亚洲成精品动漫久久精久,九九在线精品视频播放,黄色成人免费观看,三级成人影院,久碰久,四虎成人欧美精品在永久在线

掃一掃
關注微信公眾號

網管經驗共享:組策略相關故障排錯經驗談(1)
2007-10-08   網絡

對于網絡管理員來講,關于組策略的問題可能聽到最多的抱怨就是:“我設置了一個策略,為什么它不生效?”。對于一些比較大的網絡環境,組策略可以減輕網管人員的管理工作,但其出問題的幾率還是比較大的。這一方面是由于我們在日常操作時不慎引起的,另一方面是由于策略相互影響而造成最終的結果與設想不一致。

組策略應用要點

這里,筆者給出幾點微軟不推薦的做法:

1.不要刪除兩條默認的策略(默認域策略和默認域控制器策略),很多問題的發生都是由刪除這兩條默認策略而引起的。而且要使用組策略管理控制臺(GPMC)工具備份這兩條默認策略,用于將來還原。如果直接通過GPMC刪除默認策略時,我們會發現是行不通的,但是,稍有經驗的讀者知道如何刪除它們。既然是一個不推薦的做法,希望大家不要刪除它們。

2.組策略是不能夠鏈接在用戶組上的。有很多初次接觸活動目錄的管理員,經常設想將組策略生效于某一用戶組,這是行不通的。組策略不是為用戶組設定的策略,而是一組策略的集合,只能鏈接在站點、組織單元和域上面。

3.組策略的生效問題

(1)生效順序

正常生效順序:本地策略→站點策略→域策略→父OU策略→子OU策略。

我們使用時,在出現登錄對話框前,會有“應用安全策略”的提示,這也就是本地策略生效的過程。

發生沖突時,最新的策略設置會覆蓋其他設置。計算機設置高于用戶設置(即使用戶設置是后設置的)。父容器組策略設置與子容器設置發生沖突,子容器中組策略的設置將最終生效。同一容器的多個策略按照優先權順序進行生效。所以,當在一個容器上面鏈了多個GPO時,不妨仔細看看它們的順序,很有可能問題是順序不當引起的。

(2)生效時間

默認情況下,非域控制器的計算機每90分鐘刷新一次策略,其中含有隨機的30分鐘時間偏移量,時間偏移量保證了多個計算機不會同時連接到同一個域控制器上面。域控制器每5分鐘刷新一次,保證了緊急更新的組策略設置(安全性設置)能夠得到及時執行,可以在 “域控制器組策略重新刷新時間間隔”里面更改(如圖1)。

""498)this.style.width=498;">

圖1 “域控制器組策略重新刷新時間間隔”進行更改

在Windows 2000里面可以使用secedit/refreshpolicy machine_policy或secedit /refreshpolicy user_policy命令強制刷新,在Windows XP或Windows 2003使用gpresult /force強制刷新。如果新做的設置沒有能夠生效,不妨考慮一下是否為刷新時間間隔問題。

組策略常規排錯法

如果您平時是按照以上建議做的,結果組策略的某些設置還是沒有按照預期生效,我們就需要做排錯處理了。

1.首先,確保客戶端拿到了相關的策略。比如,希望域內所有的計算機不要顯示上次登錄的用戶名以確保安全,可是在所有的用戶端都沒有生效,說明這條策略很有可能客戶端就沒有拿到。從Gpresult或者是組策略結果集,可以知道客戶端拿到了哪些策略。前者是命令行模式,后者是圖形界面,功能都是相同的。下面介紹組策略結果集的使用。

(1)打開gpmc.msc,單擊組策略結果收集向導,選擇是本機還是遠程計算機,選擇為哪一個 用戶顯示最終結果,我們就可以查看結果了(如圖2)。

""498)this.style.width=498;">

圖2 查看結果

在“組策略對象→應用的策略”中,我們能夠看到出問題的客戶端應用了哪些GPO,沒有應用哪些GPO,如果某一條組策略沒有被應用,那么設置必定沒有生效,因為計算機根本就沒有拿到這個策略。

