1、组策略应用要点 这里,笔者给出几点微软不推荐的做法: 1.不要删除两条默认的策略(默认域策略和默认域控制器策略),很多问题的发生都是由删除这两条默认策略而引起的。而且要使用组策略管理控制台 (GPMC)工具备份这两条默认策略,用于将来还原。如果直接通过GPMC删除默认策略时,我们会发现是行不通的,但是,稍有经验的读者知道如何删除它 们。既然是一个不推荐的做法,希望大家不要删除它们。2.组策略是不能够链接在用户组上的。有很多初次接触活动目录的管理员,经常设想将组策略生效于某一用户组,这是行不通的。组策略不是为用户组设定的策略,而是一组策略的集合,只能链接在站点、组织单元和域上面。3.组策略的生效
2、问题 (1)生效顺序 正常生效顺序:本地策略站点策略域策略父OU策略子OU策略。我们使用时,在出现登录对话框前,会有“应用安全策略”的提示,这也就是本地策略生效的过程。 发生冲突时,最新的策略设置会覆盖其他设置。计算机设置高于用户设置(即使用户设置是后设置的)。父容器组策略设置与子容器设置发生冲突,子容器中组策 略的设置将最终生效。同一容器的多个策略按照优先权顺序进行生效。所以,当在一个容器上面链了多个GPO时,不妨仔细看看它们的顺序,很有可能问题是顺序 不当引起的。(2)生效时间 默认情况下,非域控制器的计算机每90分钟刷新一次策略,其中含有随机的30 分钟时间偏移量,时间偏移量保证了多个计
3、算机不会同时连接到同一个域控制器上面。域控制器每5分钟刷新一次,保证了紧急更新的组策略设置(安全性设置)能 够得到及时执行,可以在 “域控制器组策略重新刷新时间间隔”里面更改(如图1)。图1 “域控制器组策略重新刷新时间间隔”进行更改 在Windows 2000里面可以使用secedit/refreshpolicy machine_policy或secedit /refreshpolicy user_policy命令强制刷新,在Windows XP或Windows 2003使用gpresult /force强制刷新。如果新做的设置没有能够生效,不妨考虑一下是否为刷新时间间隔问题。组策略常规排错
4、法 如果您平时是按照以上建议做的,结果组策略的某些设置还是没有按照预期生效,我们就需要做排错处理了。 1.首先,确保客户端拿到了相关的策略。比如,希望域内所有的计算机不要显示上次登录的用户名以确保安全,可是在所有的用户端都没有生效,说明这条策略 很有可能客户端就没有拿到。从Gpresult或者是组策略结果集,可以知道客户端拿到了哪些策略。前者是命令行模式,后者是图形界面,功能都是相同的。 下面介绍组策略结果集的使用。(1)打开gpmc.msc,单击组策略结果收集向导,选择是本机还是远程计算机,选择为哪一个用户显示最终结果,我们就可以查看结果了(如图2)。图2 查看结果在“组策略对象应用的策略”
5、中,我们能够看到出问题的客户端应用了哪些GPO,没有应用哪些GPO,如果某一条组策略没有被应用,那么设置必定没有生效,因为计算机根本就没有拿到这个策略。正如案例中所述的那个问题(希望域内所有的计算机不要显示上次登录的用户名以确保安全,可惜在所有的用户端都没有生效),后来在随机的客户端运行 gpresult,结果发现,为计算机设置的不显示上次登录的用户名策略(当时命名为Do not Display last logon name)根本就没有应用到客户端,自然策略不会生效。2.如果网络里面有多台域控制器,要确保多台域控制器的策略保持一致,检查方法是运行 gpotool(需要安装Windows Re
6、source Kit工具包)。 Validating DCs.Available DCs:mic-technet.dc.micSearching for policies.Found 4 policiesPolicy 31B2F340-016D-11D2-945F-00C04FB984F9Friendly name: Default Domain PolicyPolicy OK=Policy 6AC1786C-016F-11D2-945F-00C04FB984F9Friendly name: Default Domain Controllers PolicyPolicy OK=Policy 9
7、0BD780C-D2E8-44CB-97B8-80B343852457Friendly name: Do not display logon namePolicy OK=Policy CC2C8E4F-FA55-4824-AC75-0122494DCC31Friendly name: userPolicy OK=Policies OK 这是一次运行gpotool的结果,当然,笔者这里只是一个虚拟环境,只有一台域控制器,读者可以拿出问题的日志与正常日志进行比 对,便会发现问题所在。设想,如果有两台域控制器它们之间的复制又出了问题,那么意味着每个域控制器的组策略不统一了,自然客户端在应用时会发生问
8、题。3.检查组策略对象是否在AD中和Sysvol中,而且GUID是否与正确的GPO相关联。(1)查看组策略的GUID。(2)用Search.vbs检查LDAP协议正确性,GPO和GUID是否为真正意义的对应。Search.vbs是Windows 2003安装光盘SupportTools Support.cab下的一个脚本工具,可以将GPO名称解析为GUID。使用方法:cscript search.vbs LDAP:/dc=mydomain,dc=com/C:&(objectClass= groupPolicyContainer)(displayName=Default Domain Policy) /P:name /S:SubTree 将mydomain和com换成您自己的域名。3.以上两步结束后,如果仍然没有查到问题所在,可以激活userenv.log:打开注册表编辑器,定位至HKEY_LOCAL_MACHINESoftware MicrosoftWindows NT CurrentVersionWinlogon。 新建dword值:UserEnv DebugLevel,数据为10002 (Windows 2000/XP),Windows 2003改为30002。重新启动后在%Sy
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1