根据微软的建议,两条默认的策略(分别为默认域策略和默认域控制器策略)应该保留且不做修改,删除或错误的修改这两条默认的策略会引起很多乱七八糟的问题,加大排障的难度。如果条件允许,应使用GPMC(组策略管理控制台)工具备份这两条策略,以备不时之需。在此强烈建议大家不要删除这两条默认的域策略。
1.组策略的生效问题
a.考虑策略的应用顺序
默认的应用顺序:本地策略→站点策略→域策略→顶级OU策略→下级OU策略→叶子OU策略
也就是说,最后应用的策略优先级高,如果在策略设置上有冲突的话,最后应用和策略将覆盖掉先前的策略。(如果没有冲突,最终应用到OU上的将是累积[所有继承的和链接到该OU的]的策略设置)
b.考虑策略的刷新时间
默认情况下,非域控制器的计算机在累计90~120分钟的时间范围内不定时刷新,也就是说在每次刷新后的1个半小时到2小时之间随机刷新。而域控制器则每5分钟刷新一次,这就保证了重要的安全策略能够得到及时的更新和执行。组策略刷新时间间隔可以通过编辑组策略里的"计算机配置"→"管理模板"→"组策略"分支下的各项策略进行调整。
强制刷新:在Windows 2000里面可以在命令行下敲入以下命令:secedit/refreshpolicy machine_policy或secedit /refreshpolicy user_policy执行组策略的强制刷新,到了Windows XP和Windows 2003就方便多了,直接敲gpupdate /force回车就OK了。如果新做的策略没有应用,尝试用强制刷新,以排除组策略刷新时间间隔问题。
2.确保客户端拿到了相关的策略。
比如,希望域内所有的计算机不要显示上次登录的用户名以确保安全,可是在所有的用户端都没有生效,说明这条策略很有可能客户端就没有拿到。从Gpresult / z 或者是组策略结果集,可以知道客户端拿到了哪些策略。前者是命令行模式,后者是图形界面,功能都是相同的。下面介绍组策略结果集的使用。
开始运行里输入gpmc.msc回车,右键单击组策略结果,选择组策略结果向导,选择是本机还是远程计算机,选择为哪一个用户显示最终结果,我们就可以查看结果了。比如说我们选择了bob那么系统就会生成一份bob这个用户最终应用了哪些组策略的报告供我们查看。
在组策略对象→应用的策略中,我们能够看到出问题的客户端应用了哪些GPO,没有应用哪些GPO,如果某一条组策略没有被应用,那么设置必定没有生效,因为计算机或用户根本就没有拿到这个策略。
3.接着我们应该考虑这样一些问题:
a.是哪一个DC对客户端应用了GPO?实际的策略文件存在于DC上吗?
b.DC之间的复制正常吗?
c.检验您的组策略文件的"健康情况"
a.是哪一个DC对客户端应用了GPO?实际的策略文件存在于DC上吗?运行Gpresult.exe,在输出的信息中找到"Group Policy was applied from..."确定GPO是从哪台DC上拿的。接着检查DC上向您的客户端应用GPO的SysVol文件夹,确保存在正在诊断的GPO的策略文件夹和文件。每个GPO存放在SysVol中的策略文件夹都表示为GUID。获得您正在诊断的GPO所对应的GUID的方法有许多种。较容易的方法之一是在GPMC控制台中选中某一GPO,在右边的信息栏中将显示跟该GPO相关的信息,切换到详细信息选项卡,里面有一项"唯一ID"所列出的就是该GPO的GUID。得到GUID后接着转到DC上,检查WINDOWS\SYSVOL\sysvol\Domain.com\Policies\{GUID}下面是否存在您的策略文件。(假设当前域为Domain.com)
b.DC之间的复制正常吗?在DC上启动注册表编辑器,然后进入HKLM\System\CurrentControlSet\Services\NTDS\Diagnostics\Replication Events。该值默认为0。请把它改为1。激活"复制"事件以便从事件查看器中获得跟复制事件有关的日志。从而获得附加信息并进行诊断。为了获得正确的事件,您可以在AD站点和服务控制台中右键单击适当的链接对象并选择"立即复制"来实现。并检查事件查看器中有关复制事件的变化。通过Gpotool工具检查域控制器中组策略对象的一致性。
c.检验您的组策略文件的"健康情况",请运行GPOTool.exe(该工具被包含在微软的资源工具箱中)
一旦我们得知应用GPO的DC上确实存在与我们诊断相关的策略文件时,我们就可以检查它们的有效性。GPOTool.exe的输出应该包括一个针对每个GPO的"正常"状态。比如说我们诊断的是默认的域策略,那么我们可能会看到如下的一行信息:
================================================
Policy {31B2F340-016D-11D2-945F-00C04FB984F9}
