所示。

图2008120532 要指派的新程序包

小提示：MSI（Microsoft Software Installer，微软软件安装器）

文件是Windows Installer能够部署的仅有的两种文件类型之一。

Windows Installer提供“发布”和“指派”两种软件部署方式。

“发布”方式不自动为域内客户安装软件，而是把安装选项放到客户

机的“添加或删除程序”中，供用户在需要的时候自主选择安装；

“指派”方式则直接把软件安装到域用户的开始菜单程序组中。“发

布”方式一般用于给用户提供各种软件工具，由用户按需选择安装或

不安装；“指派”方式可用于软件的强制安装使用，用户无权自行卸

载软件。由于本例是为域成员计算机部署软件，因此只有“指派”方

式有效。

2．域成员计算机安装软件

在DC上指派完成后，以合法域用户身份从任意一台计算机（本例假

设从一台Windows 2000计算机）登录到域中。依次单击“开

始”→“程序”，这时会发现程序组中已经出现了Microsoft Office

菜单项，其下一级菜单中列出了所有的Office 2003组件。单击其中

一个组件（如Microsoft Office Word 2003），则自动进入安装过

程。安装完毕后就可以正常使用了，如图2008120533所示。

图2008120533 客户端自动安装软件

第8招：在Windows Server 2003域中恢复组策略到原始设置

故障现象：某单位局域网服务器运行Windows Server 2003系统，并

升级为域控制器。编辑组策略后发现IIS出现问题，当用户访问部署

在该服务器上的ASP论坛时提示“发生500内部服务器错误”。请问

能不能将组策略恢复至原始状态，具体应该如何操作？

解决方法：对于Windows 2000系统而言，用户可以从微软的官方网

站下载并运行默认策略还原工具来实现上述目

的。而对于Windows Server 2003系统而言，则可以直接使用系统自

带的支持工具Dcgpofix来还原组策略。该工具可以将默认域策略和

默认域控制器策略还原到系统安装时的原始状态，对这些组策略对象

的任何更改都将丢失。在“命令提示符”窗口中键入“Dcgpofix /

参数”命令即可对指定的组策略对象进行还原，下面是有关Dcgpofix

的几中典型用法，用户可以参照执行：

1．还原域策略dcgpofix /target:Domain；

2．还原默认域控制器策略dcgpofix /target:DC；

3．还原域和默认域控制器策略dcgpofix /target:both，如图

2008120534所示。

图2008120534 还原组策略对象

第9招：在Windows Server 2003域控制器限制用户运行特定程序

故障现象：某单位局域网基于Windows域管理模式，域控制器运行

Windows Server 2003系统，且所有客户计算机全部运行Windows XP

系统。由于工作需要，准备让所有登录到域控制器的用户只能运行指

定的程序。请问这个目标能不能实现，具体应该如何操作？

解决方法：这个目标完全可以实现。打开“组策略编辑器”窗口，在

左窗格中依次展开“用户配置/管理模板”目录，并单击选中“系

统”选项。然后在右窗格中双击“只运行许可的Windows应用程序”

选项，打开“只运行许可的Windows应用程序 属性”对话框。选中

“已启用”单选框，并单击“显示”按钮，如图2008120535所示。

图2008120535 “只运行许可的Windows应用程序 属性”对话框

在打开的“显示内容”对话框中单击“添加”按钮，打开“添加项

目”对话框。然后在“输入要添加的项目”编辑框中输入具体程序的

可执行文件名称（如），并连续单击“确定”按钮使设置生

效，如图2008120536所示。

图2008120536 添加程序文件名称

第10招：在Windows Server 2003取消显示“关闭事件跟踪程序”

故障现象：一台运行Windows Server 2003的局域网服务器，默认情

况下在非常关机后再次开机时总是出现一个关机事件询问对话框。请

问怎么操作才能屏蔽该对话框？

解决方法：在默认情况下，Windows Server 2003会显示“关闭事件

跟踪程序”，以便在系统非正常关机后再次开机时询问用户非正常关

机的原因。要屏蔽这个询问对话框，只需禁用“关闭事件跟踪程序”

