1、 如果你曾使用过 Windows 2000,或初涉 Windows Server 2003 还是已经完成过一次系统配置,你至少会对组策略稍微有所了解,知道它可以被用来大大简化对系统构架的管理。不幸的是,同其他所有技术一样,在意外发生时我们仍然需要对组策略进行排障。这里给出了六个你可能会在 Windows Server 2003 组 策略中遇到的问题及其解决方法。1、对特定用户和计算机应用策略时出现意外结果假设你已经创建了一个新的设置组策略对象。然而,设置还没有被应用到目标对象上。类似于这样的组策略问题比较难捕捉。然而,微软采用了新的组 策略管理控制台(Group Policy Manageme
2、nt Console),你可以 免费下载。该工 具包括了一个向导程序,你可以迅速的查看同策略相关的组策略结果集(Resultant Set of Policy 即 RSoP)信息。图 1显示了特定计算机上的特定用户的 RsoP 信息。天极软件专题专区精选Windows Vista 专区 POPO 专区 QQ 专区 QQ 挂机 注册表专区 Windows 优化Flash MX 视频教程 Photoshop 视频教程 网页设计视频教程 照片处理数字暗房PPT 动画演示教程 Excel 动画教程集 Word 动画演示教程 Google 专区特洛伊木马专区 黑客知识教程专区 防火墙应用专区 了解 We
3、b2.0Windows API 开发专区 网络编程专区 VB 数据库编程专区 图像处理与多媒体编程图 A:在名为 RAS 服务器上的管理员 RSoP正如你所见,默认的域策略被 Windows 管理体系结构(WMI,Windows Management Instrumentation)过滤器所拒绝,原因是 WMI 出错。这给出了确定组策略 问题出在何处的重要的第一步。在这种情况下,策略并没有被应用,因为 WMI 过滤器认为在用户登录 Windows XP Professional 时策略仅仅会被应用到该用 户上。而该特定用户现在正登录到一台 Windows Server 2003 计算机,由此造
4、成了过滤失效。图 2 显示了WMI 过滤器所引发的 GPO 应用程序在 Windows Server 2003 上的失效。图 2:WMI 过滤器指示 Windows XP Pro作为一种选择,你可以使用 gpresult.exe Windows Server 2003 Resource Kit 命令行工具来查看 RsoP 操作的详细情况。因为 GPMC 功能如此强大且易于使用, 我将不会在本文中讨论 gpresult.exe。2.即使没有通过 WMI 过滤器测试,策略还是被应用到 Windows 2000 计算机上这是一个容易解决的问题。WMI 过滤器仅在 Windows XP 和 Windo
5、ws Server 2003客户端下得到支持。Windows 2000 并不支持 WMI 过滤器,因此无论如何策略 都会被应用。3.策略没有被应用到 Windows NT 或 Windows 9x 计算机上只有运行 Windows 2000 或更新的操作系统的计算机才可以使用组策略。早期的系统并不支持组策略。4.无法管理 GPO类似于其他绝大多数的对象,组策略对象具有同其相关的安全许可权限。如果在处理GPO 时遇到了麻烦,或许是因为你并没有合适的权限来管理它。要 检查谁具备管理 GPO的权限可以采取如下步骤。启动组策略管理控制台并选择你所工作域下的 GPO。然后选择Delegation(授权)
6、选项卡来查看允许对 GPO 进行操作的用户和组。如图 3 所示,Authenticated User 可以读取 GPO。这条信息很有用,因为它不会被应用到其他地方。否则其他各种对象都会有权限对 GPO 进行编辑、删除, 以及执行其他的操作。图 3:GPO 安全信息要解决这一问题,你需要作为具有修改 GPO 权限的用户登录。登录后,你就可以修改 GPO 以完成所需的操作,或是赋予原始用户对象改变 GPO 的权利。 在理论上,应当把没有修改 GPO 权限的管理员用户对象添加到一个拥有修改 GPO 权限的组中使用户对象拥有相关权限,而不是直接将权限指定给用户对象。5.已经应用了 GPO 的更新,但客
7、户并没有获得更新结果假设你已经确定计算机通过了 RsoP 测试,并且客户获得了策略设置情况。如果出现了这种问题,有以下几个可能:首先,如果你有多个域控制器,你应当等待一段时间,这样可以确保策略有足够的时间被复制到网络上其他所有的域控制器上。如果时间太短,这就可 能引发问题。如果已经有一段时间了,但新的策略设置还没有生效,那么可以使用 GPOTool 来检查复制状态。GPOTool 将从每个域控制器中读取所有的组策略信息并对 其进行比较。GPOTool 可以作为 Windows Server 2003 Resource Kit 的一部分从微软站点下载。你可以通过在命令提示符下输入 gpotool
8、 来使用这一工具。在输 入命令后,你可以看到类似的文字:C:Documents and SettingsAdministratorgpotoolValidating DCs.Available DCs:Searching for policies.Found 2 policies=Policy 31B2F340-016D-11D2-945F-00C04FB984F9Friendly name: Default Domain PolicyPolicy OK=Policy 6AC1786C-016F-11D2-945F-00C04FB984F9Friendly name: Default Doma
9、in Controllers PolicyPolicy OK=Policies OK在本例中,有一个单独的域控制器,所有的策略测试都被通过。GPOTool 有一些命令行选项:/gpo:GPO,GPO 需要检查的 GPO;可以指定 GUID 或 GPO 名;默认为当前域的所有 GPO;/domain:nameGPO 所在域的域名;/dc:domain controller,domain controller处理 GPO 的域控制器名称列表;/checkacl在每台服务器上对 sysvol 验证 ACL;/verbose在处理过程中显示详细信息;如果域控制器之间的复制出了问题,那么应当修正此问题并
10、尝试重新进行域策略操作。你可以尝试通过强制复制来确定这能否解决 GPO 问题,但由于这 会是一个很长的过程,因此该方法不被推荐。关于复制和组策略的更多信息组策略同时依赖于活动目录复制和文件系统复制。活动目录复制负责复制目录组策略容器,包括哪些策略应用到哪些用户和计算机的信息。文件系统复 制则用于复制SYSVOL 共享,它为每个 GPO 包含了一个模板。只有活动目录复制可以被强制执行。客户组策略更新造成问题的第二个潜在原因在客户方面,即组策略更新周期。这个周期定义了使组策略改变生效的时间间隔。默认设置为客户计算机每 90 分钟(正负 30 分钟)更新组策略信息。如果你需要让设置立即生效,你需要了
11、解有以下一些事件可以触发组策略更新:有用户登录到计算机;系统启动;客户端运行了 gpupdata 命令行。6.GPO 显示为 Empty如果 GPO 显示为 Empty 则意味着在 GPO 中没有设置任何策略。在这种情况下,可以采取如下步骤。首先,你可以准备添加一些设置。其次,你可以删除域 同 GPO 之间的链接。方法是使用 GPMC,然后右键单击 GPO,去掉 Link Enabled(允许连接)选项,如图 4 所示:图 4:去掉 GPO 和域连接操作困难但值得作为一种复杂但十分有用的服务,组策略有时需要采取一些步骤来进行排障。幸运的是,可以利用一些现成的工具来快速查找多数的错误,尤其是使用 微软新的组策略管理控制台。
