有一句格言是一分鐘的思考等價於一個小時盲目的工作所以在開始使用解決組策略問題的工具和技術之前您應該先考慮一下幾個簡單的問題
組策略應該應用到哪些用戶和計算機?
這是一個非常重要的問題比方說一個用戶抱怨他不能通過點擊開始菜單的快捷方式來安裝某一個程序而它的另一位同事可以像他的這種抱怨一定會讓您撓頭並想知道為什麼軟件安裝策略沒有應用到這位用戶對於這種問題我們首先得搞清楚應不應該應用這個策略到這個用戶或許可以安裝軟件的那個用戶與這個用戶不是在一個部門裡而只有那個部門的用戶被允許使用這個軟件所以實際上對於這種情況組策略設置沒有問題問題是出在用戶上用戶之間喜歡攀比喜歡更多的特權大多數公司都會有這種問題關鍵是搞清楚組策略應該應用給誰
用戶與計算機沒用應用上正確的組策略
這個問題適用於用戶與計算機沒有得到他們應該得到的策略個銷售部的用戶反映他們無法訪問控制面板您應該檢查連接到銷售部的組策略對象並查看是否禁止訪問控制面板被啟用了(這個策略可以從User Configuration\Administrative Templates\Control Panel訪問)如果這個策略已經禁用或者未配置那就檢查一下上層的策略或者是域策略的設置
留意組策略發生問題的時間
留意發生問題的時間可能會幫助您立即找出問題所在是在您做出對組策略改動後馬上出現問題的麼?比如連接一個新的GPO到一個OU或者是否對AD做了一些管理性的改動?比如將計算機賬號從默認的計算機容器中移動到一個OU裡在這種情況下計算機不但會應用域的組策略也會應用其所在OU的組策略
什麼時候您配置的策略會實際生效?
當配置了策略您會檢查所配置的策略是否已經按照您的要求應用到了計算機或用戶賬戶這樣很好但不要忘記組策略只會在後台周期性的更新所以可能只要等待一會兒所有的設置都OK了也可能您所做的設置在刷新的時候並不會應用到用戶需要他們再此登錄或者重新啟動計算機比如軟件安裝策略文件夾重定向策略開機或登錄腳本等這種情況下為了保證組策略能夠應用可能會等到用戶一天工作結束或者發個郵件讓他們注銷或重啟最極端的就是遠程強制重啟但如果用戶沒有保存他們的工作則會出現問題也可能在重新啟動後有的策略沒有被應用因為目標計算機與域控制器不是在一個本地網絡中因為WAN連接帶寬的組策略慢速連接監測會阻止某些策略
以上我們所看的問題是提取了在進行組策略工作常常遇到的問題它們可能不會十分准確地幫助我們解決問題但至少會縮小我們考慮問題的范圍現在我會介紹一些工具來幫助我們解決遇到的問題但本文不會對如何使用這些工具作詳細介紹只會給出一些提示來指出正確的方向
檢查受影響機器的網絡連接
可能因為網線沒接好受組策略影響的用戶賬戶和計算機都無法連接到網絡一個看起來很復雜的問題可能也就因為這麼一個簡單的小錯誤造成理解組策略的工作原理能夠幫助我們更加簡單的找出問題的原因推薦看一下微軟出版的Group Policy Guide()
檢查受影響的計算機是否能夠進行正確的域名解析
大概有一半的組策略問題都與域名解析有關系比如在DNS服務器上有錯誤的資源記錄在DHCP選項中沒有配置DNS服務器等記住計算機在處理組策略的時候必須先得到一份它應該應用的GPO列表所以它們需要聯系域控制器為了定位域控制器它們需要有正確的DNS配置來從DNS服務器上查找SRV記錄所以DNS不對組策略也不會好使在這裡介紹幾個檢查DNS的工具IPCONFIGNSLOOKUPNETDIAG
如果您安裝了組策略管理控制台(GPMC)運行組策略結果向導
選擇查詢一個用戶或計算機它將查詢並生成一份HTML的報表顯示出連接了哪些GPO及被應用的組策略設置您可以保存並查看它們這是解決組策略問題的一個很好的方法另一個方法是在受組策略影響的計算機上運行命令行程序GPRESULTSEXE來查看應用的組策略雖然也能得到組策略結果但這種方法不如剛才的方便除了生成組策略結果集報表GPMC還可以幫助您解決組策略問題您可以右擊一個GPO來生成一個包含其所有設置的報表這樣可以方便的幫我們找出哪個GPO的設置實際影響到了容器內的賬戶另一個好處是它可以幫您查看GPO都連接到了哪兒哪些GPO被禁用了哪些容器阻止繼承哪些GPO強制繼承等信息
From:http://tw.wingwit.com/Article/os/xtgl/201311/8752.html
