域用户无法安装驱动|活动目录域AD组策略无法应用

声明：本文转载自gnaw0725.blogbus.com，更新网址：http://gnaw0725.blog.51cto.com。
        域中的大多数用户都属于所使用计算机的本地power users组， 但是为了让这个组的成员能够添加和删除驱动，就在组策略中的用户权限指派中添加了domain users，而应用到客户端的效果确连本地管理员也无法安装驱动了。所以就在域策略中取消了这项，在组策略控制台中确实也看到该项的设置是未配置。但是，后来在使用过程中发现，一些客户端仍然应用了原来的设置，在客户端和服务器上使用gpupdate /forcce命令也仍然不起作用。
回答：首先，domain users在客户端计算机中，隶属于 users，而不是power users
其次，本地管理员绝对有权限添加、删除驱动，除非您从组策略中的计算机配置-windows
设置-安全设置-本地策略-用户权利指派-装载或卸载设备驱动驱动，中移除了本地管理员组。
再次，很多组策略需要显式的设置，即明确的指定一个值，而不能设置为“未配置”状态，这个状态可能不会对客户端产生影响最后，
－－－gnaw0725
非常感谢gnaw0725的回复，我同意他的观点。默认情况下，domain user属于客户端的users组，并且本地管理员是具有删除和添加驱动的权限的。如果在需要设置的组策略上选择“未配置”选项，则该策略的状态将不会在组策略级别指定，可能会导致组策略无法生效，您必须在策略项中明确的指定一个具体的状态。
您可以使用Dcgpofix工具将默认组策略对象还原到它们的原始状态（即，初始安装之后的默认状态），该工具会将默认域策略和默认域控制器策略还原到它们安装之后的原始状态。运行 dcgpofix 之后，对这些组策略对象的任何更改都将丢失。所以，在运行该工具之前，请您使用GPMC备份原先的组策略对象。
使用 GPMC 备份组策略对象
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/zh-chs/library/ServerHelp/a8e7d87a-762f-4ecf-bfe7-2c97e50a64e7.mspx?mfr=true
更多关于Dcgpofix工具的信息，您可以参考以下文章：
Dcgpofix
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/zh-chs/library/ServerHelp/48872034-1907-4149-b6aa-9788d38209d2.mspx?mfr=true
Tom Zhang 张一平 在线技术支持工程师 微软全球技术支持中心