Når du har planlagt og utplassert Group Policy og optimalisert ytelsen, bør ting fungerer som forventet hvis du har gjort leksene dine riktig. Men hva om Group Policy virker ikke som du forventer det? Hva om noen brukere eller datamaskiner ikke motta innstillingene politiske ment for dem? Så du trenger å hale ut ditt arsenal av Group Policy feilsøkingsverktøy og prøve å finne ut hva som har gått galt. Det er hva denne artikkelen handler om.
Start med grunnleggende
Før du begynner å kjøre ulike gruppepolicy feilsøkingsverktøy og teknikker imidlertid ta et øyeblikk å gå tilbake og stille noen enkle spørsmål. Denne fasen av feilsøkingsprosessen er basert på mottoet at et minutt å tenke på er verdt en time av brute force innsats. Nedenfor finner du noen enkle spørsmål du bør stille deg selv før du dykke inn i feilsøkingsprosessen.
politikken bli brukt til de berørte brukere og datamaskiner? Det er et stort spørsmål til å begynne med, er det ikke. Sier en bruker kommer til deg og sier at han ikke kan installere et bestemt program ved å påberope en snarvei på Start-menyen. Hans nabo arbeidstakere kan gjøre dette, men maskinen må brytes fordi han ikke har snarveien for det programmet. Så han klager og du skraper hodet og lurer på hvorfor programvareinstallasjon politikk som installerer dette programmet ikke blir brukt til den brukeren. Men bør
det gjelder i første omgang? Hva gjør brukeren mener med hans "nabo arbeidere"? Kanskje andre ansatte i samme etasje, men hører til en annen avdeling, og mens brukere i denne avdelingen trenger det aktuelle programmet, den klag brukeren ikke og kanskje ikke bør ha tilgang til programmet. Så egentlig Group Policy fungerer helt fint i denne situasjonen-det er user Hotell som er ødelagt! Brukere er spesielt misunnelig på andre brukeres rettigheter, og denne typen tynn skjer mye i enkelte selskaper. Nøkkelen feilsøking spørsmålet her er: "Hvem bør
denne politikken gjelder?
til brukere eller datamaskiner til hvem politikken ikke blir brukt? Dette spørsmålet er aktuelt dersom flere mennesker eller maskiner ikke får den politikken de skal motta. Fem personer i markedsavdelingen komme til deg og klager over at de ikke får tilgang til Kontrollpanel lenger fra Start-menyen. Hva forteller dette deg? Sjekk GPO knyttet til OU for Markedsføring brukere og se om politikken "Forby tilgang til Control Panel" er aktivert (denne politikken finnes under Brukerkonfigurasjon \\ Administrative maler \\ Control Panel). Hvis denne policyen er deaktivert eller ikke konfigurert, sjekk GPOer knyttet til overordnede organisasjonsenheter til markedsføring eller knyttet til domenet og se om sikkerhetsfiltrering er feilaktig konfigurert slik at brukere i Marketing sikkerhetsgruppe har denne policyen brukes.
gjorde brukerne begynner å klage på problemet? Var det umiddelbart etter at du har gjort noen endring i policyinnstillinger Group, for eksempel ved å opprette og knytte en ny GPO til en OU? Som skal fortelle deg noe med en gang. Eller skjedde det når du har gjort noen administrativ endring i Active Directory, for eksempel å flytte noen datamaskinkontoer ut av standard Computers container i en OU laget spesielt for slike kontoer. I dette tilfellet ble datamaskin kontoer tidligere mottar sin politikk fra domenebundet GPOer, men nå noen GPOer knyttet til den nye OU vil påvirke dem også. Eller gjorde klagene begynner å komme uten forvarsel ut av det blå, og du har gjort noen endringer i noen GPOer i flere måneder? I så fall noe annet forstyrrer Group Policy behandling for de berørte brukere eller datamaskiner, og du må bruke noen av de verktøyene som er beskrevet nedenfor for å prøve og finne årsaken. Eller kanskje brukerne ikke har vært klaget til deg i det hele tatt.