即可。打开“组策略编辑器”窗口，在左窗格中依次展开“计算机配

置/管理模板”目录。然后单击选中“系统”选项，在右窗格中双击

“显示关闭事件追踪程序”选项。在打开的对话框中选中“已禁用”

单选框，并单击“确定”按钮使设置生效，如图2008120537所示。

图2008120537 禁用显示“关闭事件跟踪程序”

第11招：使用gpupdate /force命令刷新组策略

故障现象：微软帮助文档中说明如果对靠近对象的OU上的GPO进行

编辑，会覆盖远离对象的父容器的GPO设定。但是当在默认域的组策

略中禁用密码复杂性后，修改用户密码的时候好像依然受到密码复杂

性策略的约束。请问这是什么原因造成的，应该如何解决？

解决方法：策略确实是分级生效的，不过有些策略只有在某一级上才

能生效，本例中所涉及的密码策略只有在域一级的策略上才能生效。

至于编辑密码策略后仍然受到原策略约束的问题，很可能是因为在编

辑组策略后未执行刷新策略的操作。用户可以通过执行命令gpupdate

/force手动刷新策略使之即刻生效，如图2008120538所示。

图2008120538 手动刷新策略

第12招：编辑组策略禁用Windows Server 2003自动更新功能

故障现象：请问如何才能禁止Windows Server 2003系统的自动更新

功能呢？

解决方法：禁用系统自动更新功能的操作可以通过编辑组策略来实

现。打开“组策略编辑器”窗口，在左窗格中依次展开“计算机配置

/管理模版/Windows组件”目录，并单击选中Windows Update选项。

然后在右窗格中双击“配置自动更新”选项，在打开的“配置自动更

新 属性”对话框中选中“已禁用”单选框，并单击“确定”按钮时

设置生效，如图2008120539所示。

图2008120539 禁用“配置自动更新”功能

第13招：在Active Directory中将组策略套用到OU组织单元

故障现象：某公司局域网基于Windows域管理模式，在“域安全策略

/计算机配置/管理模板/系统”中的“磁盘配额”选项中编辑了磁盘

配额策略。编辑完成后发现该策略对域成员计算机没有作用。请问应

该如何解决该问题？

解决方法：组策略能够应用到SDOU中，即Site（站点），Domain（域）

和OU（组织单元）。根据本例中的问题描述，建议新建一个组织单

元，然后将该策略套用到该OU中，如图2008120540所示。

图2008120540 将策略套用到指定的OU

第14招：Windows XP系统所有应用程序均不能运行

故障现象：某公司局域网中的客户计算机均运行Windows XP系统。

在其中一台客户计算机中以Administrator身份登录系统，然后在

“组策略编辑器”窗口中展开“用户配置/管理模板/系统”，将“只

运行许可的Windows应用程序”策略设置为“已启用”，并在显示内

容中为空。确认操作后发现所有的应用程序都不能被执行了。请问有

什么办法可以解决该问题

解决方法：启用“只运行许可的Windows应用程序”且程序列表为

空，表示该计算机不允许任何程序运行。建议在这台计算机上以

Administrator的身份登录到域中，然后通过AD策略传播来解除策

略限制。

第15招：编辑组策略用WSUS服务器自动更新局域网Windows XP系

统

故障现象：某公司搭建了SUS服务器，但是在一台新添加的客户端计

算机（Windows XP系统）中进行手动升级时，总是连接到Microsoft

的Windows Update服务器。请问为什么不能从本地的SUS服务器上

下载更新呢，应该如何解决？

解决方法：尽管局域网中搭建了SUS服务器，但客户端计算机的默认

配置却并不认识该服务器，只有通过编辑组策略才能将下载更新的链

接指向局域网SUS服务器。根据Microsoft的官方网站提供的资料，

在Windows 2000 with SP3、Windows XP with SP1、Windows Server

2003及最新的Windows XP with SP2中已经内置了SUS客户端，因

