`
lovnet
  • 浏览: 6879258 次
  • 性别: Icon_minigender_1
  • 来自: 武汉
文章分类
社区版块
存档分类
最新评论

组策略应用问题疑难解答

阅读更多

本文介绍了对 Windows 2000 客户机上的组策略处理执行问题排查的过程。这些问题可能包括策略设置不正确或不完整,或缺少到计算机或用户的策略应用。
1. 利用以下 Microsoft 知识库文章中概括介绍的指导,在 Windows 2000 客户机上启用详细模式调试日志记录:
221833 (http://support.microsoft.com/kb/221833/EN-US/) How to Enable User Environment Debug Logging in Retail Builds of Windows 2000
日志文件 (Userenv.log) 在 Winnt\Debug\UserMode 文件夹中生成,通常指出无法枚举应用到用户的“组策略对象”(GPO) 列表的根本原因。在 Userenv.log 文件中还记录了关于每个用于应用策略的组策略扩展(执行特定类型策略应用--如“安全性”、“文件夹重定向”等--的 DLL)的状态的最低限度的信息,但如想查看每个扩展的详细信息,还需要用其他设置来启用特定于这些组件的日志记录(在本文后面部分介绍)。
2. 验证连接和 DNS 解析。如果是到域控制器的连接导致了问题,调试日志通常会检测到此问题,并记录在 Active Directory 中和网络共享上 Windows 2000 尝试访问数据的具体位置。

Windows 2000 支持工具,即 Dcdiag.exe 和 Netdiag.exe,用于测试网络连接和 DNS 解析。Dcdiag.exe 用于测试域控制器,而 Netdiag.exe 用来测试工作站和服务器。要运行 Dcdiag.exe,请在域控制器上的命令提示符下键入 dcdiag /v。要运行 Netdiag.exe,请在工作站或成员服务器上的命令提示符下键入 netdiag /v

有关 Dcdiag.exe 和 Netdiag.exe 的更多信息,请参见 Windows 2000 支持工具的帮助内容,或单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
265706 (http://support.microsoft.com/kb/265706/EN-US/) DCDiag and NetDiag in Windows 2000 Facilitate Join and DC Creation
3. 验证应当应用于客户机的组策略。不管是下级策略(在 Microsoft Windows NT 4.0 中为 Ntconfig.pol)还是组策略,Windows 2000 都基于计算机位置和用户帐户来确定应用哪一类型的策略。您可以在以下 Microsoft Web 站点看到有关此处理行为组合的更多信息:
http://www.microsoft.com/windows2000/techinfo/reskit/samplechapters/dsec/dsec_pol_wlpe.asp (http://www.microsoft.com/windows2000/techinfo/reskit/samplechapters/dsec/dsec_pol_wlpe.asp)
4. 使用 Microsoft Windows 2000 资源工具包中的 Gpresult.exe。要特别注意 GPO 应用的顺序。如果在多个 GPO 中指定了相同的设置,则在过程中应用较晚的(日志文件中位置较靠下的)那些设置将是权威的而且会取代列表中位置较靠上的 GPO 中的设置。
5. 使用 Gpotool.exe 跨同级域控制器检查同一 GPO 的 Active Directory 版和 SYSVOL 版之间是否存在不一致。此信息有助于您确定复制延迟是否导致了 Windows 2000 客户机收不到正确的策略。如果您认为是这样,请使用 Replmon.exe 和 Repadmin.exe(这两个都在 Windows 2000 支持工具套件中)确定客户机将其作为组策略源的域控制器的复制伙伴并确定复制是否成功。
6. 在 Userenv.log 文件中验证计算机/用户的 DN(辨别名称)是否已确定。如果 Windows 2000 没有确定 DN,它将不能够正确地解析 Active Directory 来确定向用户或计算机应用哪些 GPO。
7. 查看 Userenv.log 文件。每一个被评估的 GPO 的项都记录在此文件中。确定是否有 GPO 因为用户对其没有合适权限而被跳过(用户应具有“读取”和“应用”组策略的权限)。
8. 确定环回处理是否在起作用。这将导致应用到计算机的 GPO 用户组件被应用于用户。为了确定这一点,在 Userenv.log 文件中找到与以下示例类似的行:
USERENV(e8.128) 15:46:17:234 ProcessGPOs: Calling GetGPOInfo for normal policy mode
						