politikken i spørsmålet? I denne situasjonen hva som skjedde er at du har konfigurert en policy og deretter sjekket med målrettede brukere å se om politikken har blitt brukt, og den har ikke det. Vel, ikke glem at Group Policy oppdateres i bakgrunnen bare periodevis, så kanskje alt er i orden, og du må bare vente en stund for Group Policy for å oppdatere seg selv automatisk. Eller kanskje den politikken du konfigurerte er en som ikke kan brukes under bakgrunnsoppdatering og krever at brukeren å logge av og på igjen, eller å starte maskinen sin. Eksempler på slik politikk inkludere disse for programvareinstallasjon, mappe omdirigering, og skript. I så fall å sikre den nye politikken er behandlet må du vente til brukere logger av på slutten av dagen, kan du sende dem en epost som ber dem om å logge av og på igjen, eller tvangs starte sine maskiner eksternt og møte sin vrede hvis de mister noe av sitt arbeid. Eller kanskje du har konfigurert en mappe omdirigering politikk og brukere omstartet sine maskiner og politikken er fortsatt ikke brukt. I så fall spørre den tidligere spørsmålet "Hva er det de har til felles" kan avsløre at de berørte brukerne alt arbeid på et eksternt område og får sin politikk over et WAN-tilkobling fra domenekontrollere ved selskapets hovedkontor. I så fall kan treg kobling behandling for gruppepolicy har trådt i kraft, noe som igjen kan hindre visse typer politikk blir behandlet på grunn av båndbreddebegrensninger av WAN-koblinger.
Bring On The Tools
Når du har stilt disse foreløpige spørsmål, som er avgjørende for å spørre så de kan ofte finne problemet nøyaktig, men vanligvis minst bidra til å begrense omfanget av hva du trenger for å undersøke, er det på tide å begynne å teste ting ved hjelp av verktøy som spenner fra ping til USERENV logging. Det er vanskelig å dekke et slikt bredt tema i en kort artikkel, så jeg vil bare gi deg noen tips til å peke deg i riktig retning:
ganske komplisert i hvordan det fungerer, og en forståelse av hvordan det fungerer kan hjelpe deg med å finne ut av problemer lettere. For en god forklaring på hvordan Group Policy fungerer, se den nye Group Policy guide fra Microsoft Press, som er en del av den nylig utgitte Microsoft Windows Server 2003 Resource Kit. Jeg jobbet som teknisk redaktør på denne tittelen, og dens en utmerket ressurs på alle ting gruppepolicy at Windows-administratorer skal være sikker på å ha i bokhyllen sin.
av en mye enklere enn å åpne GPO i Group Policy Object Editor og utvide hele noder for å se hva politikk er konfigurert. En annen fordel med GPMC over ut av boksen gruppepolicyverktøy som følger med Windows Server 2003 er at du enkelt kan se hva GPOer er knyttet hvor og hvilke GPOer er deaktivert, som beholdere har arv blokking konfigurert på dem, som GPO lenker håndheves , og så videre. Få GPMC dag fra Microsofts nettsted og bruke den til å administrere Group Policy på nettverket.
Konklusjon
Det er mye mer å feilsøke Group Policy, men tipsene ovenfor bør komme i gang og skal hjelpe deg med å løse en god del av problemene som kan oppstå. Mer avanserte brukere kan være lurt å aktivere utførlig logging for Userenv.dll (Group Policy motor) som er forklart i artikkelen 221833 i Microsoft Knowledge Base (artikkelen forklarer hvordan du aktiverer detaljert logging, men forklarer ikke hvordan du skal tolke slike logs- se Group Policy guide fra Microsoft Press for dette). Du kan også bruke Hendelsesliste for å se etter USERENV hendelser i programloggen, men vi vet alle hvor kryptiske Windows hendelseslogg hendelser kan være (en god kilde til hendelsesloggen hendelse informasjon kan bli funnet på EventID.Net, en community-basert prosjekt å samle detaljert hjelp informasjon om kryptiske hendelser). Og til slutt kan du søke i eller bla gjennom Knowledge Base på TechNet og finne obskure artikler som denne som forteller deg Group Policy behandlingen svikter når DFS klient er deaktivert eller når Lese og kjøre tillatelse for gruppen Alle fjernes fra roten av systemet partisjons bare ett av de obskure ting av informasjon kan være lurt å file bort i allerede overbefolket hjernen for noen regnfull dag.