Windows Server 2003组策略排障六法

如果你曾使用过Windows 2000，或初涉Windows Server 2003还是已经完成过一次系统配置，你至少会对组策略稍微有所了解，知道它可以被用来大大简化对系统构架的管理。不幸的是，同其他所有技术一样，在意外发生时我们仍然需要对组策略进行排障。这里给出了六个你可能会在Windows Server 2003组 策略中遇到的问题及其解决方法。天津网吧联盟Q3n'Dh8G2R4_"l [n

　　1、对特定用户和计算机应用策略时出现意外结果天津网吧联盟4t-mT A L

})P)f
Z2C,cv6E{0　　假设你已经创建了一个新的设置组策略对象。然而，设置还没有被应用到目标对象上。类似于这样的组策略问题比较难捕捉。然而，微软采用了新的组 策略管理控制台（Group Policy Management Console），你可以 免费下载。该工 具包括了一个向导程序，你可以迅速的查看同策略相关的组策略结果集（Resultant Set of Policy即RSoP）信息。图1显示了特定计算机上的特定用户的 RsoP信息。天津网吧联盟W'SB+]5St#?

天津网吧联盟IyH:x:f^5\9M*t

y_TVO p-B {y0图A：在名为RAS服务器上的管理员RSoP

${K ]hL0

rC$f/_1~7r8Z0　　正如你所见，默认的域策略被Windows管理体系结构（WMI，Windows Management Instrumentation）过滤器所拒绝，原因是WMI出错。这给出了确定组策略 问题出在何处的重要的第一步。在这种情况下，策略并没有被应用，因为WMI过滤器认为在用户登录Windows XP Professional时策略仅仅会被应用到该用 户上。而该特定用户现在正登录到一台Windows Server 2003计算机，由此造成了过滤失效。图2显示了WMI过滤器所引发的GPO应用程序在Windows Server 2003上的失效。天津网吧联盟/FkpZc4G0zi.Y

天津网吧联盟e!o"N*m!{

#w]"^v;oc&tl%{H!^0图2：WMI过滤器指示Windows XP Pro天津网吧联盟ho5Ef Kj E

5rZ0uRC0　　作为一种选择，你可以使用gpresult.exe Windows Server 2003 Resource Kit命令行工具来查看RsoP操作的详细情况。因为GPMC功能如此强大且易于使用， 我将不会在本文中讨论gpresult.exe。

!}Y_cg
P@0　2.即使没有通过WMI过滤器测试，策略还是被应用到Windows 2000计算机上

8e#Z w*U(`/{i/m0

\7Y?9KJ!F;D,}0天津网吧联盟l6G}bB#l/g5HG

　　这是一个容易解决的问题。WMI过滤器仅在Windows XP和Windows Server 2003客户端下得到支持。Windows 2000并不支持WMI过滤器，因此无论如何策略 都会被应用。

h4F
m!C-]0

gE+G/Rd&w0　　3.策略没有被应用到Windows NT或Windows 9x计算机上天津网吧联盟QI5TOA#^1Acz

天津网吧联盟0Q"\R,~6M'?6S

　　只有运行Windows 2000或更新的操作系统的计算机才可以使用组策略。早期的系统并不支持组策略。

FsMzwk-g0

0Y/x$?4m \(b
Q0　　4.无法管理GPO

h,a^*o@)Lda0天津网吧联盟7]N5u7x]4]5zK

　　类似于其他绝大多数的对象，组策略对象具有同其相关的安全许可权限。如果在处理GPO时遇到了麻烦，或许是因为你并没有合适的权限来管理它。要 检查谁具备管理GPO的权限可以采取如下步骤。启动组策略管理控制台并选择你所工作域下的GPO。然后选择Delegation（授权）选项卡来查看允许对 GPO进行操作的用户和组。

t7xJE*h0

;L0@duL$Ui0　　如图3所示，Authenticated User可以读取GPO。这条信息很有用，因为它不会被应用到其他地方。否则其他各种对象都会有权限对GPO进行编辑、删除， 以及执行其他的操作。

+lH;e\*R
@y6Q6E0

天津网吧联盟~\A-I e

7}b{-Ry@0图3：GPO安全信息天津网吧联盟~9iWX I(XS/@R K

1B/D"a
k;t6N2o%X4e0　　要解决这一问题，你需要作为具有修改GPO权限的用户登录。登录后，你就可以修改GPO以完成所需的操作，或是赋予原始用户对象改变GPO的权利。 在理论上，应当把没有修改GPO权限的管理员用户对象添加到一个拥有修改GPO权限的组中使用户对象拥有相关权限，而不是直接将权限指定给用户对象。天津网吧联盟B fpYU?5q(L

天津网吧联盟r#R.S
F_P:C

　　5.已经应用了GPO的更新，但客户并没有获得更新结果

2`X+}4K q~Q0

,cC@2guP~i7_0　　假设你已经确定计算机通过了RsoP测试，并且客户获得了策略设置情况。如果出现了这种问题，有以下几个可能：天津网吧联盟"RmU(raP$u

天津网吧联盟6Q%s9i;z0t^Au

　　首先，如果你有多个域控制器，你应当等待一段时间，这样可以确保策略有足够的时间被复制到网络上其他所有的域控制器上。如果时间太短，这就可 能引发问题。天津网吧联盟k{/}?.q[*hJK*I

