群組原則無法套用

問題描述

上一次的資安健診後發現有些電腦的群組原則無法正常套用(可見該原則，但部分設定未套用)，但因為受影響使用者不多，也因事務繁忙所以就把這件事給忽略了。前幾天為某台 Windows 2008 Server 做更新時，gpupdate 突然出現無法套用的訊息，但因為是 Server 就不得不尋找解決方案。

發生原因

某些記錄檔案毀損或無法讀取。本例是 Registry.xml 有問題，需重建。

解決方式

1. 到以下路徑備份所有{GUID}資料夾
C:\Users\All Users\Microsoft\Group Policy\History\

2. 進受影響的{GUID}資料夾(或所有資料夾)的最底層找出 Registry.xml，然後刪除它。
本例路徑為 C:\Users\All Users\Microsoft\Group Policy\History\{14673CE4-9537-40D1-A388-63E4B4A88833}\Machine\Preferences\Registry

3. 重新執行 gpupdate /force 即可重新下載，此時會產生新的 Registry.xml，檢查事件檢視器可發現已不再有錯誤訊息。

心得與觀察

目前 Server 已正常，用戶端仍待驗證中。

參考資料

1. GPO 無法套用
2. 某些群組原則喜好設定是無法在執行 Windows Vista、 Windows Server 2008、 Windows 7 或 Windows Server 2008 R2 的電腦上成功地套用