WindowsServer2008ActiveDirectory的配置和管理组策略故障排除手册MicrosoftActiveDirectory已成为许多IT基础结构的重要组件ActiveDirectory的最重要功能之一便是组策略该策略容许管理员集中管理域控制器成员服务器和桌面虽然组策略具有许多显著的优点但还是有一个小缺陷那就是在小型组织中的设计和施行会很复杂假若出现问题则故障排除工作会愈加棘手本文将详尽介绍组策略的构造方法之后向您说明怎样排除故障文章结束时您处理几乎任何组策略问题就会得心应手麻烦的设置组策略中有许多联通部件尤其是与整体ActiveDirectory设计和施行的联接方法要排除多种因访问权限和网路问题导致的故障则您在找寻解决方案钢瓶 现场处置方案 .pdf钢瓶 现场处置方案 .doc见习基地管理方案.doc关于群访风波的化解方案建筑工地扬尘整治专项方案下载时ActiveDirectory和组策略施行的基础仍然不可或缺在故障排除过程开始之前让我们先来看一下可能配置错误的组策略设置之后再阐述可能导致组策略出现故障的更为复杂的问题由ActiveDirectory管理员使用模板文件ADM或ADMX文件和组策略对象编辑器或GPEdit通过运行gpeditmsc启动来查看组策略设置管理员使用GPEdit创建
组策略对象文件即GPO将GPO配置为应用或不应用于ActiveDirectory结构内的计算机和用户有许多规则GPO必须遵循方可正常发挥功能让我们马上查看这种规则必须链接GPO新建的GPO可能与ActiveDirectory中的任何节点都不相连虽然此时也可以编辑和更改GPO但只有将其链接到某节点然后就会影响对象为确保GPO正确链接可以查看组策略管理控制台GPMC中的信息窗口如图1所示图1GPO链接清晰显示GPO必须以正确的对象为目标如您所知组策略必须以ActiveDirectory中的正确对象为目标不过有时在故障排除练习期间会忽视这一点在GPO中有两大主要类别计算机和用户配置GPO时一定要注意是为计算机对象还是为用户对象进行配置之后您可以验证在链接了该GPO的组织单位OU中是否放置了正确的对象类型GPO并不应用于组虽然您希望这么但GPO未能应用于ActiveDirectory安全组对象GPO设置仅能配置两个对象即计算机和用户GPO不能通过组成员身分配置对象比如假如GPO链接到XMOU如图2所示则只有User1和User2两个对象遭到设置的影响GPO中的设置将不会影响市场组的成员
无论谁具有该组的成员身分图2XMOU及其中的对象目标对象必须坐落GPO路径之中假如您注意到GPO设置未按其应有的方法影响对象则请查看一个更重要的设置即对象必须坐落GPO的管理范围SOM之中这意味着对象必须坐落链接GPO的节点之下虽然有足够多的子节点亦需这么诸如链接到XMOU的GPO不会影响XMlgOU中的任何对象如图3所示GPO的SOM来自与其相链接的节点顺着ActiveDirectory结构向上图3倘若所有OU坐落同一级别则GPO仅应用于其所链接的OU须要启用GPO创建GPO时其配置是对目标对象不做任何更改不过计算机和用户部份均会启用该GPO假如以上任一部分禁用则跟踪上去就有些麻烦因而您在针对未应用GPO进行故障排除时检测是否有部份或全部GPO受到禁用实为献策方式是在GPMC中打开组策略对象之后查看GPO状态如图4所示图4GPO状态有些设置须要重新启动GPO设置未正常发挥作用时可能是因为GPO的内在处理所致触发GPO的定期后台刷新只能处理个别GPO设置但并非全部因而即便您可能早已创建了一个设置但可能仍未令其生效有些设置被归类为前台策略因而只有在重新启动计算机或用户先注销之后
再重新登陆后这种设置才能得到应用以这些方法应用的设置示例包括软件安装文件夹重定向和脚本应用程序变更默认承继可以使用四种不同的方式来改变GPO处理的默认承继这种选项功能强悍应慎重使用由于它们会导致组策略处理行为的重大改变若果出现问题则故障排除工作也会特别困难改变默认承继的选项包括以下四种设置和配置l制止策略承继lGPO执行l访问控制列表ACL的GPO过滤lWindowsManagementInstrumentationWMI过滤器既然应当慎重使用这种设置为此记录混凝土 养护记录下载土石方填筑监理旁站记录免费下载集备记录下载集备记录下载集备记录下载它们的使用时间应当不难想知道这种选项是否在用请查看GPMC阻塞承继在GPMC中的域或组织单位OU节点处执行在各自的GPO上设置GPO执行ACL过滤和WMI过滤或则可以从目标计算机中运行Gpresult命令以据悉上述的个别设置是否在制止策略应用要获得被应用策略结果集的更详尽视图可在Gpresult命令后添加v开关这样即可获得详尽的输出ADM模板问题当您企图在管理模板部份下配置GPO中的设置时您所使用的是ADM模板除随附于操作系统的ADM模板外您可以自定义在GPO中使用的自有模板ADM模板中的代码会在管理模板节点下的组策略编辑器中
创建文件夹和策略不过若果ADM模板受损遗失或配置错误则可能在编辑器中难以见到部份或全部设置下边有一些其他问题在使用ADM模板时要注意防止便捷工具有大量工具可用来帮助您跟踪组策略问题有些外置在操作系统中另外一些则可以下载安装接下来在这儿将讨论一些合适的工具我们可以针对自己的任务来选择正确的工具Dcgpofix假如以下两个默认GPO中的一个出现了问题则可以使用该工具默认域策略和默认域控制器策略假如其中一个或全部两个GPO受损程度严重到仅靠配置方法早已未能修补或则存在一些其他未知问题则可以使用dcgpofix工具将其还原为默认状态事件查看器事件查看器富含丰富的有关组策略的信息很可惜只有查遍所有不同的日志文件能够找到组策略条目您会在其中找到与策略应用程序策略复制策略刷新等相关的条目在尝试跟踪问题时所有那些条目均会派上用场Gpresult此工具只能在目标计算机上本地运行并且它会提供有关策略的结果集RSoP阻塞的GPOGPO上的权限等更多信息使用v开关命令会显示大量有关正在影响计算机的GPO信息以及与当前登入会话相关联的用户账户信息Gpupdate假如您要施行新的GPO设置或企图确保所有GPO
处理均已发生请使用Gpupdate工具这是一款随附于操作系统WindowsXP及更高版本的命令行工具运行此工具时将会触发后台刷新将会应用所有符合此刷新类型的GPO设置假如添加force开关则将会重新应用所有GPO设置虽然自先前刷新以来仍未对GPO作出任何修改在运行Gpresult命令之前先运行此命令对于跟踪GPO问题十分有效RSOP与命令行工具Gpresult十分相像RSOP为查看由所有GPO应用的设置提供了一个图形界面RSOPMSC是一款WindowsXPProfessional和WindowsServer2003的外置工具该工具采用与组策略对象编辑器相类似的格式为您提供所有已应用策略的结果如图5所示图5策略工具的结果集总结组策略问题的故障排除并非是像您曾经执行过的这些简单任务实际上正如本文所述组策略是相当的复杂当您着手进行故障排除时您须要了解其核心体系结构以及典型的组策略整体处理过程还须要了解GPO的更新复制处理和应用方法假若您对所有这种概念均有了一个通透的了解则排除任何具体的组策略问题故障就会容易一些依照本文中的原则并使用合适的工具您可以随时处理所遇见的各类组策略问题