&|,L%OR/aD0　　如果已经有一段时间了，但新的策略设置还没有生效，那么可以使用GPOTool来检查复制状态。GPOTool将从每个域控制器中读取所有的组策略信息并对 其进行比较。GPOTool可以作为Windows Server 2003 Resource Kit的一部分从微软站点下载。你可以通过在命令提示符下输入gpotool来使用这一工具。在输 入命令后，你可以看到类似的文字：天津网吧联盟;jS(v/iA

4i0h6mi?.bg)x0C:\Documents and Settings\Administrator>gpotool天津网吧联盟\5GAgb"\;i
Validating DCs...天津网吧联盟5n5X/D rWs1T
Available DCs:天津网吧联盟4I+u3zV/Kzk Q
ras.example.com天津网吧联盟.c!k#G%vx)Qw
Searching for policies...
}&R Z[T*y)m0Found 2 policies天津网吧联盟"Zh~J|4y
======================================天津网吧联盟.LqK(z [i+|BY
Policy {31B2F340-016D-11D2-945F-00C04FB984F9}天津网吧联盟#SD s/B.QwA C
Friendly name: Default Domain Policy天津网吧联盟X$ZZ:dd6Y:p5[
Policy OK
7C*e&D(Z2x0======================================天津网吧联盟tCLl^].JS/KU(p
Policy {6AC1786C-016F-11D2-945F-00C04FB984F9}
|&Y,dG:C v$V0Friendly name: Default Domain Controllers Policy天津网吧联盟R%HQ_x
Policy OK天津网吧联盟*?.~.ZQ:uW
======================================

kO]LNdX0Mt0天津网吧联盟N `;X8Rc:d_W[:W

Policies OK天津网吧联盟V;}Lp)RgU/zC G

　在本例中，有一个单独的域控制器，所有的策略测试都被通过。GPOTool有一些命令行选项：

X#l6P0kP4z i0天津网吧联盟:JN+iA7N-HX

V|f e"?.X X0　　/gpo:GPO[,GPO]…— 需要检查的GPO；可以指定GUID或GPO名；默认为当前域的所有GPO；

v-UekUL0天津网吧联盟
{3Tc5fY6[X

　　/domain:name—GPO所在域的域名；

ysFF4W6s |,Q~'I f0天津网吧联盟6X'ajjv]*K

　　/dc:{domain controller}[,{domain controller}—处理GPO的域控制器名称列表；天津网吧联盟&a;\%o"Kcy9\B

+lc6IV!a!|l9uD6u0　　/checkacl—在每台服务器上对sysvol验证ACL；天津网吧联盟,ce3o8Q;z \1y\

I\~Rge0　　/verbose—在处理过程中显示详细信息；天津网吧联盟]$q#ZG0xmUI6Wn

天津网吧联盟e8a0ch!RR1?

　　如果域控制器之间的复制出了问题，那么应当修正此问题并尝试重新进行域策略操作。你可以尝试通过强制复制来确定这能否解决GPO问题，但由于这 会是一个很长的过程，因此该方法不被推荐。天津网吧联盟H5xG9r'a

6F h5{H,meU G!aJ0　　关于复制和组策略的更多信息

Qr{2[S0

:H}BJE$\+D3D0　　组策略同时依赖于活动目录复制和文件系统复制。活动目录复制负责复制目录组策略容器，包括哪些策略应用到哪些用户和计算机的信息。文件系统复 制则用于复制SYSVOL共享，它为每个GPO包含了一个模板。只有活动目录复制可以被强制执行。

T'~2t)}XnC0天津网吧联盟&|%rpV Vd

　　客户组策略更新天津网吧联盟]7Q6AQ)g dG

u"uY(C7^:fzn,\0　　造成问题的第二个潜在原因在客户方面，即组策略更新周期。这个周期定义了使组策略改变生效的时间间隔。默认设置为客户计算机每90分钟（正负30 分钟）更新组策略信息。如果你需要让设置立即生效，你需要了解有以下一些事件可以触发组策略更新：

k\l|9h:HT2O0

o)x9i p7J"\0　　有用户登录到计算机；

W2Mab {/v*g0

%o.v5Ys%R0　　系统启动；天津网吧联盟 k(t }QT

1a,EW3U'{nF(|0　　客户端运行了gpupdata命令行。

&E+}KqKx0

5K;W9fq'CL"X0　　6.GPO显示为Empty天津网吧联盟+Hz M-f
y(G

^%Ts8EN'L0　　如果GPO显示为Empty则意味着在GPO中没有设置任何策略。在这种情况下，可以采取如下步骤。首先，你可以准备添加一些设置。其次，你可以删除域 同GPO之间的链接。方法是使用GPMC，然后右键单击GPO，去掉Link Enabled（允许连接）选项，如图4所示：

k9F#WF%}$E0

S/\1N p.h D2X
n J0天津网吧联盟 I?Q(G LD8Y-l&q#p
图4：去掉GPO和域连接

{+w!PC8c)Of#c0

0Z&C h#^`:xc0　　操作困难但值得

*`)}Im)p!rVNb(P0天津网吧联盟}5R+JG)q

　　作为一种复杂但十分有用的服务，组策略有时需要采取一些步骤来进行排障。幸运的是，可以利用一些现成的工具来快速查找多数的错误，尤其是使用 微软新的组策略管理控制台。天津网吧联盟9D~r']K&Y9L2P
Xd