windows7组策略 gpupdate force 刷新失败怎么办？

刷新失败可能是因为不能和域控进行网络连接。

一、组策略是什么

套用官方对于组策略的定义就是管理员为用户和计算机定义并控制层序、网络资源及 *** 作系统行为的主要编辑工具。通过使用组策略可以设置各种软件、电脑和用户策略。比如设定关机时间、调整网络速度限制、阻止访问命令提示符等。我们最为熟悉的网吧计费模式也是可以通过组策略来实现破解，不过方法没有这么简单。

二、win7无法远程桌面提示您的凭据不工作的解决方法

WIN7系统提示WIN 7  无法远程桌面,提示“您的凭据不工作”的问题。问题现象是：远程主机已经开启了远程桌面，XP系统可以远程连接电脑。但是部分win7系统却远程不了，总是提示“您的凭证不工作”的情况，实际远程的用户名和密码都是正常的。

打开组策略编辑器，找到开始--- 运行-- 输入 gpeditmsc，打开注册表编辑器，然后依次找到菜单，计算机配置---  管理模板---凭据分配---- 允许分配保存的凭据用于 NTLM服务器身份验证。

选择“已启用” 然后在“显示”里面输入 TERMSRV/(允许保存所有)。

刷新组策略，让设置生效。开始菜单--- 运行--- 输入 gpupdate /force 强制刷新，如下图设置。

经过测试还是出现此类现象提示window登陆没有成功，就打开控制面板所有控制面板项网络和共享中心高级共享设置，费了好久，把这一项关闭就可以实现远程桌面了。

注意事项：在同一个局域网实现远程桌面的。

两种方法可以解决，推荐第一种。
第一种方法：
Window 2003访问其他服务器的共享时，输入完共享服务器帐号密码，并点保存登录凭据后，当访问者这台机器重启后再次访问共享就又需要输入帐号密码了，遇到这种问题时，需要手工添加登录凭据，以实现长期有效：
cmdkey /add:共享服务器IP /user:共享服务器用户名 /pass:共享服务器密码；
例如：
共享服务器ip是：19216831180
共享服务器用户名：administrator
共享服务器密码：test123
命令就写成这样：
cmdkey /add:19216831180 /user:administrator /pass:test123
第二种方法：
(1)单击“开始”按钮，键入 gpeditmsc，然后按 Enter。‌如果系统提示您输入管理员密码或进行确认，请键入密码或提供确认。
(2)点击“计算机配置”——“管理模板”——“系统”——“凭据分配”。双击右边窗口的“允许分配保存的凭据用于仅 NTLM 服务器身份验证”。
(3)在d出的窗口中选中“已启用”，再单击“显示”，在d出的窗口中，输入“TERMSRV/”。（确保 TERMSRV 为大写）
(4)使用 “gpupdate /force”命令刷新组策略或者重启计算机使其生效即可。

在极速W10企业版系统上，不少用户对远程桌面连接的使用需求很高。系统开启远程桌面连接的设置方法并不难，下面小编以图文形式详细讲解这一 *** 作过程。
*** 作步骤
1在桌面上找到这台电脑在这个图标上点右键再选择属性。
2进入系统设置界面点击远程设置。
3系统属性界面下的远程选项中勾选允许远程协助连接这台计算机远程桌面下也要允许远程连接此计算机。
4这个设置只针对当前登陆的用户名。如果想让更多的用户可以登陆你的这台电脑上才可以往下面看。选择用户。
5点击添加。
6在这里查找你要想添加的用户，这样的用户才会有权限远程访问你的电脑。
使用远程桌面连接有它实用的一面，但也会带来系统风险。打开这个端口对于黑客入侵、隐私安全都带来不小的隐患，大家应谨慎对待这一功能。

