更新群組政策時，無法自動套用到使用者電腦

更新群組政策時，無法自動套用到使用者電腦
到iT邦幫忙

klm2242（IT邦初學者9級）發問：
設定GPO（Group Policy Object）鎖定USB埠後，發現使用者的電腦無法自動更新、套用，而必須到他們的電腦前執行「gpupdate /force」，這該如何解決？另外鎖USB埠會不會誤鎖其他USB裝置？

jerry710822（IT邦初學者7級）：
「gpupdate /force」指令是在AD上執行的，如果無法套用到用戶端電腦，必須檢查它們跟AD之間是否正常。
jeffweng（IT邦初學者9級）：
如果要在使用者開機時就執行，可以利用開機時，讓電腦讀取批次檔。
批次檔的內容是直接輸入「gpupdate /force」，再存成副檔名為「.bat」的檔案。將此檔放在「netlogon」資料夾，並在AD使用者的檔案中，設定讀取這個檔案即可。

glennlin（IT邦初學者8級）：
gpupdate指令是強迫重新套用群組原則的指令，一般GPO套用的時間都有固定的循環，甚至應該在使用者重新啟動電腦後，就會重新套用原則。

如果發現GPO套用不正常，應該執行rsop.msc，查看是否有原則未被套用。

另外關於封鎖USB是一般慣用的簡略說法，正確的定義應該是指封鎖USB儲存裝置，因此USB類型的I/O裝置就不會封鎖。

old7ada（IT邦初學者9級）：
gpupdate這個指令是在AD伺服器上執行，執行後會立即套用GPO的設定。

如果使用微軟提供的GPO再修改登錄機碼，可控制到個別的USB儲存裝置，而且USB滑鼠、鍵盤都可正常使用。

若用第三方軟體，甚至可控制到可讀不可寫、上級電子簽章的查核、攜出的資料無法複製等。此外，還可做到針對登入帳號控管，彈性更高。
dj584（IT邦初學者10級）：
盡量以OU（Organizational Unit）作為派送範圍，而不要派送到整個網域。派送整個網域會產生太大流量，有時會發生派送失敗，而且對AD的負擔也很重。