Mas de alguna vez haciendo un despliegue de algún cliente de software con un política GPO o aplicando una política como la de wsus siempre queda un grupo de maquinas rebeldes algo así de un 20% por consecuencia de esto no podemos dar termino a una tarea en un 99.9%.

creo que ocurre esto por que viene un consultor incluye sus políticas después viene otro otras mas y hay poca documentación o traspasó de conocimiento de quien es la culpa del chancho o el afrecho yo creo que que la responsabilidad es de quien se queda con el problema el cliente final.

recomiendo nunca incluir políticas en la raíz del árbol están son delicadas y si la hay tienen que ser muy bien manejadas y documentadas. la política tiene que estar lo mas cerca de la OU a aplicar es tan simple como linquiarla mientras mas políticas tenemos mas se demora en aplicarse no repitamos políticas.

en una política de grupo tenemos dos grandes grupos unas que se aplican a las maquinas y otras que se aplican a los usuarios teniendo en cuenta esto debemos dividir nuestro árbol de directorio en dos ramas una para maquinas y otras para usuarios. Usando modelos compuestos de regiones o departamentos dividir en maquinas y usuarios.

ahora volviendo a las maquinas rebeldes veamos porque no se podría estar aplicando una política lo que hago creo un pequeño paquete.msi y creo una política para desplegarlo con otra política tengo un contador que va pasando los nombres de las maquinas a un .txt que no tienen este paquete instalado así identifico a los rebeldes.

una vez identificados la mayoría no esta en la OU donde aplico la política.

otros están por algún motivo fuera del dominio con quitarla la maquina y agregarla se resuelve.

Con GPUPDATE / FORCE pueden obligar y con GPResult pueden ver que políticas se están aplicando en esa maquina.

Otro problemas es que este mal configurado los dns que el primero apunte hacia un router y no a un controlador de dominio. generalmente mal configurado en el DHCP.

Base de datos de GPO dañada usar este procedimiento

1- Abrir la carpeta %SystemRoot%\Security, y crear una carpeta «Security.back».
2- Mover todos los archivos que terminan en .log de la carpeta %SystemRoot%\Security a la carpeta security.bak.
3-Buscar el archivo secedit.sdb de la carpeta %systemroot%SecurityDatabase y cambiarle por «Secedit.bak».
5- Hacer clic en inicio, en ejecutar, y escribir mmc y dar aceptar.Hacer clic en consola, y después en Agregar o quitar complemento. Y después agregar el complemento Configuración y análisis de seguridad.
6- Dar con el botón secundario del ratón en configuración y análisis de seguridad y a continuación hacer clic en abrir base de datos.
7-Ir a la carpeta %Systemroot%SecurityDatabase, escribir Secedit.sdb en el cuadro de nombre de archivo y a continuación hacer clic en Abrir
Cuando pida que importemos una plantilla, hacer clic en Setup Security.inf y después dar abrir.
8-Si se recibe un mensaje de «acceso denegado » se puede omitir, no hay ningún riego.
nota: una vez realizado este proceso, las directivas locales, volveran a los valores iniciales de instalación

Hay maquinas que han sido clonadas con el mismo identificador SID hay que clonar con SysPrep para que se genere un SID nuevo.

Microsoft hace algún tiempo esta creando herramientas automáticas que resuelven problemas este fix aplica a politicas y wsus http://support.microsoft.com/mats/windows_update/es-es

Ahora también puede estar dañado el componente de Windows Installer reinstalarlo

y por ultimo si nada funciona reinstale el sistema operativo en estas maquinas.

 

Imaged clients with a
duplicate client ID will only appear once in the WSUS Admin Console. Each AU
client must have a unique id which is created for each individual install. When
imaging systems it is recommended always to use SysPrep. The WSUS admin console
will only display one client for each unique ID. If you have multiple clients
created from one image which are sharing the same ID, only one will appear in
the WSUS admin console. All clients will check in and download updates, but only
one will appear and display status in the WSUS admin console. In cases where
clients are not checking in, and they were created from images without running
SysPrep, the following steps will reset the existing duplicative client IDs.

a. Run regedit and go to
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionWindowsUpdate
b.
Delete the PingID, SUSClientID and the AccountDomainSID values
c. Stop and
start the Wuauserv Service
d. From the command prompt run: wuauclt
/resetauthorization /detectnow

http://gallery.technet.microsoft.com/scriptcenter/9faf2085-f8ca-4799-8d45-b0e654da71f7

 

espero que les ayude si tienen información sobre este problema la comparten y vamos agregando mas a las posibles soluciones.

fixit_logo