對(duì)于網(wǎng)絡(luò)管理員來(lái)講，關(guān)于組策略的問(wèn)題可能聽(tīng)到最多的抱怨就是:“我設(shè)置了一個(gè)策略，為什么它不生效?”。對(duì)于一些比較大的網(wǎng)絡(luò)環(huán)境，組策略可以減輕網(wǎng)管人員的管理工作，但其出問(wèn)題的幾率還是比較大的。 這一方面是由于我們?cè)谌粘２僮鲿r(shí)不慎引起的，另一方面是由于策略相互影響而造成最終的結(jié)果與設(shè)想不一致。
組策略應(yīng)用要點(diǎn)

　　這里，筆者給出幾點(diǎn)微軟不推薦的做法：

　　1.不要?jiǎng)h除兩條默認(rèn)的策略(默認(rèn)域策略和默認(rèn)域控制器策略)，很多問(wèn)題的發(fā)生都是由刪除這兩條默認(rèn)策略而引起的。而且要使用組策略管理控制臺(tái)(GPMC)工具備份這兩條默認(rèn)策略，用于將來(lái)還原。如果直接通過(guò)GPMC刪除默認(rèn)策略時(shí)，我們會(huì)發(fā)現(xiàn)是行不通的，但是，稍有經(jīng)驗(yàn)的讀者知道如何刪除它們。既然是一個(gè)不推薦的做法，希望大家不要?jiǎng)h除它們。

　　2.組策略是不能夠鏈接在用戶組上的。有很多初次接觸活動(dòng)目錄的管理員，經(jīng)常設(shè)想將組策略生效于某一用戶組，這是行不通的。組策略不是為用戶組設(shè)定的策略，而是一組策略的集合，只能鏈接在站點(diǎn)、組織單元和域上面。

　　3.組策略的生效問(wèn)題

　　(1)生效順序

　　正常生效順序:本地策略→站點(diǎn)策略→域策略→父OU策略→子OU策略。

　　我們使用時(shí)，在出現(xiàn)登錄對(duì)話框前，會(huì)有“應(yīng)用安全策略”的提示，這也就是本地策略生效的過(guò)程。

　　發(fā)生沖突時(shí)，最新的策略設(shè)置會(huì)覆蓋其他設(shè)置。計(jì)算機(jī)設(shè)置高于用戶設(shè)置(即使用戶設(shè)置是后設(shè)置的)。父容器組策略設(shè)置與子容器設(shè)置發(fā)生沖突，子容器中組策略的設(shè)置將最終生效。同一容器的多個(gè)策略按照優(yōu)先權(quán)順序進(jìn)行生效。所以，當(dāng)在一個(gè)容器上面鏈了多個(gè)GPO時(shí)，不妨仔細(xì)看看它們的順序，很有可能問(wèn)題是順序不當(dāng)引起的。

　　(2)生效時(shí)間

　　默認(rèn)情況下，非域控制器的計(jì)算機(jī)每90分鐘刷新一次策略，其中含有隨機(jī)的30分鐘時(shí)間偏移量，時(shí)間偏移量保證了多個(gè)計(jì)算機(jī)不會(huì)同時(shí)連接到同一個(gè)域控制器上面。域控制器每5分鐘刷新一次，保證了緊急更新的組策略設(shè)置(安全性設(shè)置)能夠得到及時(shí)執(zhí)行，可以在 “域控制器組策略重新刷新時(shí)間間隔”里面更改(如圖1)。


圖1 “域控制器組策略重新刷新時(shí)間間隔”進(jìn)行更改
　　在Windows 2000里面可以使用secedit/refreshpolicy machine_policy或secedit /refreshpolicy user_policy命令強(qiáng)制刷新，在Windows XP或Windows 2003使用gpresult /force強(qiáng)制刷新。如果新做的設(shè)置沒(méi)有能夠生效，不妨考慮一下是否為刷新時(shí)間間隔問(wèn)題。

