iT邦幫忙

0

顯示上次使用者互動式的登入資訊 設定問題

gpo

各位gpo前輩,
想在公司設定顯示上次使用者互動式的登入資訊功能。如圖效果
https://ithelp.ithome.com.tw/upload/images/20191105/20055940LYDb4htvub.png
以讓公司員工登入windows時可知道自己的帳號登入資訊,有參考書籍設定,但設定不成功,
會顯示「此計算機上的安全策略未設定為顯示有關上次互動式登入的資訊。Windows 無法檢索此資訊。請與您的網路管理員聯絡,以獲得幫助。」之訊息。

在書籍上設定的要領說的很簡單,但我做法卻無法達成,請前輩們點點迷津。
環境:
AD DC: Windows Server 2012R2
Local OS: Windows 10 v1903
OU: by Dept.
Domain Account: by Dept.
看書籍說明(如圖):
https://ithelp.ithome.com.tw/upload/images/20191105/20055940nEBZsuNgbY.png

我的疑問點:
Q1.不能另設一個Policy即可嗎?
Q2.一定要設定在Default Domain Policy or Default Domain Controller Policy?
Q3.照圖上說的都要設定 不會造成衝突嗎?
設定後,直接到域中某台電腦下gpupdate /force套用後並不成功,這樣設定上的邏輯哪裡出錯了呢?我實在想不出來。

1 個回答

0
tyudfg1682
iT邦新手 2 級 ‧ 2019-11-07 15:30:39

我的公司有使用這個政策,我來說明這個功能的意思

1.Default Domain Policy 和 Default Domain Controller Policy,請不要動這兩個原則

原因在於這兩個都是初始的GPO,如果你想找乾淨的初始GPO只能靠這兩個來作複製副本使用

2.這個功能套用在GPO的電腦端設定,請注意GPO套用的OU範圍與電腦物件存放是否正確

3.這個功能在用戶端生效的時候,必須也要在網域控制站生效才行,所以網域控制站也要套用


所以你的問題

Q1: 可以另外設定 Policy

Q2: 你應該從Default Domain Controller Policy複製一個副本,

然後對複本改一個你之後方便辨識的名稱,再套用到網域控制站上面

Q3: 此原則是套用在GPO的電腦端,所以GPO連接的OU需要有電腦物件,

如果在AD的目錄服務裡面,GPO連結的OU裡面沒有你要套用的電腦物件的話,當然不會生效

GPO設定完畢後,請記得在用戶端與網域控制站上,執行 gpupdate /force 讓GPO原則馬上生效

GPO的電腦端原則,有些部份不一定支援熱變動,如果透過GPO查詢確定有套用了而沒有生效,

請把系統重新啟動,Windows的系統某些設定變動,還是只能重新開機才會正式生效

看更多先前的回應...收起先前的回應...
girukimo iT邦新手 4 級 ‧ 2019-11-08 07:13:19 檢舉

3.這個功能在用戶端生效的時候,必須也要在網域控制站生效才行,所以網域控制站也要套用

Hi tyudfg1682
謝謝您的回答,這個可能就是我沒有成功的原因,我並未在網域控制站上套用此GPO,所以網域使用者沒有登入資訊記錄,導致電腦端無法正常生效。

那網域GPO也需要套用 能直接設定GPO在網域控制站本機上嗎?還是要選
Default Domain Policy 和 Default Domain Controller Policy其中1個,來設定並套用,套用完成後,待有使用者登入資訊記錄時,再將電腦端的GPO套用上去。

Default Domain Controller Policy複製出來一個副本,把這個副本的GPO套用在網域控制站上面,養成GPO分類的良好習慣,後續維護才不會這麼麻煩。

girukimo iT邦新手 4 級 ‧ 2019-11-14 10:09:56 檢舉

這幾天做了測試 還是無法成功。
Default Domain Policy 和 Default Domain Controller Policy這二個我都有設定,然後在帳號中屬性編輯中 這二個資訊一直未產生,如下圖
https://ithelp.ithome.com.tw/upload/images/20191114/20055940C2ithTAOUN.png
我不知道哪裡有問題,顯示上次使用者登入資訊設定到底哪個環節錯了

請先自我檢查網域控制站還有你要套用的電腦是否正確套用這項規則
https://ithelp.ithome.com.tw/upload/images/20191114/20022284nndUeQ9QAh.jpg

girukimo iT邦新手 4 級 ‧ 2019-11-15 14:02:54 檢舉

hi tyudfg1682
謝謝,有檢查,原來uer必須先登出後再登入系統,記錄才會產生。
想請教你,如果網域建立新user,會因沒有登入記錄,造成無法登入系統的情況嗎?如下
顯示「此計算機上的安全策略未設定為顯示有關上次互動式登入的資訊。Windows 無法檢索此資訊。請與您的網路管理員聯絡,以獲得幫助。」訊息。

不會影響登入,沒有資訊或者無法跟DC取得資訊就是跳出警告而已。

我要發表回答

立即登入回答