วิธีแก้ GPO ไม่ Apply บน Windows Server 2025

แม้ว่า Group Policy Object (GPO) จะถูกสร้างเรียบร้อยและเชื่อมโยงกับ Organizational Unit (OU) ถูกต้องแล้ว แต่ในหลายองค์กรยังพบปัญหา GPO ไม่ Apply กับผู้ใช้หรือเครื่องคอมพิวเตอร์บางเครื่อง ส่งผลให้การตั้งค่าที่ต้องการไม่ถูกนำไปใช้งาน

ปัญหานี้แตกต่างจาก Group Policy ไม่ทำงานโดยรวม เพราะในกรณีนี้ Active Directory และ Group Policy Service อาจยังทำงานปกติ แต่มีบางเงื่อนไขที่ทำให้ GPO ไม่ถูกประมวลผล

บทความนี้จะช่วยให้คุณวิเคราะห์และแก้ปัญหา GPO ไม่ Apply บน Windows Server 2025 อย่างละเอียด

① อาการที่พบบ่อย

อาการที่พบได้ เช่น

• Password Policy ไม่ถูกบังคับ
• Drive Mapping ไม่ขึ้น
• Desktop Wallpaper ไม่เปลี่ยน
• Software Deployment ไม่ติดตั้ง
• Login Script ไม่ทำงาน
• Registry Setting ไม่ถูกสร้าง
• User ได้ค่าต่างจากที่กำหนด

โดยมักเกิดเฉพาะบางเครื่องหรือบางผู้ใช้

② ตรวจสอบด้วย GPResult ก่อนเสมอ

เครื่องมือแรกที่ควรใช้คือ

gpresult /r

หรือ

gpresult /h report.html

รายงานนี้จะแสดง

• GPO ที่ถูก Apply
• GPO ที่ถูกปฏิเสธ
• เหตุผลที่ไม่ถูกนำมาใช้

ถือเป็นจุดเริ่มต้นที่สำคัญที่สุด

③ ตรวจสอบ Scope ของ GPO

ใน Group Policy Management

ตรวจสอบว่า

GPO ถูก Link ไปยัง OU ที่ถูกต้องหรือไม่

ตัวอย่างปัญหาที่พบบ่อย

• User อยู่ OU หนึ่ง
• GPO อยู่คนละ OU

ผลคือ GPO ไม่ถูก Apply

④ ตรวจสอบ Security Filtering

ตรวจสอบ

Security Filtering

ภายใน GPO

ว่ามี

• Authenticated Users
• Security Group
• User
• Computer

ที่ต้องการอยู่ในรายการหรือไม่

หากไม่มีสิทธิ์ Read และ Apply Group Policy

GPO จะไม่ถูกนำไปใช้

⑤ ตรวจสอบ Delegation

ไปที่แท็บ

Delegation

ตรวจสอบสิทธิ์

• Read
• Apply Group Policy

หากสิทธิ์ไม่ครบ

GPO จะถูกมองข้าม

แม้จะถูก Link ไว้ถูกต้องก็ตาม

⑥ ตรวจสอบ WMI Filter

WMI Filter เป็นสาเหตุยอดนิยมของปัญหา GPO ไม่ Apply

ตัวอย่างเช่น

• ใช้กับ Windows 11 เท่านั้น
• ใช้กับ RAM มากกว่า 8 GB
• ใช้กับ Laptop เท่านั้น

หากเงื่อนไขไม่ตรง

GPO จะไม่ถูกนำไปใช้

ตรวจสอบได้จาก GPResult

⑦ ตรวจสอบ Block Inheritance

ใน OU

ตรวจสอบว่าเปิด

Block Inheritance

หรือไม่

หากเปิดใช้งาน

GPO จากระดับบนอาจไม่ถูกส่งต่อมายัง OU นี้

⑧ ตรวจสอบ Enforced Policy

ในบางกรณี

GPO อื่นที่ถูกตั้งค่า

Enforced

อาจ Override GPO ที่คุณต้องการ

ทำให้ผลลัพธ์ไม่เป็นไปตามคาด

⑨ ตรวจสอบ Loopback Processing

สำหรับเครื่อง Terminal Server หรือ RDS

ตรวจสอบ

Loopback Processing

หากเปิดใช้งาน

ลำดับการประมวลผล GPO จะเปลี่ยนไป

และอาจทำให้ User Policy ไม่ถูก Apply

⑩ บังคับอัปเดต GPO

ทดลองรัน

gpupdate /force

จากนั้น

• Logout
• Login ใหม่

หรือ

• Restart เครื่อง

เพื่อทดสอบอีกครั้ง

⑪ ตรวจสอบ DNS

DNS ผิดพลาดสามารถทำให้ GPO ไม่ Apply ได้

ตรวจสอบ

nslookup domain.local

และ

nslookup dc01.domain.local

หาก Name Resolution ผิด

Client อาจหา Domain Controller ไม่เจอ

⑫ ตรวจสอบ SYSVOL

ทดสอบเข้าถึง

\\domain.local\SYSVOL

หากเปิดไม่ได้

Client จะไม่สามารถดาวน์โหลด GPO ได้

⑬ ตรวจสอบ Event Viewer

บน Client

เปิด

Applications and Services Logs

Microsoft

Windows

GroupPolicy

Operational

ค้นหา

• Event Error
• Event Warning
• Processing Failure

ข้อมูลส่วนนี้ช่วยระบุสาเหตุได้อย่างแม่นยำ

⑭ วิธีป้องกัน GPO ไม่ Apply

แนวทางที่แนะนำ

• ใช้ OU Structure ที่ชัดเจน
• ลดการใช้ WMI Filter ที่ซับซ้อน
• ตรวจสอบ Security Filtering ทุกครั้ง
• ทดสอบ GPO ใน Test OU ก่อน
• ตรวจสอบ SYSVOL และ Replication เป็นประจำ
• ใช้ GPResult ทุกครั้งเมื่อวิเคราะห์ปัญหา

ทีมงาน comsiam มักเริ่มวิเคราะห์ปัญหา GPO ไม่ Apply ด้วย GPResult ก่อนเสมอ เพราะสามารถบอกได้ทันทีว่า GPO ถูกปฏิเสธด้วยเหตุผลใด

⑮ สรุป

GPO ไม่ Apply บน Windows Server 2025 มักเกิดจาก Security Filtering, WMI Filter, Block Inheritance, DNS หรือ SYSVOL มากกว่าตัว Group Policy เอง การใช้ GPResult และ Event Viewer ร่วมกันช่วยลดเวลาในการวิเคราะห์ได้อย่างมาก

สำหรับองค์กรที่มี GPO จำนวนมาก comsiam แนะนำให้มีการทดสอบทุก Policy ในสภาพแวดล้อม Test ก่อนนำไปใช้จริง เพื่อลดความเสี่ยงจากการตั้งค่าที่ผิดพลาดและช่วยให้การบริหาร Active Directory มีประสิทธิภาพมากขึ้น

คำถามชวนคิด

เมื่อ GPO ไม่ Apply คุณสามารถระบุได้ทันทีหรือไม่ว่าเกิดจาก Security Filtering, WMI Filter หรือ SYSVOL หรือยังต้องไล่ตรวจสอบทุกส่วนแบบลองผิดลองถูก?