正如案例中所述的那個問題(希望域內所有的計算機不要顯示上次登錄的用戶名以確保安全,可惜在所有的用戶端都沒有生效),后來在隨機的客戶端運行 gpresult,結果發現,為計算機設置的不顯示上次登錄的用戶名策略(當時命名為Do not Display last logon name)根本就沒有應用到客戶端,自然策略不會生效。

2.如果網絡里面有多臺域控制器,要確保多臺域控制器的策略保持一致,檢查方法是運行 gpotool(需要安裝Windows Resource Kit工具包)。

Validating DCs...
Available DCs:
mic-technet.dc.mic
Searching for policies...
Found 4 policies
Policy {31B2F340-016D-11D2-945F-00C04FB984F9}
Friendly name: Default Domain Policy
Policy OK
==========================================================
Policy {6AC1786C-016F-11D2-945F-00C04FB984F9}
Friendly name: Default Domain Controllers Policy
Policy OK
==========================================================
Policy {90BD780C-D2E8-44CB-97B8-80B343852457}
Friendly name: Do not display logon name
Policy OK
==========================================================
Policy {CC2C8E4F-FA55-4824-AC75-0122494DCC31}
Friendly name: user
Policy OK
==========================================================
Policies OK

這是一次運行gpotool的結果,當然,筆者這里只是一個虛擬環境,只有一臺域控制器,讀者可以拿出問題的日志與正常日志進行比對,便會發現問題所在。設想,如果有兩臺域控制器它們之間的復制又出了問題,那么意味著每個域控制器的組策略不統一了,自然客戶端在應用時會發生問題。

3.檢查組策略對象是否在AD中和Sysvol中,而且GUID是否與正確的GPO相關聯。

(1)查看組策略的GUID。

(2)用Search.vbs檢查LDAP協議正確性,GPO和GUID是否為真正意義的對應。

Search.vbs是Windows 2003安裝光盤SupportTools Support.cab下的一個腳本工具,可以將GPO名稱解析為GUID。

使用方法:

cscript search.vbs "LDAP://dc=mydomain,dc=com"

/C:"&(objectClass= groupPolicyContainer)(displayName=Default Domain

Policy)" /P:name /S:SubTree

將mydomain和com換成您自己的域名。

3.以上兩步結束后,如果仍然沒有查到問題所在,可以激活userenv.log:

打開注冊表編輯器,定位至HKEY_LOCAL_MACHINESoftware MicrosoftWindows NT CurrentVersionWinlogon。

新建dword值:UserEnv DebugLevel,數據為10002 (Windows 2000/XP),Windows 2003改為30002。重新啟動后在%SystemRoot%Debug UserMode下可找到Userenv.log 文件。該文件對我們解決用戶配置文件和組策略處理方面的問題很有幫助。

例如,有時會在該文件中發現:

USERENV(178.63c) 22:27:23:188 EvalList: Object cannot be accessed

這說明登錄的用戶對要應用給他的GPO是沒有權限的,這時就要注意組策略的權限問題。

4.如果是和安全設定有關的策略沒有生效,可以開啟Winlogon:

打開注冊表編輯器,定位至HKEY_LOCAL_MACHINESoftware MicrosoftWindows NT CurrentVersionWinlogon GPExtensions{827D319E-6EAC-11D2-A4EA-00C04F79F83A},新建一個DWORD值,名稱為 Extension DebugLevel,數值設為2,刷新策略,這樣在以下位置Windows SecurityLogs生成winlogon.log,所有安全設定會被詳細記錄在里面。

舉例來說,啟動基于Windows 2000的計算機時,事件查看器大約每5分鐘記錄一次事件ID 1202和1000。

然后當查看 Winlogon.log 文件時,會發現下面的錯誤信息:

Error 1332: No mapping between account names and security IDs was done.Cannot find Power Users.

很明顯,這是有人給Power Users組做了安全權利指派,但是當計算機被提升成為域控制器后,Power Users組就會被刪除掉,然而組策略里卻沒有將其權限相應的刪除,計算機就會不停地找(準確的說是對應)Power Users組,因此就會報錯。

當我們在查看Userenv.log和Winlogon.log時,可以關注以下信息:fail,error,cannot等這些失敗、錯誤信息。

熱詞搜索:

上一篇:企業網管員之對抗BT下載7種武器(2)
下一篇:網管經驗共享:組策略相關故障排錯經驗談(2)

分享到: 收藏