如果你曾使用过
Windows2000,或初涉
WindowsServer2003还是已经完成过一次
系统配置,你至少会对组策略稍微有所了解,知道它可以被用来大大简化对系统构架的
管理。不幸的是,同其他所有
技术一样,在意外发生时我们仍然需要对组策略进行排障。这里给出了六个你可能会在WindowsServer2003组策略中遇到的问题及其解决方法。 1.对特定用户和
计算机应用策略时出现意外结果 假设你已经创建了一个新的设置组策略
对象。然而,设置还没有被应用到目标对象上。
类似于这样的组策略问题比较难捕捉。然而,
微软采用了新的组策略管理控制台(GroupPolicyManagementConsole),你可以免费
下载。该工具包括了一个向导
程序,你可以迅速的查看同策略相关的组策略结果集(ResultantSetofPolicy即RSoP)
信息。图A显示了特定计算机上的特定用户的RsoP信息。
2 [" L4 C+ b6 j8 c: u
/ i' I- G$ j0 B6 g$ T, w1 e$ l
9 R. M# s( }& `
6 A5 k/ I3 t( w9 ~, k: l 图A:在名为RAS
服务器上的管理员RSoP
6 f: v; h9 |" U7 l3 r 正如你所见,默认的域策略被Windows管理体系
结构(WMI,WindowsManagementInstrumentation)过滤器所拒绝,原因是WMI出错。这给出了确定组策略问题出在何处的重要的第一步。在这种情况下,策略并没有被应用,因为WMI过滤器认为在用户登录Windows
XPProfessional时策略仅仅会被应用到该用户上。而该特定用户现在正登录到一台WindowsServer2003计算机,由此造成了过滤失效。图B显示了WMI过滤器所引发的GPO应用程序在WindowsServer2003上的失效。
# Q! b& w7 o2 {: v4 L+ h V2 d" y a2 w+ W
( S% x' S' l. m) v0 x) B W+ G 图B:WMI过滤器指示WindowsXPPro 作为一种选择,你可以使用gpresult.exeWindowsServer2003ResourceKit命令行工具来查看RsoP操作的详细情况。因为GPMC
功能如此强大且易于使用,我将不会在本文中讨论gpresult.exe。2.即使没有通过WMI过滤器
测试,策略还是被应用到Windows2000计算机上
8 U" S' c; ]: g$ i2 i8 S* l
这是一个容易解决的问题。WMI过滤器仅在WindowsXP和WindowsServer2003客户端下得到支持。Windows2000并不支持WMI过滤器,因此无论如何策略都会被应用。
6 ]6 o) b! Y# @* S5 _ 3.策略没有被应用到WindowsNT或Windows9x计算机上
1 c9 m- u' y# M/ o/ S q* a# c% [
只有运行Windows2000或更新的
操作系统的计算机才可以使用组策略。早期的系统并不支持组策略。
9 \* x+ k/ Z/ _4 T5 y 4.无法管理GPO
- T8 H# |2 F' F8 D) ]; `& d 类似于其他绝大多数的对象,组策略对象具有同其相关的
安全许可权限。如果在处理GPO时遇到了麻烦,或许是因为你并没有合适的权限来管理它。要检查谁具备管理GPO的权限可以采取如下步骤。启动组策略管理控制台并选择你所工作域下的GPO。然后选择Delegation(授权)选项卡来查看允许对GPO进行操作的用户和组。
" ?' d5 Z1 k4 e7 A4 R6 F
如图C所示,AuthenticatedUser可以读取GPO。这条信息很有用,因为它不会被应用到其他地方。否则其他各种对象都会有权限对GPO进行
编辑、删除,以及执行其他的操作。
8 h1 C8 d8 G7 _. e. u
8 F4 L+ M, y# T9 |# j- ]9 Y
" g8 ]8 _7 c' Y% r1 h3 c; q% G6 G7 x! }" v& _+ [
5 A& s) [% y8 W0 n7 W
图C:GPO安全信息 要解决这一问题,你需要作为具有修改GPO权限的用户登录。登录后,你就可以修改GPO以完成所需的操作,或是赋予原始用户对象改变GPO的权利。在
理论上,应当把没有修改GPO权限的管理员用户对象添加到一个拥有修改GPO权限的组中使用户对象拥有相关权限,而不是直接将权限指定给用户对象。
* T Z9 R: j5 z
5.已经应用了GPO的更新,但客户并没有获得更新结果
1 C" p/ d" ?8 Z
假设你已经确定计算机通过了RsoP测试,并且客户获得了策略设置情况。如果出现了这种问题,有以下几个可能: 首先,如果你有多个域控制器,你应当等待一段
时间,这样可以确保策略有足够的时间被复制到