組策略常規(guī)排錯(cuò)法

　　如果您平時(shí)是按照以上建議做的，結(jié)果組策略的某些設(shè)置還是沒(méi)有按照預(yù)期生效，我們就需要做排錯(cuò)處理了。

　　1.首先，確?？蛻舳四玫搅讼嚓P(guān)的策略。比如，希望域內(nèi)所有的計(jì)算機(jī)不要顯示上次登錄的用戶名以確保安全，可是在所有的用戶端都沒(méi)有生效，說(shuō)明這條策略很有可能客戶端就沒(méi)有拿到。從Gpresult或者是組策略結(jié)果集，可以知道客戶端拿到了哪些策略。前者是命令行模式，后者是圖形界面，功能都是相同的。下面介紹組策略結(jié)果集的使用。

　　(1)打開(kāi)gpmc.msc，單擊組策略結(jié)果收集向?qū)Вx擇是本機(jī)還是遠(yuǎn)程計(jì)算機(jī)，選擇為哪一個(gè)　用戶顯示最終結(jié)果，我們就可以查看結(jié)果了(如圖2)。


圖2 查看結(jié)果
　　在“組策略對(duì)象→應(yīng)用的策略”中，我們能夠看到出問(wèn)題的客戶端應(yīng)用了哪些GPO，沒(méi)有應(yīng)用哪些GPO，如果某一條組策略沒(méi)有被應(yīng)用，那么設(shè)置必定沒(méi)有生效，因?yàn)橛?jì)算機(jī)根本就沒(méi)有拿到這個(gè)策略。

　　正如案例中所述的那個(gè)問(wèn)題(希望域內(nèi)所有的計(jì)算機(jī)不要顯示上次登錄的用戶名以確保安全，可惜在所有的用戶端都沒(méi)有生效)，后來(lái)在隨機(jī)的客戶端運(yùn)行 gpresult，結(jié)果發(fā)現(xiàn)，為計(jì)算機(jī)設(shè)置的不顯示上次登錄的用戶名策略(當(dāng)時(shí)命名為Do not Display last logon name)根本就沒(méi)有應(yīng)用到客戶端，自然策略不會(huì)生效。

　　2.如果網(wǎng)絡(luò)里面有多臺(tái)域控制器，要確保多臺(tái)域控制器的策略保持一致，檢查方法是運(yùn)行 gpotool(需要安裝Windows Resource Kit工具包)。

　　Validating DCs...Available DCs:mic-technet.dc.micSearching for policies...Found 4 policiesPolicy {31B2F340-016D-11D2-945F-00C04FB984F9}Friendly name: Default Domain PolicyPolicy OK==========================================================Policy {6AC1786C-016F-11D2-945F-00C04FB984F9}Friendly name: Default Domain Controllers PolicyPolicy OK==========================================================Policy {90BD780C-D2E8-44CB-97B8-80B343852457}Friendly name: Do not display logon namePolicy OK==========================================================Policy {CC2C8E4F-FA55-4824-AC75-0122494DCC31}Friendly name: userPolicy OK==========================================================Policies OK

　　這是一次運(yùn)行g(shù)potool的結(jié)果，當(dāng)然，筆者這里只是一個(gè)虛擬環(huán)境，只有一臺(tái)域控制器，讀者可以拿出問(wèn)題的日志與正常日志進(jìn)行比對(duì)，便會(huì)發(fā)現(xiàn)問(wèn)題所在。設(shè)想，如果有兩臺(tái)域控制器它們之間的復(fù)制又出了問(wèn)題，那么意味著每個(gè)域控制器的組策略不統(tǒng)一了，自然客戶端在應(yīng)用時(shí)會(huì)發(fā)生問(wèn)題。

　　3.檢查組策略對(duì)象是否在AD中和Sysvol中，而且GUID是否與正確的GPO相關(guān)聯(lián)。

　　(1)查看組策略的GUID。

　　(2)用Search.vbs檢查L(zhǎng)DAP協(xié)議正確性，GPO和GUID是否為真正意義的對(duì)應(yīng)。

　　Search.vbs是Windows 2003安裝光盤(pán)Support\Tools\ Support.cab下的一個(gè)腳本工具，可以將GPO名稱解析為GUID。