Policy OK
================================================
这行信息表明"默认域策略"文件是"健康的"。
4.激活Userenv.log(客气端激活该log)
Userenv.log是非常重要的组策略排错工具。通常可以从该log文件中获得策略无法应用的根本原因如权限不够拒绝应用还是策略文件不存在等等。激活该log的方法是:
打开注册表编辑器,添加或修改(如果值已经存在)下面的注册表值:
注册表项:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
值:UserEnvDebugLevel
数值类型:REG_DWORD
数值数据:10002(十六进制)
UserEnvDebugLevel 可以是以下值:
NONE 0x00000000
NORMAL 0x00000001
VERBOSE 0x00000002
LOGFILE 0x00010000
DEBUGGER 0x00020000
默认值是 NORMAL|LOGFILE (0x00010001)。
注意:要禁用日志,请选择 NONE(值为 0X00000000)。
您也可以将这些值组合起来。例如,将 VERBOSE 0x00000002 和 LOGFILE 0x00010000 组合起来,便可得到 0x00010002。因此,如果您将 UserEnvDebugLevel 的值设置为 0x00010002,将同时打开 LOGFILE 和 VERBOSE。将这些值组合起来与使用 OR 语句具有相同的效果:
0x00010000 OR 0x00000002 = 0x00010002
注意:如果设置了 UserEnvDebugLevel = 0x00030002,则会在 Userenv.log 文件中记录最为详细的信息。
该日志文件会被写入 %Systemroot%\Debug\UserMode\Userenv.log 文件中。如果 Userenv.log 已存在并且大于 300 KB,则现有文件将重命名为 Userenv.bak,同时创建一个新的日志文件。
Userevn查找问题
Find /l "LibMain" %windir%\Debug\UserMode\Userenv.log
LibMain关键字是查看所有程序启动的情况
Find/l "ProcessGPOs" %windir%\Debug\UserMode\Userenv.log
ProcessGPOs关键字是查看组策略对象应用处理情况
5.激活Winlogon.log(客户端激活该log)
如果是和安全设定有关的策略应用出了问题,可以激活该log,您可以从中获得非常丰富和有用的信息。激活该log的方法是:
打开注册表编辑器,添加或修改(如果值已经存在)下面的注册表值:
HKEY_LOCAL_MACHINE\Software\ Microsoft\Windows NT\ CurrentVersion\Winlogon\ GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F79F83A}
值:Extension DebugLevel
数值类型:REG_DWORD
数值数据:2(十六进制)
刷新策略,系统会在以下位置Windows\Security\Logs下生成winlogon.log,所有安全设定会被详细记录在里面。
6.一些特定组策略排错
如果"安全策略"、"注册表/软件策略"、"应用程序管理策略"、"登录/注销/启动/关闭脚本策略"以及"文件夹重定向策略"等不工作了,请具体参考微软官方KB:组策略应用问题疑难解答
7.一些经验总结:
a.尽量避免创建过多的策略。与使用每个仅包含很少变化的众多策略相比,使用少数复杂的策略总是更好些。尽量避免使用"强制"或"阻止继承"选项。在通过"慢速网络链接"来应用组策略时要保持谨慎。记住被应用的设置的顺序对每个组件是不同的。例如:
#.注册表和安全设置总是要应用的。
#.EFS和IP安全设置默认是要应用的。
#.应用程序部署、脚本、文件夹重定向和磁盘配额在慢速链接上默认不应用。
b."计算机配置"总是针对计算机生效的,"用户配置"总是针对用户生效的,对存放计算机对象的OU应用"用户配置"的组策略是可笑的,反之亦然。检查用户对组策略是否有读取权限,应重点检查userenv中的cannot access语句。使用gpotool确保组策略的一致性
c.有关安全策略的看winlogon.log,其它问题细读userenv.log。
d.搭建一个虚拟环境,以便做问题隔离。条件允许的情况下尝试重现问题,并分析故障原因。
.
- 上一篇:AD管理及排错工具dcdiag介绍
- 下一篇:活动目录排错小则