疑惑：Windows 7 打上KB3159398補丁之后，GPMC基于用戶對象的策略該何去何從？

        以往，為了方便管理或者其它目的，我們將組策略中的用戶策略通過GPMC下發（例如用戶文件夾重定向），只需把這條策略鏈接至該用戶的同級\上級OU，然后在“安全篩選”中選中該用戶（或者用戶所在的用戶組）。然而在去年10月，封裝一個虛擬機模版時，更新了win7 pro sp1 x64的所有安全補丁，因為是在原有的模版基礎上做更新，因此沒有全面測試（一些必要的測試，也是用系統的本地管理員登錄進行的），直接用這個模版創建新的虛擬機給同事使用，同事用域用戶登錄后，發現基于用戶的所有策略全部失效！！!

        這時又受經驗主義的影響，常規的sysvol檢查、gpresult分析，浪費了大把時間。

        思前想后，模版的前后差別就是一些 應用程序的版本和微軟補丁數量。于是復制一個模版，從微軟補丁入手，一個一個刪，刪一個測一次。刪了KB3159398后，用戶策略恢復。百度之：微軟的KB3159398說明。微軟有白紙黑字的說了這個補丁的影響,并且給出了解決的辦法：

癥狀

所有用戶組策略（包括那些在用戶帳戶或安全組上進行了安全篩選的用戶組策略）都可能無法應用于加入域的計算機。

原因

如果組策略對象中缺少可能出現此問題讀了Authenticated Users組的權限，或者如果您正在使用安全過濾和缺少閱讀的域中的計算機組的權限。

解析度

要解決此問題，請使用組策略管理控制臺（GPMC.MSC）并按照以下步驟之一進行操作：

• 在組策略對象（GPO）上添加帶有讀取權限的Authenticated Users組。

• 如果您正在使用安全篩選，請添加具有讀取權限的域計算機組。

/* 原文谷歌翻譯，能看懂大概意思吧*/

        "解析度"中的2個無序列表內容，就是解決辦法了。

        第一個辦法顯然是不實際的。

        第二個辦法，意思就是要把想生效用戶組策略的計算機對象也加入到安全篩選，這也意味著，只篩選或者委派命中用戶\用戶組就能生效策略的辦法將不復存在。

        通俗點說，打了KB3159398補丁后的計算機，要執行GPMC下發的用戶組策略，該策略的安全篩選或者委派必須同時選中這臺計算機和用戶這2個對象！

        當然，win7，確切的說，是Windows NT 6.1內核版本的操作系統，可以選擇不安裝這個補丁，或者卸載了事，可是win10，已經集成了這個補丁的，沒辦法卸載。更何況我們服務對象中，利用第三方軟件來升級補丁的強迫癥用戶不在少數。（我在GPMC改了Windows Update服務器地址，防火墻攔截了主流的安全軟件補丁下載流量(某60某管家之類).但還是會有漏網之魚，也沒辦法天天圍著這個事情轉。）        

        所以，還是養成習慣，改變管理方法吧！