วิธีแก้ Group Policy ไม่ทำงาน บน Windows Server 2025

Group Policy หรือ GPO เป็นหัวใจสำคัญของระบบ Active Directory บน Windows Server 2025 เพราะใช้ควบคุมการตั้งค่า ความปลอดภัย โปรแกรม และนโยบายต่าง ๆ ของเครื่องคอมพิวเตอร์และผู้ใช้งานภายในองค์กร

เมื่อ Group Policy ไม่ทำงาน ผู้ดูแลระบบอาจพบว่า Password Policy ไม่ถูกบังคับ, Drive Mapping ไม่ขึ้น, Software ไม่ติดตั้งอัตโนมัติ หรือการตั้งค่าความปลอดภัยไม่ถูกนำไปใช้ ส่งผลให้การบริหารจัดการระบบขนาดใหญ่ทำได้ยากขึ้นอย่างมาก

บทความนี้จะช่วยให้คุณวิเคราะห์และแก้ปัญหา Group Policy ไม่ทำงานอย่างเป็นระบบ

① อาการที่พบบ่อย

อาการที่มักพบ ได้แก่

• GPO ไม่ถูก Apply
• Password Policy ไม่ทำงาน
• Drive Mapping ไม่ขึ้น
• Login Script ไม่ทำงาน
• Software Deployment ล้มเหลว
• Desktop Policy ไม่ถูกบังคับ
• User ได้ค่าการตั้งค่าไม่เหมือนกัน

อาการเหล่านี้มักเกี่ยวข้องกับ Active Directory และ DNS

② ตรวจสอบว่าเครื่อง Join Domain อยู่หรือไม่

บน Client

ใช้คำสั่ง

systeminfo | findstr Domain

หรือ

echo %logonserver%

หากเครื่องไม่ได้อยู่ใน Domain

GPO จะไม่สามารถทำงานได้

③ ตรวจสอบการเชื่อมต่อกับ Domain Controller

ทดสอบ

ping DC_IP

และ

ping DOMAIN_CONTROLLER_NAME

หากติดต่อ Domain Controller ไม่ได้

Group Policy จะไม่สามารถดาวน์โหลดได้

④ ตรวจสอบ DNS

DNS เป็นสาเหตุอันดับต้น ๆ ของปัญหา GPO

ตรวจสอบ

ipconfig /all

DNS ต้องชี้ไปยัง

Domain Controller

หรือ DNS ภายในองค์กร

ไม่ควรใช้ DNS สาธารณะ

เช่น

• 8.8.8.8
• 1.1.1.1

⑤ ใช้ GPUpdate บังคับอัปเดต

ทดลองรัน

gpupdate /force

จากนั้น Logout หรือ Restart เครื่อง

หากมี Error ให้จดข้อความไว้เพื่อวิเคราะห์ต่อ

⑥ ตรวจสอบผลลัพธ์ด้วย GPResult

ใช้คำสั่ง

gpresult /r

หรือ

gpresult /h report.html

รายงานนี้จะแสดง

• GPO ที่ถูก Apply
• GPO ที่ถูกปฏิเสธ
• สาเหตุที่ไม่ถูกนำไปใช้

เป็นเครื่องมือสำคัญสำหรับผู้ดูแลระบบ

⑦ ตรวจสอบ Security Filtering

เปิด

Group Policy Management

ตรวจสอบ

Security Filtering

ว่ามี

• User
• Computer
• Group

ที่ต้องการอยู่ในรายการหรือไม่

หลายครั้ง GPO ถูกสร้างถูกต้อง

แต่ Security Filtering ผิดพลาด

⑧ ตรวจสอบ OU ที่เชื่อมโยง

ตรวจสอบว่า

User หรือ Computer

อยู่ใน OU ที่ถูกต้องหรือไม่

หากวางอยู่ผิด OU

GPO จะไม่ถูกนำไปใช้

แม้ทุกอย่างจะตั้งค่าถูกต้อง

⑨ ตรวจสอบ Link Status

ใน Group Policy Management

ตรวจสอบว่า

• GPO Link เปิดใช้งาน
• GPO ไม่ถูก Disable
• GPO ไม่ถูก Block

หลายครั้งปัญหาเกิดจากการ Disable Link โดยไม่ตั้งใจ

⑩ ตรวจสอบ SYSVOL

บน Domain Controller

ตรวจสอบ

\\domain.local\SYSVOL

หาก SYSVOL เข้าถึงไม่ได้

Client จะไม่สามารถดาวน์โหลด Group Policy ได้

⑪ ตรวจสอบ Replication

หากมีหลาย Domain Controller

ตรวจสอบ

repadmin /replsummary

และ

dcdiag /test:sysvolcheck

Replication ที่ผิดพลาดทำให้ GPO ไม่ตรงกันระหว่าง Site

⑫ ตรวจสอบ Event Viewer

บน Client

ตรวจสอบ

Applications and Services Logs

Microsoft

Windows

GroupPolicy

Operational

ค้นหา

• Error
• Warning
• Processing Failure

ข้อมูลเหล่านี้ช่วยระบุปัญหาได้รวดเร็วมาก

⑬ ตรวจสอบเวลาให้ตรงกัน

Kerberos Authentication ต้องใช้เวลาที่ตรงกัน

ตรวจสอบ

w32tm /query /status

หากเวลาคลาดเคลื่อนมาก

Group Policy อาจล้มเหลวได้

⑭ วิธีป้องกัน Group Policy ไม่ทำงาน

แนวทางที่แนะนำ

• ใช้ DNS ภายในองค์กร
• ตรวจสอบ SYSVOL เป็นประจำ
• ตรวจสอบ Replication ทุกสัปดาห์
• ใช้ GPResult ในการตรวจสอบ
• จัดโครงสร้าง OU ให้ชัดเจน
• ใช้ Monitoring System

ทีมงาน comsiam มักแนะนำให้ใช้ GPResult และ Event Viewer ควบคู่กัน เพราะสามารถระบุสาเหตุของปัญหา Group Policy ได้เร็วกว่าการตรวจสอบจาก GPMC เพียงอย่างเดียว

⑮ สรุป

Group Policy ไม่ทำงานบน Windows Server 2025 มักเกี่ยวข้องกับ DNS, Active Directory, SYSVOL, Replication หรือการกำหนดสิทธิ์ของ GPO การตรวจสอบตามลำดับขั้นตอนจะช่วยลดเวลาในการแก้ปัญหาและเพิ่มความแม่นยำในการวิเคราะห์

สำหรับองค์กรที่ต้องการการบริหารจัดการแบบรวมศูนย์ comsiam แนะนำให้ตรวจสอบสุขภาพของ Active Directory และ SYSVOL อย่างต่อเนื่อง เพราะเป็นโครงสร้างพื้นฐานสำคัญของ Group Policy ทั้งหมด

คำถามชวนคิด

เมื่อ GPO ไม่ทำงาน คุณเริ่มจากการตรวจสอบ GPResult และ Event Viewer ก่อน หรือยังคงแก้ไข GPO ซ้ำ ๆ โดยไม่รู้ว่าปัญหาที่แท้จริงอยู่ที่ DNS หรือ SYSVOL?