本文介绍了对 Windows 2000 客户机上的组策略处理执行问题排查的过程。这些问题可能包括策略设置不正确或不完整,或缺少到计算机或用户的策略应用。
1. | 利用以下 Microsoft 知识库文章中概括介绍的指导,在 Windows 2000 客户机上启用详细模式调试日志记录:
221833
(http://support.microsoft.com/kb/221833/EN-US/) How to Enable User Environment Debug Logging in Retail Builds of Windows 2000
日志文件 (Userenv.log) 在 Winnt/Debug/UserMode 文件夹中生成,通常指出无法枚举应用到用户的“组策略对象”(GPO) 列表的根本原因。在 Userenv.log 文件中还记录了关于每个用于应用策略的组策略扩展(执行特定类型策略应用--如“安全性”、“文件夹重定向”等--的 DLL)的状态的最低限度的信息,但如想查看每个扩展的详细信息,还需要用其他设置来启用特定于这些组件的日志记录(在本文后面部分介绍)。 | ||||
2. | 验证连接和 DNS 解析。如果是到域控制器的连接导致了问题,调试日志通常会检测到此问题,并记录在 Active Directory 中和网络共享上 Windows 2000 尝试访问数据的具体位置。 Windows 2000 支持工具,即 Dcdiag.exe 和 Netdiag.exe,用于测试网络连接和 DNS 解析。Dcdiag.exe 用于测试域控制器,而 Netdiag.exe 用来测试工作站和服务器。要运行 Dcdiag.exe,请在域控制器上的命令提示符下键入 dcdiag /v。要运行 Netdiag.exe,请在工作站或成员服务器上的命令提示符下键入 netdiag /v。 有关 Dcdiag.exe 和 Netdiag.exe 的更多信息,请参见 Windows 2000 支持工具的帮助内容,或单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
265706
(http://support.microsoft.com/kb/265706/EN-US/) DCDiag and NetDiag in Windows 2000 Facilitate Join and DC Creation
| ||||
3. | 验证应当应用于客户机的组策略。不管是下级策略(在 Microsoft Windows NT 4.0 中为 Ntconfig.pol)还是组策略,Windows 2000 都基于计算机位置和用户帐户来确定应用哪一类型的策略。您可以在以下 Microsoft Web 站点看到有关此处理行为组合的更多信息:
http://www.microsoft.com/windows2000/techinfo/reskit/samplechapters/dsec/dsec_pol_wlpe.asp
(http://www.microsoft.com/windows2000/techinfo/reskit/samplechapters/dsec/dsec_pol_wlpe.asp)
| ||||
4. | 使用 Microsoft Windows 2000 资源工具包中的 Gpresult.exe。要特别注意 GPO 应用的顺序。如果在多个 GPO 中指定了相同的设置,则在过程中应用较晚的(日志文件中位置较靠下的)那些设置将是权威的而且会取代列表中位置较靠上的 GPO 中的设置。 | ||||
5. | 使用 Gpotool.exe 跨同级域控制器检查同一 GPO 的 Active Directory 版和 SYSVOL 版之间是否存在不一致。此信息有助于您确定复制延迟是否导致了 Windows 2000 客户机收不到正确的策略。如果您认为是这样,请使用 Replmon.exe 和 Repadmin.exe(这两个都在 Windows 2000 支持工具套件中)确定客户机将其作为组策略源的域控制器的复制伙伴并确定复制是否成功。 | ||||
6. | 在 Userenv.log 文件中验证计算机/用户的 DN(辨别名称)是否已确定。如果 Windows 2000 没有确定 DN,它将不能够正确地解析 Active Directory 来确定向用户或计算机应用哪些 GPO。 | ||||
7. | 查看 Userenv.log 文件。每一个被评估的 GPO 的项都记录在此文件中。确定是否有 GPO 因为用户对其没有合适权限而被跳过(用户应具有“读取”和“应用”组策略的权限)。 | ||||
8. | 确定环回处理是否在起作用。这将导致应用到计算机的 GPO 用户组件被应用于用户。为了确定这一点,在 Userenv.log 文件中找到与以下示例类似的行: USERENV(e8.128) 15:46:17:234 ProcessGPOs: Calling GetGPOInfo for normal policy mode备注:在此示例中,正常的策略处理规则都适用。 | ||||
