以往，为了方便管理或者其它目的，我们将组策略中的用户策略通过GPMC下发（例如用户文件夹重定向），只需把这条策略链接至该用户的同级\上级OU，然后在“安全筛选”中选中该用户（或者用户所在的用户组）。然而在去年10月，封装一个虚拟机模版时，更新了win7 pro sp1 x64的所有安全补丁，因为是在原有的模版基础上做更新，因此没有全面测试（一些必要的测试，也是用系统的本地管理员登录进行的），直接用这个模版创建新的虚拟机给同事使用，同事用域用户登录后，发现基于用户的所有策略全部失效！！!

        这时又受经验主义的影响，常规的sysvol检查、gpresult分析，浪费了大把时间。

        思前想后，模版的前后差别就是一些 应用程序的版本和微软补丁数量。于是复制一个模版，从微软补丁入手，一个一个删，删一个测一次。删了KB3159398后，用户策略恢复。百度之：微软的KB3159398说明。微软有白纸黑字的说了这个补丁的影响,并且给出了解决的办法：

症状

所有用户组策略（包括那些在用户帐户或安全组上进行了安全筛选的用户组策略）都可能无法应用于加入域的计算机。

原因

如果组策略对象中缺少可能出现此问题读了Authenticated Users组的权限，或者如果您正在使用安全过滤和缺少阅读的域中的计算机组的权限。

解析度

要解决此问题，请使用组策略管理控制台（GPMC.MSC）并按照以下步骤之一进行操作：

• 在组策略对象（GPO）上添加带有读取权限的Authenticated Users组。

• 如果您正在使用安全筛选，请添加具有读取权限的域计算机组。

/* 原文谷歌翻译，能看懂大概意思吧*/

        "解析度"中的2个无序列表内容，就是解决办法了。

        第一个办法显然是不实际的。

        第二个办法，意思就是要把想生效用户组策略的计算机对象也加入到安全筛选，这也意味着，只筛选或者委派命中用户\用户组就能生效策略的办法将不复存在。

        通俗点说，打了KB3159398补丁后的计算机，要执行GPMC下发的用户组策略，该策略的安全筛选或者委派必须同时选中这台计算机和用户这2个对象！

        当然，win7，确切的说，是Windows NT 6.1内核版本的操作系统，可以选择不安装这个补丁，或者卸载了事，可是win10，已经集成了这个补丁的，没办法卸载。更何况我们服务对象中，利用第三方软件来升级补丁的强迫症用户不在少数。（我在GPMC改了Windows Update服务器地址，防火墙拦截了主流的安全软件补丁下载流量(某60某管家之类).但还是会有漏网之鱼，也没办法天天围着这个事情转。）        

        所以，还是养成习惯，改变管理方法吧！