网络上其他所有的域控制器上。如果时间太短,这就可能引发问题。
5 A9 p; I/ N! Y; o1 m4 v! G 如果已经有一段时间了,但新的策略设置还没有生效,那么可以使用GPOTool来检查复制状态。GPOTool将从每个域控制器中读取所有的组策略信息并对其进行比较。GPOTool可以作为WindowsServer2003ResourceKit的一部分从微软站点下载。你可以通过在命令提示符下输入gpotool来使用这一工具。在输入命令后,你可以看到类似的文字:
5 e9 ~, r) Y* t' {. U
C:\DocumentsandSettings\Administrator%26gt;gpotoolValidatingDCs...AvailableDCs:ras.example.com
Searchingforpolicies...Found2policies======================================Policy{31B2F340-016D-11D2-945F-00C04FB984F9}Friendlyname
efaultDomainPolicyPolicyOK======================================Policy{6AC1786C-016F-11D2-945F-00C04FB984F9}Friendlyname
efaultDomainControllersPolicyPolicyOK======================================PoliciesOK 在本例中,有一个单独的域控制器,所有的策略测试都被通过。GPOTool有一些命令行选项:
" l, X+ p9 Z: K( t& _! D /gpo:GPO[,GPO]…—需要检查的GPO;可以指定GUID或GPO名;默认为当前域的所有GPO;
4 c7 A/ W0 A* f /domain:name—GPO所在域的
域名;
; N( A! S; t4 h, E1 N9 L
/dc:{domaincontroller}[,{domaincontroller}—处理GPO的域控制器名称列表;
. {3 }& [6 L0 x1 K5 r7 M" r
/checkacl—在每台服务器上对sysvol验证ACL;
_9 [: ~4 W: _
/verbose—在处理过程中显示详细信息;
4 E/ a9 r# l6 Z
如果域控制器之间的复制出了问题,那么应当修正此问题并尝试重新进行域策略操作。你可以尝试通过强制复制来确定这能否解决GPO问题,但由于这会是一个很长的过程,因此该方法不被
推荐。
" }4 k3 l9 a- M8 W2 G! Z7 |
4 T5 z' ?" P3 z8 q
关于复制和组策略的更多信息
5 R9 S5 R+ b2 m: r' x 组策略同时依赖于活动目录复制和文件系统复制。活动目录复制负责复制目录组策略容器,包括哪些策略应用到哪些用户和计算机的信息。文件系统复制则用于复制SYSVOL
共享,它为每个GPO包含了一个模板。只有活动目录复制可以被强制执行。
) Z$ [; G5 i: t: q$ H; N 客户组策略更新
6 F r# X8 Y' b" j9 i4 v5 X 造成问题的第二个潜在原因在客户方面,即组策略更新
周期。这个周期定义了使组策略改变生效的时间间隔。默认设置为客户计算机每90分钟(正负30分钟)更新组策略信息。如果你需要让设置立即生效,你需要了解有以下一些事件可以触发组策略更新:
0 P2 ?6 K4 B0 M+ C/ H' R9 j2 W5 V 有用户登录到计算机;
) y0 I8 ]2 t- l+ |/ X% h: I3 k 系统启动;
+ G/ ]2 f& G6 C9 \5 U* [( _ 客户端运行了gpupdata命令行。
! x- \: |, C/ S1 | 6.GPO显示为Empty
0 @, }0 }8 u( k9 [/ c+ w" d7 D. i
如果GPO显示为Empty则意味着在GPO中没有设置任何策略。在这种情况下,可以采取如下步骤。首先,你可以准备添加一些设置。其次,你可以删除域同GPO之间的链接。方法是使用GPMC,然后右键单击GPO,去掉LinkEnabled(允许连接)选项,如图D所示:
9 A6 @& ~2 j* t* Z5 X, ~- n+ B
7 G6 x' Y, ~+ ]
5 O: ~ E2 _3 c9 |1 i$ C, E# J! u/ K6 f' w1 a" a: m
. b1 i; |: j7 l( X$ Z/ G9 h; k- ~0 { 图D:去掉GPO和域连接 操作困难但值得
' M& c* T4 O$ t 作为一种复杂但十分有用的服务,组策略有时需要采取一些步骤来进行排障。幸运的是,可以利用一些现成的工具来快速查找多数的错误,尤其是使用微软新的组策略管理控制台。