使用方法：

　　cscript search.vbs "LDAP://dc=mydomain,dc=com"

　　/C:"&(objectClass= groupPolicyContainer)(displayName=Default Domain

　　Policy)" /P:name /S:SubTree
將mydomain和com換成您自己的域名。

　　3.以上兩步結(jié)束后，如果仍然沒(méi)有查到問(wèn)題所在，可以激活userenv.log:

　　打開(kāi)注冊(cè)表編輯器，定位至HKEY_LOCAL_MACHINE\Software\ Microsoft\Windows NT\ CurrentVersion\Winlogon。

　　新建dword值:UserEnv DebugLevel，數(shù)據(jù)為10002 (Windows 2000/XP)，Windows 2003改為30002。重新啟動(dòng)后在%SystemRoot%\Debug\ UserMode\下可找到Userenv.log 文件。該文件對(duì)我們解決用戶配置文件和組策略處理方面的問(wèn)題很有幫助。

　　例如，有時(shí)會(huì)在該文件中發(fā)現(xiàn)：

　　USERENV(178.63c) 22:27:23:188 EvalList: Object cannot be accessed

　　這說(shuō)明登錄的用戶對(duì)要應(yīng)用給他的GPO是沒(méi)有權(quán)限的，這時(shí)就要注意組策略的權(quán)限問(wèn)題。

　　4.如果是和安全設(shè)定有關(guān)的策略沒(méi)有生效，可以開(kāi)啟Winlogon：

　　打開(kāi)注冊(cè)表編輯器，定位至HKEY_LOCAL_MACHINE\Software\ Microsoft\Windows NT\ CurrentVersion\Winlogon\ GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F79F83A}，新建一個(gè)DWORD值，名稱為 Extension DebugLevel，數(shù)值設(shè)為2，刷新策略，這樣在以下位置Windows\ Security\Logs生成winlogon.log，所有安全設(shè)定會(huì)被詳細(xì)記錄在里面。

　　舉例來(lái)說(shuō)，啟動(dòng)基于Windows 2000的計(jì)算機(jī)時(shí)，事件查看器大約每5分鐘記錄一次事件ID 1202和1000。

　　然后當(dāng)查看 Winlogon.log 文件時(shí)，會(huì)發(fā)現(xiàn)下面的錯(cuò)誤信息:

　　Error 1332: No mapping between account names and security IDs was done.Cannot find Power Users.

　　很明顯，這是有人給Power Users組做了安全權(quán)利指派，但是當(dāng)計(jì)算機(jī)被提升成為域控制器后，Power Users組就會(huì)被刪除掉，然而組策略里卻沒(méi)有將其權(quán)限相應(yīng)的刪除，計(jì)算機(jī)就會(huì)不停地找(準(zhǔn)確的說(shuō)是對(duì)應(yīng))Power Users組，因此就會(huì)報(bào)錯(cuò)。

　　當(dāng)我們?cè)诓榭碪serenv.log和Winlogon.log時(shí)，可以關(guān)注以下信息:fail，error，cannot等這些失敗、錯(cuò)誤信息。

　　經(jīng)驗(yàn)排錯(cuò)法

　　上面說(shuō)的是排錯(cuò)的一般方法，屬于事物的普遍性，如果我們能夠掌握一些特殊規(guī)律，在排錯(cuò)時(shí)有針對(duì)性地進(jìn)行檢查，效果往往會(huì)更好一些。

　　1.應(yīng)用程序管理策略不工作

　　首先激活日志，注意這里說(shuō)的日志是專門(mén)監(jiān)視應(yīng)用程序管理策略的，打開(kāi)注冊(cè)表，在以下位置HKEY_LOCAL_MACHINE\Software\ Policies\Microsoft\Windows\Installer新建一個(gè)字符串值，命名為L(zhǎng)ogging，值設(shè)為voicewarmup。這里，voicewarmup有不同的含義，其中，I表示狀態(tài)消息，w:非致命警告，e:所有錯(cuò)誤信息，a:啟動(dòng)操作;r:特定操作記錄;u:用戶請(qǐng)求; c:初始用戶界面參數(shù);m:內(nèi)存不足;p:終端屬性;v:詳細(xì)輸出;o:磁盤(pán)空間不足消息。

