GPO未被应用

Question

我正在使用powershell GroupPolicy模块来创建和链接新的GPO。 我有大量的GPO要创建，因此我希望自动化该过程而无需与组策略编辑器交互。

我注意到在编辑器中创建GPO时，每个策略对象都包含在一个或多个XML文件或.INI文件中。

如上所述，我开始使用New-GPO命令创建GPO，并传递-Name和-Domain标志。 成功创建GPO后，我（通过我的脚本）生成一个XML文件，其中包含策略将使用的所有信息。 下面显示的是我将创建的XML文件的摘录，用于设置映射驱动器策略。

在编辑器中检查策略时，一切看起来都很好。 显示正确的驱动器，并且所有设置都显示正确。 但是，该政策从未适用。 如果我通过组策略编辑器手动创建相同的策略，则所有策略都将开始工作，包括我使用PowerShell创建的策略。

因此，错误似乎是域控制器永远不会知道更改，但是在进行手动更改时会应用它们。

我试过运行gpupdate / force，它似乎没有更新或传播更改

    New-Item \\$($MappedDrivesGPO.DomainName)\SYSVOL\$($MappedDrivesGPO.DomainName)\Policies\$("{"+$MappedDrivesGPO.Id+"}")\User\Preferences\Drives\Drives.xml -ItemType File -Force
    Set-Content \\$($MappedDrivesGPO.DomainName)\SYSVOL\$($MappedDrivesGPO.DomainName)\Policies\$("{"+$MappedDrivesGPO.Id+"}")\User\Preferences\Drives\Drives.xml $xml

<?xml version="1.0" encoding="utf-8"?>
    <Drives clsid="{8FDDCC1A-0C3C-43cd-A6B4-71A6DF20DA8C}">
        <Drive clsid="{935D1B74-9CB8-4e3c-9914-7DD559B7A417}" name="P:" status="P:" image="2" changed="2019-04-26 10:41:54" uid="{$guid1}" bypassErrors="1">
            <Properties action="U" thisDrive="NOCHANGE" allDrives="NOCHANGE" userName="" path="\\fs1\Projects" label="Projects" persistent="0" useLetter="1" letter="P"/>
            <Filters>
                <FilterGroup bool="AND" not="0" name="$($domainName)\Drive P Access" sid="$($filterGroupSidDriveP)" userContext="1" primaryGroup="0" localGroup="0"/>
            </Filters>
        </Drive>
        <Drive clsid="{935D1B74-9CB8-4e3c-9914-7DD559B7A417}" name="S:" status="S:" image="2" changed="2019-04-26 10:39:21" uid="{$guid2}" bypassErrors="1">
            <Properties action="U" thisDrive="NOCHANGE" allDrives="NOCHANGE" userName="" path="\\as1\Software" label="Software" persistent="0" useLetter="1" letter="S"/>
            <Filters>
                <FilterGroup bool="AND" not="0" name="$($domainName)\Drive S Access" sid="$($filterGroupSidDriveS)" userContext="1" primaryGroup="0" localGroup="0"/>
            </Filters>
        </Drive>
    </Drives>

我希望策略在创建XML文件后按预期开始工作

实际结果是该政策似乎形成良好，但从未应用过

Answer 1

我设法自己解决这个问题，发布在这里以防其他人遇到同样的问题。 如果您是以编程方式而不是通过编辑器创建GPO，则必须扩展脚本/程序以将CSE（在本例中为驱动器映射）和SnapIn GUID添加到gPCUserExtensionNames。

[{00000000-0000-0000-0000-000000000000}{2EA1A81B-48E5-45E9-8BB7-A6E3AC170006}][{5794DAFD-BE60-433F-88A2-1A31939AC01F}{2EA1A81B-48E5-45E9-8BB7-A6E3AC170006}]

0000 ..是核心GPO引擎，23EA ..是首选项工具CSE GUID驱动器，5794 ..是首选项CSE GUID驱动器。

如果使用所需更改手动创建策略，则可以打开dsa.msc，启用高级功能，然后查看策略对象属性。 在gPCUserExtensionNames下，您将能够看到包含您需要在软件中包含的GUID的数组。