备注:在此示例中,正常的策略处理规则都适用。
9. 如果客户机正在运行终端服务,某些类型的策略(特别是应用程序部署)会禁用应用程序分配。
10. 如果应用程序部署无法工作,请执行以下操作:

a. 利用以下 Microsoft 知识库文章中的指导启用 Windows Installer 日志记录:
223300 (http://support.microsoft.com/kb/223300/EN-US/) How to Enable Windows Installer Logging in Windows 2000
b. 利用以下 Microsoft 知识库文章中的指导启用“应用程序管理策略”处理:
246509 (http://support.microsoft.com/kb/246509/EN-US/) Troubleshooting Program Deployment By Using Verbose Logging
这些日志可能会显示那些找不到为您希望安装的程序指定的安装路径的那些客户机。
11. 在组策略后台刷新期间不是所有类型的策略都会被应用。为强制重新应用所有类型的策略,您必须重新启动计算机或让用户注销后重新登录,具体取决于要应用的是机器策略还是用户策略。

如果需要给 Microsoft 产品支持服务部门打电话

如果您需要给 Microsoft 产品支持服务部门打电话,向支持人员提供以下信息非常重要:
Winnt\Debug\UserMode 文件夹下的 Userenv.log 文件。
重定向到一个文本文件的“gpresult.exe /s”输出(运行在 Windows 2000 客户机上)。
重定向到一个文件的“gpotool.exe /verbose”输出(运行在 Windows 2000 域控制器上)。
“netdiag.exe /v /l”输出,它导致生成一个名为 Netdiag.log 的文件(运行在 Windows 2000 客户机上)。
如果您知道没有应用的策略的类型或具体的 GPO,则以下附加信息也会对您有帮助(取决于策略类型):

如果安全策略不工作

利用以下 Microsoft 知识库文章中提供的步骤确定不工作的 GPO 的 GUID:
216359 (http://support.microsoft.com/kb/216359/EN-US/) How to Identify Group Policy Objects in the Active Directory and SYSVOL
要记住,对于多数安全设置,最高优先级的设置居支配地位而且不是累积性的。在 Machine\Microsoft\Windows NT\SecEdit 下对应的 SYSVOL 文件夹中找到 Gpttmpl.inf 文件。此文件中包含由组策略应用到给定 GPO 的安全设置。

如果注册表/软件策略不工作

1. 利用以下 Microsoft 知识库文章中概述的步骤确定不工作的 GPO 的 GUID:
216359 (http://support.microsoft.com/kb/216359/EN-US/) How to Identify Group Policy Objects in the Active Directory and SYSVOL
2. 在 SYSVOL 中对应的 GPO 文件夹中的 Machine 或 User 文件夹中找到 Registry.pol 文件。

如果应用程序管理策略不工作

1. 利用以下 Microsoft 知识库文章中的指导启用 Windows Installer 日志记录:
223300 (http://support.microsoft.com/kb/223300/EN-US/) How to Enable Windows Installer Logging in Windows 2000
2. 利用以下 Microsoft 知识库文章中的指导启用“应用程序管理策略”处理:
246509 (http://support.microsoft.com/kb/246509/EN-US/) Troubleshooting Program Deployment By Using Verbose Logging
备注:首先检查“应用程序管理策略”引擎日志文件以确定您希望安装的程序是否已确定并交给 Windows Installer。Installer 日志文件包含对程序安装期间发生的安装步骤的记录。

如果登录/注销/启动/关闭脚本策略不工作

使用 Gpresult 的输出内容确定哪些 GPO 配置了要运行的脚本,并利用以下 Microsoft 知识库文章中提供的步骤确定每一个 GPO 的 GUID:
216359 (http://support.microsoft.com/kb/216359/EN-US/) How to Identify Group Policy Objects in the Active Directory and SYSVOL
找到 SYSVOL 中每一个 GPO 的脚本文件夹并验证配置为要运行的脚本是否已复制到用作策略来源的域控制器。

如果文件夹重定向策略不工作

使用 Gpresult 的输出内容,确定哪些 GPO(如果有)具有文件夹重定向策略。如果有一个策略应该能够影响用户但文件夹未能重定向,则很可能是某个 GPO 因用户对其没有适当的权限而未能得到应用。

在策略刷新之后,如果该 GPO 被禁用或被删除但文件夹重定向仍然有效,请执行下列步骤(如果该 GPO 仍可用):
1. 打开 GPO。
2. 右键单击重定向的文件夹,然后单击属性
3. 设置选项卡上,确定 Return the redirected folder to its previous setting(让重定向的文件夹返回其原先的设置)选项是否已选中。
分享到:
评论

相关推荐

    组策略疑难解答

    ### 组策略疑难解答 #### 一、组策略概述 组策略是Microsoft Active Directory的核心功能之一,它允许管理员能够集中地管理和控制整个网络环境中的计算机和用户的配置设置。通过组策略,管理员可以在域环境中实现...

    Oracle疑难解答集

    在使用Oracle过程中,经常会遇到各种复杂的问题,本资料集合了作者在使用Oracle时收集的一系列疑难解答,旨在帮助读者解决实际操作中的困扰。 1. **为什么加上索引速度奇慢无比?** 在Oracle中,索引是为了加快...