　　除了修改注冊(cè)表外，我們還可以在組策略中激活該日志。激活該日志后，重新執(zhí)行一遍安裝程序，這樣整個(gè)安裝程序的詳內(nèi)容就會(huì)被記錄下來(lái)，在命令行鍵入cd %temp%，查找mis開(kāi)頭擴(kuò)展名為log的文件就是了，文件名是隨機(jī)的。

　　關(guān)于應(yīng)用程序安裝問(wèn)題，筆者的經(jīng)驗(yàn)是，要么是GPO有問(wèn)題，要么就是MSI安裝包有問(wèn)題。當(dāng)然，還有一種特殊情況，操作系統(tǒng)問(wèn)題，比如，有一些軟件就沒(méi)有辦法安裝在特定的操作系統(tǒng)上，或者目標(biāo)計(jì)算機(jī)的“添加/刪除程序”不能正常使用。筆者的經(jīng)驗(yàn)是，使用一個(gè)標(biāo)準(zhǔn)的MSI包進(jìn)行問(wèn)題隔離，看看究竟是MSI 包的問(wèn)題還是GPO問(wèn)題，這樣，排錯(cuò)的目標(biāo)性就很明確了。

　　2.注冊(cè)表、軟件策略、登錄/注銷/啟動(dòng)/關(guān)閉腳本不生效

　　檢查Registry.pol 文件是否正確，該文件可以用記事本打開(kāi)。

　　3.文件夾重定向策略不生效

　　關(guān)于文件夾重定向，在實(shí)際工作中這一塊的問(wèn)題比較多，但是這些問(wèn)題都是由于管理員的粗心導(dǎo)致。

　　當(dāng)您在做重定向設(shè)置時(shí)，重定向到的文件夾是否是從網(wǎng)絡(luò)路徑獲取的?用戶是否可以通過(guò)網(wǎng)絡(luò)找到這個(gè)文件夾?排措時(shí)可以在地址欄里使用UNC路徑試試是否可以正常訪問(wèn)這個(gè)文件夾。

　　每一位用戶對(duì)這個(gè)文件夾是否有寫(xiě)的權(quán)限?默認(rèn)，每一個(gè)文件夾被共享出來(lái)后，每位用戶對(duì)它只有讀取權(quán)限。

4.假象錯(cuò)誤

　　有一類錯(cuò)誤根本就不是組策略錯(cuò)誤，但是很容易讓人誤以為是組策略錯(cuò)誤。

　　(1)在域控制器計(jì)算機(jī)上每隔 5 分鐘，在成員服務(wù)器計(jì)算機(jī)上每隔 20 分鐘，事件查看器中都會(huì)記錄下列錯(cuò)誤信息:
Userenv 1000

　　Windows cannot access the registry information at \\domainname.com\sysvol\domainname.com\Policies\{ file://\\domainname.com\sysvol\domainname.com\Policies\{31B2F340-016D D-11D2-945F-00C04FB984F9}\Machine\registry.pol with (1398).

　　SceCli 1001

　　Security policy cannot be propagated.Cannot access the template.Error code=3.

　　Userenv 1000

　　The Group Policy client-side extension Security was passed flags (17) and returned a failure status code of (3).

　　NtFrs 13508

　　Description:The File Replication Service is having trouble enabling replication from (computername) to (computername) for c:\winnt\sysvol\domain; retrying.

