监控组策略应用

当你实施组策略时可能会遇到问题。当你解决组策略问题时,你必须考虑到各个组件之间的依赖关系。比如组策略依赖活动目录,活动目录依赖网络服务的正确配置。

如果域中的计算机应用完组策略后计算机设置没有达到预期的设置,或用户登录后应用完组策略用户设置后没有达到预期的效果。这就需要管理员能够找到组策略没有正确应用的原因。

Windows Server 2008有两个新的组策略管理功能帮助你确定组策略对某个特定用户或计算机的设置。这两个管理功能是组策略建模和组策略结果。

6.5.1实现组策略时常见的问题

解决组策略问题的第一步找到症状和可能的原因。在大多数情况下,组策略没有按照期望的结果生效是因为其他的组策略在同一个设置上有冲突。或者组策略设置中采用了阻断继承,禁止覆盖,过虑,设置。使用组策略建模向导和组策略结果可以判断哪些组策略设置了哪些值。

在执行组策略时可能遇到问题。下面是可能遇到的问题中的一些,以及解决它们的建议策略。

在试图打开或编辑组策略时,接收到错误信息称组策略对象不能被访问或打开。可能的原因和解决方案是:

u 可能没有访问GPO的权限。检查试图打开或访问的GPO的DACL。必须拥有打开或访问的读写权限。

u 组策略试图连接的域控制器不在线或域控制器不能用域名系统来解析。确认域控制器在线,如果在线,确认能够使用域名系统来解析域控制器的域名。

组策略设置不发挥预期功能。可能原因和解决方案如下:

u 继承冲突 如果显示组策略设置没有应用,问题可能是由继承冲突引起的。从活动目录继承的顶端开始,检查连接到每个域、站点、组织单元的GPO顺序,这些GPO可能影响还没有接受组策略设置的用户或计算机。然后查看在计算机和用户设置之间是否有冲突,记住,在绝大多数情况下,计算机设置优先于冲突的用户设置;检查禁止覆盖的GPO连接以及检查阻止继承的域和组织单元。

u 权限问题 检查希望应用的GPO的DACL。确保用户和计算机账户有需要应用的所有GPO的读和申请组策略设置的权限;同时,检查计算机或用户账户的安全组成员资格,确保账户是其成员之一的安全组在DACL中列出;同时,检查拒绝ACE。记住拒绝优先于所有的允许权限。

u 禁用GPO节点 检查所有的GPO,查看计算机配置或用户配置节点是否已经禁用。

u 复制问题 确保活动目录复制和Sysvol复制的完成。记住如果GPO的GPC和GPT部分都没有复制,组策略将无法运行。

u 域之间的GPO连接问题 如果一个站点、域或组织单元连接到另一个域的GPO上,可以通过信任关系访问该GPO。如果由于某种原因信任遭到破坏,对连接的GPO的访问以及组策略的执行就会失败。可以通过每个域有多个域控制器或在域间创建明确的信任机制来阻止这种类型问题的发生。

u 移动了的计算机或用户 对象客户机每30分钟会缓存活动目录的位置。如果计算机或用户账户从一个组织单元移到另一个组织单元,客户机将无法判断对象的正确位置。如果组策略在缓存对象位置之前刷新,新的组策略设置将不能执行。但是,新的组策略设置将在下次刷新时执行。

6.5.2组策略建模

顾名思义,在这里,您可以建模出组策略的运行结果,并且最终得出选定容器中有效的设置。尤其是对那些经多重继承,重复加载组策略对象的容器,对策略的生效状态是最难以分辨了。组策略建模(Group Policy Modeling)旨在从容器中通过特定的查询,得出所有组策略组合后的有效设置,结果以HTML报告的形式显示。需要注意的是,组策略建模仅支持Windows Server 2003和Windows2008的域控制器,如果您的GPMC连接到Windows 2000的域控制器,该节点是不可见的。对于早期版本的组策略,组策略建模以策略结果集(RSoP)计划模式实现。你首先创建组策略建模查询然后查看查询结果。

示例:组策略建模

组策略建模就是域控制器根据指定的域用户登录特定的计算机计算出组策略的应用情况。本示例将会查询培训部用户韩立刚登录市场部计算机marketPC1都应用那些组策略设置。

1. 在DCServer 上以管理员登录,打开组策略管理工具。

2. 如图6-124所示,右击“组策略建模”,点击“组策略建模向导”。

3. 如图6-125所示,在出现的欢迎使用组策略建模向导对话框,点击“下一步”。

监控组策略应用---组策略建模_用户登录监控组策略应用---组策略建模_Windows_02

图 6-124 运行组策略建模向导 图 6-125 组策略建模向导

4. 如图6-126所示,在出现的域控制器选择对话框,选择ess.com域,选择“此域控制器”,点中DCServer.ess.com,点击“下一步”。

5. 如图6-127所示,在出现的用户和计算机选择对话框,用户信息选择“用户”,输入ess\hanligang,计算机信息选择“计算机”,输入ess\marketPC1,点击“下一步”。

监控组策略应用---组策略建模_用户登录_03监控组策略应用---组策略建模_Windows_04

图 6-126 选择域控制器 图 6-127 指定用户和计算机

6. 如图6-128所示,在出现的高级模拟选项,选中“环回处理模式”,选择“合并”,选中“不收集其他数据,直接跳到此向导的最后一页”,点击“下一步”。

7. 如图6-129所示,在出现的选择摘要对话框,点击“下一步”。

监控组策略应用---组策略建模_计算机应用_05监控组策略应用---组策略建模_Windows_06

图 6-128 高级模拟选项 图 6-129 摘要

8. 如图6-130所示,在出现的正在完成组策略建模向导,点击“完成”。

9. 如图6-131所示,点中marketPC1上的hanligang,在设置标签下,可以看到hanligang登录marketPC1后,组策略应用的结果。

监控组策略应用---组策略建模_Windows_07监控组策略应用---组策略建模_活动_08

图 6-130 完成向导 图 6-131 查看设置

10. 如图6-132所示,点开“用户配置”à“策略”à“Windows设置”à“Internet Explorer维护”à“URL/重要的URL”,可以看到设置的主页,以及哪个组策略的设置。

监控组策略应用---组策略建模_Windows_09

图 6-132查看具体设置

11. 如图6-133所示,在查询标签下可以看到查询的条件。

12. 如图6-134所示,右击“marketPC1上的hanligang”,点击“高级查看”。

监控组策略应用---组策略建模_的_10监控组策略应用---组策略建模_用户登录_11

图 6-133 查询条件 图 6-134 高级查看

13. 如图6-135所示,在出现的策略的结果集对话框,可以看到计算机配置和用户配置。该结果是由域控制器根域用户和计算机帐户所在的位置计算的。

监控组策略应用---组策略建模_的_12

图 6-135 组策略结果集

广告

监控组策略应用---组策略建模_的_13

监控组策略应用---组策略建模_活动_14

监控组策略应用---组策略建模_的_15

监控组策略应用---组策略建模_的_16