要解决这一问题，你需要作为具有修改GPO权限的用户登录。登录后，你就可以修改GPO以完成所需的操作，或是赋予原始用户对象改变GPO的权利。 在理论上，应当把没有修改GPO权限的管理员用户对象添加到一个拥有修改GPO权限的组中使用户对象拥有相关权限，而不是直接将权限指定给用户对象。

　　5.已经应用了GPO的更新，但客户并没有获得更新结果

　　假设你已经确定计算机通过了RsoP测试，并且客户获得了策略设置情况。如果出现了这种问题，有以下几个可能：

　　首先，如果你有多个域控制器，你应当等待一段时间，这样可以确保策略有足够的时间被复制到网络上其他所有的域控制器上。如果时间太短，这就可 能引发问题。

　　如果已经有一段时间了，但新的策略设置还没有生效，那么可以使用GPOTool来检查复制状态。GPOTool将从每个域控制器中读取所有的组策略信息并对 其进行比较。GPOTool可以作为Windows Server 2003 Resource Kit的一部分从微软站点下载。你可以通过在命令提示符下输入gpotool来使用这一工具。在输 入命令后，你可以看到类似的文字：

C:\Documents and Settings\Administrator>gpotool
Validating DCs...
Available DCs:

在本例中，有一个单独的域控制器，所有的策略测试都被通过。GPOTool有一些命令行选项： 

　　/gpo:GPO[,GPO]…— 需要检查的GPO；可以指定GUID或GPO名；默认为当前域的所有GPO； 

　　/domain:name—GPO所在域的域名； 

　　/dc:{domain controller}[,{domain controller}—处理GPO的域控制器名称列表； 

　　/checkacl—在每台服务器上对sysvol验证ACL； 

　　/verbose—在处理过程中显示详细信息； 

　　如果域控制器之间的复制出了问题，那么应当修正此问题并尝试重新进行域策略操作。你可以尝试通过强制复制来确定这能否解决GPO问题，但由于这 会是一个很长的过程，因此该方法不被推荐。 

　　关于复制和组策略的更多信息 

　　组策略同时依赖于活动目录复制和文件系统复制。活动目录复制负责复制目录组策略容器，包括哪些策略应用到哪些用户和计算机的信息。文件系统复 制则用于复制SYSVOL共享，它为每个GPO包含了一个模板。只有活动目录复制可以被强制执行。 

　　客户组策略更新 

　　造成问题的第二个潜在原因在客户方面，即组策略更新周期。这个周期定义了使组策略改变生效的时间间隔。默认设置为客户计算机每90分钟（正负30 分钟）更新组策略信息。如果你需要让设置立即生效，你需要了解有以下一些事件可以触发组策略更新： 

　　有用户登录到计算机； 

　　系统启动； 

　　客户端运行了gpupdata命令行。 

　　6.GPO显示为Empty 

　　如果GPO显示为Empty则意味着在GPO中没有设置任何策略。在这种情况下，可以采取如下步骤。首先，你可以准备添加一些设置。其次，你可以删除域 同GPO之间的链接。方法是使用GPMC，然后右键单击GPO，去掉Link Enabled（允许连接）选项，如图4所示：