    组策略高手完全手册进阶篇之五:组策略最佳实践和技巧

    四、组策略疑难解答 1. 锁定GPO:防止非管理员修改关键策略,可以对GPO进行锁定。 2. 策略冲突:通过策略冲突报告识别并解决设置之间的冲突。 3. 异步应用:组策略可能不会立即生效,了解并掌握更新间隔和强制刷新...

    CSS学习疑难解答

    解决兼容性问题通常有以下策略: 1. 使用成熟的前缀:许多新的CSS特性在初期会有浏览器特定的前缀,如`-webkit-`、`-moz-`、`-ms-`和`-o-`,确保在这些浏览器中生效。 2. 使用polyfill库:有些库如Modernizr可以...

    autocad绘图常见疑难解答

    ### autocad绘图常见疑难解答 #### 一、工具栏和窗口拖动限制 疑问:在绘图的时候,为什么不能随意拖动工具栏和窗口? 答疑:在AutoCAD中,工具栏和窗口的锁定机制是为了防止用户在绘图过程中不小心移动它们,...

    XmlSerializer 常见问题疑难解答(MSDN)

    【XmlSerializer 常见问题疑难解答】 XmlSerializer 是 .NET 框架中的核心组件,主要用于XML数据和.NET对象之间的转换。它提供了一种高效、便捷的方式,通过API调用来实现XML文档与对象实例之间的序列化和反序列化...

    aspx.net200问 开发疑难解答

    《Aspx.net200问 开发疑难解答》是一份针对Aspx.net开发中的常见问题进行解答的资源,旨在帮助开发者解决在实际工作中遇到的各种挑战。这份资源包含了前后台问题的详细解答,并提供了源代码供学习和参考。下面将对...

    ASP.NET专家疑难解答200问

    "ASP.NET专家疑难解答200问"很可能是一本汇集了开发者在实践中遇到的常见问题及其解决方案的书籍。这本书可能会涵盖从基础概念到高级特性的各种主题,旨在帮助读者解决实际开发中的困扰。 首先,让我们来看看ASP...

    数据结构考研疑难解答

    以下是对数据结构考研中可能出现的一些疑难问题的详细解答。 首先,我们要了解数据结构的两个基本概念——逻辑结构和物理结构。逻辑结构关注的是数据元素之间的关系,它是从用户的角度来看待数据的方式。例如,线性...

    常见疑难解答

    本文将针对Java学习中的一些常见问题进行解答,并结合提供的压缩包文件内容,详细讲解"接口"、"CGI"和"merge_into"的概念及用法。 首先,我们来看“接口”(Interface)这一概念。在Java中,接口是一种完全抽象的...

    asp.net专家疑难解答200问源码

    56.如何使用Panel控件操作一组控件 57.如何使用Table控件组织页面的内容 58.如何实现DropDownList控件选项的添加、删除等操作 59.如何实现间接改变DropDownList控件的当前选项 60.如何实现两个或多个...

    ASP.NET专家疑难解答

    ASP.NET是微软公司开发的一种用于构建Web应用程序的框架,它基于.NET Framework,为开发者提供了丰富的功能和工具,简化了Web...通过阅读"ASP.NET专家疑难解答",开发者可以深入理解这些概念,并解决实际项目中的难题。

    asp.net专家疑难解答200问

    《ASP.NET专家疑难解答200问》是一本深度探讨ASP...通过深入学习《ASP.NET专家疑难解答200问》,开发者不仅可以解决实际问题,还能全面提升在ASP.NET领域的专业技能,为构建高效、安全、易维护的Web应用打下坚实基础。

    软件设计师考试疑难问题解答

    《软件设计师考试疑难问题解答》是一本专门为准备软件设计师资格考试的考生编写的参考资料,以.pdg格式提供,旨在帮助考生解决在学习过程中遇到的困惑和难题。此书集成了软件设计领域的核心知识点,涵盖了考试的重点...

    JAVA解惑疑难解答

    以上只是Java编程中的一部分重要知识点,实际的"JAVA解惑疑难解答"PDF可能会涵盖更多内容,例如错误调试技巧、Javadoc规范、单元测试策略等。不断学习和实践,是成为一名优秀的Java开发者的不二法门。

    西路疑难解答 v1.0

    西路疑难解答v1.0是一款基于计算机技术的互动平台,设计类似于传统的留言本程序,旨在为用户提供一个在线问题提交和解答的空间。这个程序的核心功能是让访问者能够留下他们遇到的技术问题或者疑惑,并期待得到专家...

Global site tag (gtag.js) - Google Analytics