需要对本地组策略进行设置，步骤如下：

1、使用 gpeditmsc 打开组策略；

2、点击“计算机配置”——“管理模板”——“系统”——“凭据分配”；

3、双击右边窗口的“允许分配保存的凭据用于仅 NTLM 服务器身份验证”；

4、在d出的窗口中选中“已启用”，再单击“显示”，在d出的窗口中，输入“TERMSRV/”。（确保 TERMSRV 为大写）

注: “显示内容”对话框中的服务器名称格式为：TERMSRV/computername,computername变量可以是一台特定远程计算机的名称（例 如，TERMSRV/myremotepc），或者您可以使用星号（）包含一组计算机（例如，TERMSRV/ 或 TERMSRV/corpcom），其中包含的计算机名称应该与“远程桌面连接”对话框中“计算机”框中输入的名称完全一致，以连接到该远程计算 机。

1、禁止IPC空连接：
cracker可以利用net use命令建立空连接，进而入侵，还有net view，nbtstat这些都是基于空连接的，禁止空连接就好了。打开注册表，找到 Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous 把这个值改成”1”即可。
2、禁止at命令：
cracker往往给你个木马然后让它运行，这时他就需要at命令了。打开管理工具-服务，禁用task scheduler服务即可。
3、关闭超级终端服务
如果你开了的话。这个漏洞都烂了，我不说了。
4、关闭SSDP Discover Service服务
这个服务主要用于启动家庭网络设备上的UPnP设备，服务同时会启动5000端口。可能造成DDOS攻击，让CPU使用达到100%，从而使计算机崩溃。照理说没人会对个人机器费力去做DDOS，但这个使用过程中也非常的占用带宽，它会不断的向外界发送数据包，影响网络传输速率，所以还是关了好。
5、关闭Remote Regisry服务
看看就知道了，允许远程修改注册表？除非你真的脑子进水了。
6、禁用TCP/IP上的NetBIOS
网上邻居-属性-本地连接-属性-Internet协议（TCP/IP）属性-高级-WINS面板-NetBIOS设置-禁用TCP/IP上的NetBIOS。这样cracker就无法用nbtstat命令来读取你的NetBIOS信息和网卡MAC地址了。
7、关闭DCOM服务
这就是135端口了，除了被用做查询服务外，它还可能引起直接的攻击，关闭方法是：在运行里输入dcomcnfg，在d出的组件服务窗口里选择默认属性标签，取消“在此计算机上启用分布式COM”即可。
8、把共享文件的权限从”everyone”组改成“授权用户”
“everyone” 在win2000中意味着任何有权进入你的网络的用户都能够获得这些共享资料。任何时候都不要把共享文件的用户设置成”everyone”组。包括打印共享，默认的属性就是”everyone”组的，一定不要忘了改。
9、取消其他不必要的服务
请根据自己需要自行决定，下面给出>解决方法一：修改组策略
1、在“开始”窗口运行gpeditmsc，进入计算机配置->管理模板->系统->凭据分配->允许分配保存的凭据用于仅NTLM服务器身份验证，双击打开，选择“已启用”->单击“显示”输入“TERMSRV/”，点确定后退出。
2、在“开始”窗口运行命令“gpupdate /force”立即生效或重启电脑。
解决方法二：添加凭据
1、进入“控制面板”->“凭据管理器”->“添加Windows凭据”->输入 要登录的服务器的IP地址、用户名、密码，点确定退出。
解决方法三：
打开本地组策略编辑器，看下有关系统安全设置的选项，看看是否有什么限制，多次尝试中，发现了解决方法，整理步骤如下：
1、开始-->运行->gpeditmsc->计算机配置->Windows设置->安全设置->本地策略->安全选项->网络访问:本地帐户的共享和安全模型；
2、修改为使用经典模式。

1、首先，点击“开始”---“运行”（或者“WIN键”+“R”），键入“gpeditmsc”，然后按 Enter。

2、点击“计算机配置”---“管理模板”。

3、点击“系统”---“凭据分配”。

4、然后，双击右边窗口的“允许分配保存的凭据用于仅 NTLM 服务器身份验证”。

5、在d出的窗口中选“已启用”，再单击“显示”，在d出的窗口中，双击入“TERMSRV/”，再点击确定即可。

---