9. | 如果客户机正在运行终端服务,某些类型的策略(特别是应用程序部署)会禁用应用程序分配。 | ||||
10. | 如果应用程序部署无法工作,请执行以下操作:
| ||||
11. | 在组策略后台刷新期间不是所有类型的策略都会被应用。为强制重新应用所有类型的策略,您必须重新启动计算机或让用户注销后重新登录,具体取决于要应用的是机器策略还是用户策略。 |
如果需要给 Microsoft 产品支持服务部门打电话
如果您需要给 Microsoft 产品支持服务部门打电话,向支持人员提供以下信息非常重要:• | Winnt/Debug/UserMode 文件夹下的 Userenv.log 文件。 |
• | 重定向到一个文本文件的“gpresult.exe /s”输出(运行在 Windows 2000 客户机上)。 |
• | 重定向到一个文件的“gpotool.exe /verbose”输出(运行在 Windows 2000 域控制器上)。 |
• | “netdiag.exe /v /l”输出,它导致生成一个名为 Netdiag.log 的文件(运行在 Windows 2000 客户机上)。 |
如果安全策略不工作
利用以下 Microsoft 知识库文章中提供的步骤确定不工作的 GPO 的 GUID:
216359
(http://support.microsoft.com/kb/216359/EN-US/) How to Identify Group Policy Objects in the Active Directory and SYSVOL
要记住,对于多数安全设置,最高优先级的设置居支配地位而且不是累积性的。在 Machine/Microsoft/Windows NT/SecEdit 下对应的 SYSVOL 文件夹中找到 Gpttmpl.inf 文件。此文件中包含由组策略应用到给定 GPO 的安全设置。
如果注册表/软件策略不工作
1. | 利用以下 Microsoft 知识库文章中概述的步骤确定不工作的 GPO 的 GUID:
216359
(http://support.microsoft.com/kb/216359/EN-US/) How to Identify Group Policy Objects in the Active Directory and SYSVOL
|
2. | 在 SYSVOL 中对应的 GPO 文件夹中的 Machine 或 User 文件夹中找到 Registry.pol 文件。 |
如果应用程序管理策略不工作
1. | 利用以下 Microsoft 知识库文章中的指导启用 Windows Installer 日志记录:
223300
(http://support.microsoft.com/kb/223300/EN-US/) How to Enable Windows Installer Logging in Windows 2000
|
2. | 利用以下 Microsoft 知识库文章中的指导启用“应用程序管理策略”处理:
246509
(http://support.microsoft.com/kb/246509/EN-US/) Troubleshooting Program Deployment By Using Verbose Logging
备注:首先检查“应用程序管理策略”引擎日志文件以确定您希望安装的程序是否已确定并交给 Windows Installer。Installer 日志文件包含对程序安装期间发生的安装步骤的记录。 |
如果登录/注销/启动/关闭脚本策略不工作
使用 Gpresult 的输出内容确定哪些 GPO 配置了要运行的脚本,并利用以下 Microsoft 知识库文章中提供的步骤确定每一个 GPO 的 GUID:
216359
(http://support.microsoft.com/kb/216359/EN-US/) How to Identify Group Policy Objects in the Active Directory and SYSVOL
找到 SYSVOL 中每一个 GPO 的脚本文件夹并验证配置为要运行的脚本是否已复制到用作策略来源的域控制器。
如果文件夹重定向策略不工作
使用 Gpresult 的输出内容,确定哪些 GPO(如果有)具有文件夹重定向策略。如果有一个策略应该能够影响用户但文件夹未能重定向,则很可能是某个 GPO 因用户对其没有适当的权限而未能得到应用。在策略刷新之后,如果该 GPO 被禁用或被删除但文件夹重定向仍然有效,请执行下列步骤(如果该 GPO 仍可用):
1. | 打开 GPO。 |
2. | 右键单击重定向的文件夹,然后单击属性。 |
3. | 在设置选项卡上,确定 Return the redirected folder to its previous setting(让重定向的文件夹返回其原先的设置)选项是否已选中。 |