1、对特定用户和计算机应用策略时出现意外结果
假设你已经创建了一个新的设置组策略对象。然而,设置还没有被应用到目标对象上。类似于这样的组策略问题比较难捕捉。然而,微软采用了新的组 策略管理控制台(Group Policy Management Console),你可以 免费下载。该工 具包括了一个向导程序,你可以迅速的查看同策略相关的组策略结果集(Resultant Set of Policy即RSoP)信息。图1显示了特定计算机上的特定用户的 RsoP信息。
图A:在名为RAS服务器上的管理员RSoP
正如你所见,默认的域策略被Windows管理体系结构(WMI,Windows Management Instrumentation)过滤器所拒绝,原因是WMI出错。这给出了确定组策略 问题出在何处的重要的第一步。在这种情况下,策略并没有被应用,因为WMI过滤器认为在用户登录Windows XP Professional时策略仅仅会被应用到该用 户上。而该特定用户现在正登录到一台Windows Server 2003计算机,由此造成了过滤失效。图2显示了WMI过滤器所引发的GPO应用程序在Windows Server 2003上的失效。
图2:WMI过滤器指示Windows XP Pro
作为一种选择,你可以使用gpresult.exe Windows Server 2003 Resource Kit命令行工具来查看RsoP操作的详细情况。因为GPMC功能如此强大且易于使用, 我将不会在本文中讨论gpresult.exe。
2.即使没有通过WMI过滤器测试,策略还是被应用到Windows 2000计算机上
这是一个容易解决的问题。WMI过滤器仅在Windows XP和Windows Server 2003客户端下得到支持。Windows 2000并不支持WMI过滤器,因此无论如何策略 都会被应用。
3.策略没有被应用到Windows NT或Windows 9x计算机上
只有运行Windows 2000或更新的操作系统的计算机才可以使用组策略。早期的系统并不支持组策略。
4.无法管理GPO
类似于其他绝大多数的对象,组策略对象具有同其相关的安全许可权限。如果在处理GPO时遇到了麻烦,或许是因为你并没有合适的权限来管理它。要 检查谁具备管理GPO的权限可以采取如下步骤。启动组策略管理控制台并选择你所工作域下的GPO。然后选择Delegation(授权)选项卡来查看允许对 GPO进行操作的用户和组。
如图3所示,Authenticated User可以读取GPO。这条信息很有用,因为它不会被应用到其他地方。否则其他各种对象都会有权限对GPO进行编辑、删除, 以及执行其他的操作。
图3:GPO安全信息
要解决这一问题,你需要作为具有修改GPO权限的用户登录。登录后,你就可以修改GPO以完成所需的操作,或是赋予原始用户对象改变GPO的权利。 在理论上,应当把没有修改GPO权限的管理员用户对象添加到一个拥有修改GPO权限的组中使用户对象拥有相关权限,而不是直接将权限指定给用户对象。
5.已经应用了GPO的更新,但客户并没有获得更新结果
假设你已经确定计算机通过了RsoP测试,并且客户获得了策略设置情况。如果出现了这种问题,有以下几个可能:
首先,如果你有多个域控制器,你应当等待一段时间,这样可以确保策略有足够的时间被复制到网络上其他所有的域控制器上。如果时间太短,这就可 能引发问题。
如果已经有一段时间了,但新的策略设置还没有生效,那么可以使用GPOTool来检查复制状态。GPOTool将从每个域控制器中读取所有的组策略信息并对 其进行比较。GPOTool可以作为Windows Server 2003 Resource Kit的一部分从微软站点下载。你可以通过在命令提示符下输入gpotool来使用这一工具。在输 入命令后,你可以看到类似的文字:
C:\Documents and Settings\Administrator>gpotool
Validating DCs...
Available DCs:
ras.example.com
Searching for policies...
Found 2 policies
======================================
Policy {31B2F340-016D-11D2-945F-00C04FB984F9}
Friendly name: Default Domain Policy
Policy OK
======================================
Policy {6AC1786C-016F-11D2-945F-00C04FB984F9}
Friendly name: Default Domain Controllers Policy
Policy OK
======================================
Policies OK
在本例中,有一个单独的域控制器,所有的策略测试都被通过。GPOTool有一些命令行选项:
/gpo:GPO[,GPO]…— 需要检查的GPO;可以指定GUID或GPO名;默认为当前域的所有GPO;
/domain:name—GPO所在域的域名;
/dc:{domain controller}[,{domain controller}—处理GPO的域控制器名称列表;
/checkacl—在每台服务器上对sysvol验证ACL;
/verbose—在处理过程中显示详细信息;
如果域控制器之间的复制出了问题,那么应当修正此问题并尝试重新进行域策略操作。你可以尝试通过强制复制来确定这能否解决GPO问题,但由于这 会是一个很长的过程,因此该方法不被推荐。
关于复制和组策略的更多信息
组策略同时依赖于活动目录复制和文件系统复制。活动目录复制负责复制目录组策略容器,包括哪些策略应用到哪些用户和计算机的信息。文件系统复 制则用于复制SYSVOL共享,它为每个GPO包含了一个模板。只有活动目录复制可以被强制执行。
客户组策略更新
造成问题的第二个潜在原因在客户方面,即组策略更新周期。这个周期定义了使组策略改变生效的时间间隔。默认设置为客户计算机每90分钟(正负30 分钟)更新组策略信息。如果你需要让设置立即生效,你需要了解有以下一些事件可以触发组策略更新:
有用户登录到计算机;
系统启动;
客户端运行了gpupdata命令行。
6.GPO显示为Empty
如果GPO显示为Empty则意味着在GPO中没有设置任何策略。在这种情况下,可以采取如下步骤。首先,你可以准备添加一些设置。其次,你可以删除域 同GPO之间的链接。方法是使用GPMC,然后右键单击GPO,去掉Link Enabled(允许连接)选项,如图4所示:
图4:去掉GPO和域连接
操作困难但值得
作为一种复杂但十分有用的服务,组策略有时需要采取一些步骤来进行排障。幸运的是,可以利用一些现成的工具来快速查找多数的错误,尤其是使用 微软新的组策略管理控制台。