此不再需要安装。只有Windows 2000 with SP2以下版本（包括Windows

2000 with SP2）及未升级至SP1的Windows XP才需要安装客户端。

因此只需找出没有内置SUS客户端的计算机，并执行下载的

客户端程序进行安装即可。在Windows XP中编辑相

关策略的步骤中如下：

第1步，依次单击“开始”→“运行”菜单项，在“打开”编辑框中

键入命令并回车，打开“组策略”窗口。在左窗格中展

开“计算机配置”选项，右键单击“管理模板”选项，执行“添加/

删除模板”命令，如图2008120541所示。

图2008120541 组策略编辑器

第2步，在打开的“添加/删除模板”对话框中单击“添加”按钮，

打开“策略模板”对话框。在模板列表中选中模板并单击

“打开”按钮，如图2008120542所示。

图2008120542 选择模块

小提示：是组策略中设置Windows Update的模板文件。如

果组策略内无该文件，客户端将无法进行下载和安装更新文件。因此

需要将下载得到的模板文件拷贝至Windowsinf文件夹下。

第3步，在“添加/删除模板”对话框中可以看到添加的策略模板，

单击“关闭”按钮关闭该对话框，如图2008120543所示。

图2008120543 查看新添加的策略模板

第4步，回到“组策略”对话框，依次展开“计算机配置/管理模板

/Windows组件”目录，并单击选中Windows Update选项，如图

2008120544所示。

图2008120544 选中Windows Updates选项

第5步，在右侧窗格中双击“配置自动更新”选项，在“配置自动更

新 属性”对话框中选中“已启用”单选框。可以根据需要来设置更

新方式，如选择“20081203自动下载并计划安装”方式，注意还需

要分别设置“计划安装日期”和“计划安装时间”，如图2008120545

所示。

图2008120545 设置更新计划

第6步，单击“下一设置”按钮，在“指定企业内部互联网Microsoft

Update服务位置 属性”对话框中选中“已启用”单选框。在“为检

测更新设置企业内部互联网更新服务”和“设置企业内部互联网统

计服务器”编辑框中均键入SUS服务器URL，服务器URL即安装SUS

服务器计算机的内部网络地址，并在后面加上/SUSAdmin（本例为

10.115.223.1/SUSAdmin）。最后单击“确定”按钮完成设置，

如图2008120546所示。

图2008120546 指定更新服务器地址

第16招：禁用开机显示按Ctrl+Alt+Del对话框

故障现象：对于运行Windows Server 2003的服务器，在登录系统时

会提示用户按Ctrl+Alt+Del组合键打开登录对话框。请问能不能取

消该对话框而直接打开“登录对话框？

解决方法：完全可以，通过编辑组策略即可实现。打开“组策略编辑

器”窗口，在左窗格中依次展开“本地计算机/计算机配置/Windows

设置/安全设置/本地策略/安全选项”，然后在右窗格中双击“交互

式登录：不需要按Ctrl+Alt+Del”选项。在打开的属性对话框中选

中“已启用”单选框，并单击“确定”按钮使设置生效，如图

2008120547所示。

图2008120547 取消系统登录按Ctrl+Alt+Del组合键

第17招：编辑组策略禁用Windows XP系统安装更新后自动重启系统

故障现象：某公司局域中一台运行Windows XP系统的计算机，在自

动更新安装结束后会自动重启计算机。为使操作更具灵活性，现在想

取消自动重启。请问可不可以实现，具体应该如何设置？

解决方法：可以实现。打开“组策略”窗口，在左窗格中依次展开“计

算机配置/管理模板/Windows组件”目录。然后单击选中Windows

Update选项，在右窗格中双击“计划的自动更新安装后不自动重启

动”选项。接着选中“不为计划的自动更新安装重新启动 属性”对

话框中的“已启用”单选框，并单击“确定”按钮，如图2008120548

所示。

图2008120548 取消自动重启设置