|
有一句格言是一分钟的思考等价于一个小时盲目的工作所以在开始使用解决组策略问题的工具和技术之前您应该先考虑一下几个简单的问题 组策略应该应用到哪些用户和计算机? 这是一个非常重要的问题比方说一个用户抱怨他不能通过点击开始菜单的快捷方式来安装某一个程序而它的另一位同事可以像他的这种抱怨一定会让您挠头并想知道为什么软件安装策略没有应用到这位用户对于这种问题我们首先得搞清楚应不应该应用这个策略到这个用户或许可以安装软件的那个用户与这个用户不是在一个部门里而只有那个部门的用户被允许使用这个软件所以实际上对于这种情况组策略设置没有问题问题是出在用户上用户之间喜欢攀比喜欢更多的特权大多数公司都会有这种问题关键是搞清楚组策略应该应用给谁 用户与计算机没用应用上正确的组策略 这个问题适用于用户与计算机没有得到他们应该得到的策略个销售部的用户反映他们无法访问控制面板您应该检查连接到销售部的组策略对象并查看是否禁止访问控制面板被启用了(这个策略可以从User Configuration\Administrative Templates\Control Panel访问)如果这个策略已经禁用或者未配置那就检查一下上层的策略或者是域策略的设置 留意组策略发生问题的时间 留意发生问题的时间可能会帮助您立即找出问题所在是在您做出对组策略改动后马上出现问题的么?比如连接一个新的GPO到一个OU或者是否对AD做了一些管理性的改动?比如将计算机账号从默认的计算机容器中移动到一个OU里在这种情况下计算机不但会应用域的组策略也会应用其所在OU的组策略 什么时候您配置的策略会实际生效? 当配置了策略您会检查所配置的策略是否已经按照您的要求应用到了计算机或用户账户这样很好但不要忘记组策略只会在后台周期性的更新所以可能只要等待一会儿所有的设置都OK了也可能您所做的设置在刷新的时候并不会应用到用户需要他们再此登录或者重新启动计算机比如软件安装策略文件夹重定向策略开机或登录脚本等这种情况下为了保证组策略能够应用可能会等到用户一天工作结束或者发个邮件让他们注销或重启最极端的就是远程强制重启但如果用户没有保存他们的工作则会出现问题也可能在重新启动后有的策略没有被应用因为目标计算机与域控制器不是在一个本地网络中因为WAN连接带宽的组策略慢速连接监测会阻止某些策略 以上我们所看的问题是提取了在进行组策略工作常常遇到的问题它们可能不会十分准确地帮助我们解决问题但至少会缩小我们考虑问题的范围现在我会介绍一些工具来帮助我们解决遇到的问题但本文不会对如何使用这些工具作详细介绍只会给出一些提示来指出正确的方向 检查受影响机器的网络连接 可能因为网线没接好受组策略影响的用户账户和计算机都无法连接到网络一个看起来很复杂的问题可能也就因为这么一个简单的小错误造成理解组策略的工作原理能够帮助我们更加简单的找出问题的原因推荐看一下微软出版的Group Policy Guide() 检查受影响的计算机是否能够进行正确的域名解析 大概有一半的组策略问题都与域名解析有关系比如在DNS服务器上有错误的资源记录在DHCP选项中没有配置DNS服务器等记住计算机在处理组策略的时候必须先得到一份它应该应用的GPO列表所以它们需要联系域控制器为了定位域控制器它们需要有正确的DNS配置来从DNS服务器上查找SRV记录所以DNS不对组策略也不会好使在这里介绍几个检查DNS的工具IPCONFIGNSLOOKUPNETDIAG 如果您安装了组策略管理控制台(GPMC)运行组策略结果向导 选择查询一个用户或计算机它将查询并生成一份HTML的报表显示出连接了哪些GPO及被应用的组策略设置您可以保存并查看它们这是解决组策略问题的一个很好的方法另一个方法是在受组策略影响的计算机上运行命令行程序GPRESULTSEXE来查看应用的组策略虽然也能得到组策略结果但这种方法不如刚才的方便除了生成组策略结果集报表GPMC还可以帮助您解决组策略问题您可以右击一个GPO来生成一个包含其所有设置的报表这样可以方便的帮我们找出哪个GPO的设置实际影响到了容器内的账户另一个好处是它可以帮您查看GPO都连接到了哪儿哪些GPO被禁用了哪些容器阻止继承哪些GPO强制继承等信息 |
