组策略实施过程中,经常会遇到策略故障。当出现故障时,不但要从域控制器验证策略,还要从客户端计算机验证策略。以下是总结的排除组策略故障的经验。


对默认策略的处理

    1.默认策略

    域控制器部署成功后,默认部署“默认域策略”(Default Domain Policy)和“默认域控制器策略”(Default Domain Controllers Policy)两条策略,前者作用域是网络中的所有计算机和用户,后者针对所有的域控制器。这2条策略也是基准策略。

    2.部署策略

    当部署新的组策略设置时,强烈建议不要在这两条默认策略中更改。建议做法:首先创建组策略对象,然后将新建的组策略对象连接到目标域、组织单元中。

    3.删除默认策略

    一定不要删除两条默认的策略(默认域策略和默认域控制器策略),很多莫名其妙的问题都是因为喊出这两条默认策略引起的。建议通过备份/还原的方法保留默认策略,最后的办法使用“Dcgpofix”工具恢复默认策略。


组策略的目标是谁

    1.组策略给谁用

    实际应用中,经常遇到部署的组策略在客户端计算机中不能生效。首先需要明确的一点组策略不能够链接在用户组上。组策略不是为用户组设定的策略,而是一组策略的集合,只能链接站点、组织单位和域。

    2.组策略目标是计算机还是用户

    设置组策略对象时,分为计算机配置和用户配置。计算机配置的目标是计算机账户,而不是域用户。用户配置的目标是域用户而不是计算机账户。因此部署组策略前,需要将目标(计算机或者用户)首先移动到目标组织单位,然后对组织单位等部署策略。

    3.策略应用顺序

    策略正常应用顺序:本地策略——站点策略——域策略——父OU策略——子OU策略。其中:

    ·发生冲突时,最新策略设置会覆盖其他设置。

    ·计算机设置高于用户设置

    ·父容器组策略设置与子容器设置发生冲突,子容器中组策略的设置将覆盖父容器策略。

    ·同一容器的多个策略设置按照优先权顺序生效。当一个容器上面链接了多个GPO时,应该验证GPO的顺序,很有可能问题是顺序引起的。


客户端计算机是否应用策略

    客户端计算机应用策略,首先要得到策略。首先域控制器中通过“强制更新策略”或者“Gpupdate /force”命令强制刷新策略,客户端计算机重新登录后如果策略没有得到应用,可以使用“GPResult”命令验证是否已经应用了策略。如果在所有计算机中都没有应用策略,表明策略没有发布成功。故障出在域控制器环节,可以通过“GPMC”控制台查看策略设置,验证策略。


确认客户端计算机基础环境是否正常

    组策略应用失败通常说明基础架构中可能存在问题,这些问题与管理组策略信息的客户端或域控制器有关。建议按照下面的步骤进行检查。

    ·“TCP/IP NetBIOS Helper”服务是否运行在客户机之上。要成功执行组策略,这个服务是必须的。检查该服务,可以在命令行提示符下打入“net start”命令,以获得当前正在运行服务的列表,也可以访问“服务”管理单元以验证该服务已经启动。

    ·客户机上的DNS是否采用正确的配置以确保系统能够正确地解析DC的名称。首选DNS服务器是否指向DNS服务器,客户端计算机是否已经加入域等。

    ·网络否启用ICMP协议。组策略执行之前,客户端计算机和DC必须能够通过ICMP完成低速链接检测。如果没有启用ICMP协议,所有的组策略执行都会失败。

    ·客户端计算机是否能够与域控制器通信。最简单的策略方法:ping目标域控制器,确认是否能够访问,注意防火墙设置。

    ·客户端计算机是否能够访问存储在域控制器的“Sysvol”中的组策略对象。如果不能,组策略执行将会失败。


确认文件复制服务是否启动

    在多域控制器环境中,不但Acitve Directory数据库需要同步,“Sysvol”文件夹也需要同步。“Sysvol”文件夹同步通过文件复制服务完成:FRS(文件复制服务)和DFSR(分布式文件复制服务)。检查该服务,可以在命令行提示符下打入“net start”命令,以获得当前正在运行服务的列表,也可以访问“服务”管理单元以验证该服务已经启动。


记录配置

    IT运维过程中,管理员应该养成良好的习惯,组策略对象更改任一个设置,操作步骤尽量记录下来,这对于后期的排错会很有帮助。


组策略排错使用的工具

    组策略排错过程中,GPMC是首选工具,可以查看、验证组策略的设置。除了GPMC之外,还可以通过以下内置工具帮助管理员快速排除组策略故障。


DcDiag

    DcDiag是域控制器诊断工具,通过各种诊断策略,来分析当前林或域中域控制器状态,生成相应的检测报告。DcDiag可以说是域控制器诊断全能工具,当域控制器出现问题却无法判断具体故障原因时,首选使用DcDiag对域控制器进行一次全面诊断,查看检测报告,从而缩小问题范围以及定位问题。

    DcDiag工具由对系统的一系列测试和校验构成,可以根据用户的选择,针对不同的范围(林、域)对域控制器进行不同项目的诊断测试,主要测试项目有:

    ·连通性

    ·复制。

    ·拓扑完整性

    ·检查NC Head安全描述符

    ·检查登录权

    ·获取DC位置。

    ·验证安全边界

    ·验证FSMO角色

    ·验证信任关系

    ·DNS


GPResult

    GPResult检测输出当前计算机以及用户的配置及其设置,以及应用的组策略对象和安全组。通过该命令可以验证客户端计算机从哪个域控制器接受组策略,以及应用了哪些策略。对客户端计算机来说,GPResult是最有效的客户端计算机排错工具。


Dcgpofix

    Dcgpofix工具还原组策略到初始安装状态。

    恢复默认域控制器策略,运行以下名i了那个。

    Dcgpofix /target:dc

    同时恢复默认域策略和默认域控制器策略,运行以下命令。

    Dcgpofix /target:both

    注意事项:

    ·命令执行后,将默认域策略和默认域控制器策略还原到安装之后的原始状态,对两条组策略对象的任何更改都将丢失。

    ·强烈建议使用部署在域控制器中的Dcgpofix工具,而不是从微软站点下载的Dcgpofix工具。


Repadmin

    监控域控制器之间的复制


Gpupdate

    刷新组策略设置。