　　表面上看，錯(cuò)誤是由Userenv報(bào)的，很容易讓人感覺(jué)是組策略出了問(wèn)題，但經(jīng)過(guò)多方檢查，這個(gè)錯(cuò)誤的根源是時(shí)間不統(tǒng)一造成的。

　　解決這一問(wèn)題的方法就是將所有計(jì)算機(jī)與域控制器時(shí)鐘時(shí)間同步:

　　net time \\(domain controller name)/set/y

　　在所有出現(xiàn)此問(wèn)題的服務(wù)器上停止然后重新啟動(dòng)文件復(fù)制服務(wù)，打開(kāi)事件查看器，確定沒(méi)有再出現(xiàn)錯(cuò)誤。

　　(2)域控制器的組策略對(duì)象無(wú)法使用，當(dāng)使用時(shí)，將記錄或顯示多個(gè)問(wèn)題。

　　應(yīng)用程序日志中包含下列錯(cuò)誤消息:

　　UserEnv 1000 The Group Policy client-side extension Security was passed flags (17) and returned a failure status code of (3).

　　SceCli 1001 Security policy cannot be propagated.Cannot access the template.Error code = 3. \\domain name\sysvol\domain name\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\Machine\Microsoft\Windows NT\SecEdit\GptTmpl.inf.

　　UserEnv 1000 Windows cannot access the registry information at \\domain name\sysvol\ domain name\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\Machine\registry.pol with (51).

　　當(dāng)使用“域安全”策略和“默認(rèn)域控制器安全設(shè)置”策略嘗試訪問(wèn)“組策略”對(duì)象時(shí)，將顯示“Group Policy Error”這一錯(cuò)誤消息。此消息指出:“Failed to Open Group Policy Object. You may not have appropriate rights. Details:The network path not found.”

　　原因:導(dǎo)致這一問(wèn)題的原因是主域控制器上面有多個(gè)網(wǎng)絡(luò)適配器，而主網(wǎng)絡(luò)適配器卻沒(méi)有綁定“文件和打印共享”，自然，當(dāng)域控制器嘗試通過(guò)主網(wǎng)絡(luò)適配器訪問(wèn)其 Sysvol 共享以讀取組策略。因?yàn)橥ㄟ^(guò)該適配器無(wú)法訪問(wèn)此共享，所以操作不成功。

　　同樣，這個(gè)問(wèn)題從根源上說(shuō)其實(shí)也不是組策略出了問(wèn)題，而是網(wǎng)絡(luò)適配器的故障，但卻是由UserEnv表現(xiàn)出來(lái)的。

　　組策略排措備忘錄

　　1.一定要確認(rèn)客戶端是否拿到了您設(shè)定的策略，很多組策略故障其實(shí)并不是真正意義上的故障，是客戶端根本就沒(méi)有拿到相關(guān)的策略。這里，還要注意一點(diǎn)，那就是組策略有計(jì)算機(jī)策略和用戶策略，筆者曾經(jīng)見(jiàn)過(guò)不少人在一個(gè)OU內(nèi)(該OU下有10個(gè)用戶)鏈接了一個(gè)組策略，內(nèi)容是關(guān)閉所有計(jì)算機(jī)的自動(dòng)播放，結(jié)果策略沒(méi)有生效。切記，計(jì)算機(jī)策略對(duì)計(jì)算機(jī)生效，用戶策略對(duì)用戶生效。

　　2.檢查用戶對(duì)組策略是否有讀取權(quán)限，重點(diǎn)排查userenv中的cannot access語(yǔ)句。

　　3.若有多臺(tái)成員服務(wù)器，要確保組策略的一致性，也就是說(shuō)，這些服務(wù)器之間的復(fù)制正常，方法:gpotool。

　　4.安全策略關(guān)注winlogon.log，其他問(wèn)題仔細(xì)看看userenv.log。

　　5.確保故障不是軟件的Bug引起的，如何確定是否為軟件Bug，筆者的經(jīng)驗(yàn)是:做隔離，搭一個(gè)試驗(yàn)環(huán)境，模擬生產(chǎn)環(huán)境，排除其他的干擾，看看問(wèn)題是否會(huì)重現(xiàn)。

　　6.透過(guò)現(xiàn)象看本質(zhì)，有些問(wèn)題以組策略的問(wèn)題形式表現(xiàn)出來(lái)，但往往不一定是組策略的問(wèn)題。