Innledning
I våre to første avdrag på dette temaet har vi sett på 7 grunner til Group Policy kanskje ikke fungerer som den skal i miljøet. Ser tilbake på disse 7 grunner utsatt noen viktige faktorer om Group Policy. Først bygger Group Policy på riktig autentisering gjennom DNS til domenekontrollere, bruker Kerberos for autentisering protokollen, omfanget av ledelse, og bruker riktig objekttypen for hver innstilling i en GPO. Deretter så vi på GPO forrang (LSDOU) og sikkerhetsfiltrering. I denne utgaven, vil vi se på noen overstyring, blokk arv, og WMI filtre.
8. Tvungen (Ingen overstyring) er satt på GPO
Som standard hver GPO som er konfigurert ikke har noen sikkerhetsfiltrering, Tvunget (Ingen overstyring), blokk arv, etc. Men det kan være en gang at noen setter opp en av disse funksjonene. Vi så på sikkerhetsfiltrering, men nå ser vi på Tvang (Ingen overstyring). Tvungen (Ingen overstyring) er en innstilling som er pålagt en GPO, sammen med alle innstillingene i GPO, slik at eventuelle GPO med høyere prioritet ikke "vinne" hvis det er en konflikt innstilling.
Det er viktig å forstå at GPO arv fungerer med LSDOU (Local, site, domene OU). Når du setter Ingen overstyring på en GPO, er dette begrepet forrang eliminert. Tvungen (Ingen overstyring) setter GPO i spørsmålet for å ikke bli overstyrt av en annen GPO (som standard, selvfølgelig).
Et godt eksempel her er å sette Standard domenepolicy for tvungen (Ingen overstyring), slik at passordet policyinnstillingene som finnes i det ikke er falske av en GPO på domenet for domenebrukere eller i en OU for lokale SAM brukere i datamaskiner som ligger i OU. Du kan se dette er satt på Standard domenepolicy i Figur 1.
Figur 1:. Tvang (Ingen overstyring) er satt til Standard domenepolicy
< P> Det er et par ting du bør vurdere når du setter Enforced (Ingen overstyring). Først vil GPO settes til høyeste prioritet fra stedet der GPO er knyttet ned gjennom AD struktur. For det andre, hvis en høyere prioritet GPO (for eksempel, på en OU nivå i vårt eksempel) er også satt til tvungen (No override), vil det ikke ha høyere prioritet enn GPO koblet høyere i AD strukturen. Dette er så en OU admin ikke kan sette en GPO å ha høyere prioritet enn et domene admin.
9. Block Arv er satt på Active Directory Node
En annen funksjon, men ikke foreslått å bruke jevnlig, er evnen til å blokkere arv standard Group Policy prosessering ned gjennom Active Directory. Som det har blitt nevnt mange ganger i dette settet av artikler, er LSDOU forrang holdt for Group Policy søknad og konfliktløsning.
The Block Inheritance funksjonen er en som er satt på enten domenet node eller en organisatorisk enhet. Selv om nettsteder kan ha en koblet GPO, den eneste GPO som har svakere prioritet enn området knyttet GPO er lokale og lokale GPOer kan ikke blokkeres med denne funksjonen.
Hva funksjonen gjør er å blokkere alle svakere presedens GPOer assosiert med nivået der Block Arv innstillingen er etablert. Så hvis Block Arv er satt på et annet nivå OU, alle GPOer satt til domenet og øverste nivå OU ville bli blokkert, ikke påvirker brukere og datamaskiner som ligger i det andre nivået OU. Bare de GPOer knyttet til andre nivå OU ville ha noen effekt. Selvfølgelig, hvis det var flere nivåer av organisasjonsenheter under andre nivå én, disse GPOer vil også være effektive, bare ikke de som har svakere forrang. Du kan se hvordan dette påvirker GPOer ved å se på figur 2 og 3. Figur 2 har ingen Block Arv sett, mens figur 3 har innstillingen etablert på andre nivå OU.
Figur 2: Standard GPO forrang og arv på andre nivå OU
Figur 3:. Block Arv er satt på andre nivå OU.
10. WMI filter er feil
WMI filtre er en effektiv måte å kontrollere hvilke objekter (brukere eller datamaskiner) motta innstillingene i en GPO. WMI filter er en frittstående fil som er knyttet til en eller flere GPOer. Når gruppepolicyinnstillinger fra hver GPO er evaluert, vil WMI filter avgjøre om de spørsmål som inngår i WMI filter komme tilbake som positive eller negative. Hvis positiv, oppfyller kriteriene i WMI filter, deretter innstillingene i GPO at WMI filter er knyttet til vil bli brukt.
Selvfølgelig kan du se hvor det kan være mange områder i denne prosessen at WMI filter vil gjøre GPO ser ut til å mislykkes. Først, hvis WMI filter filen er endret eller slettet, men filteret linken WMI forblir intakt, WMI filter vil ikke være oppfylt, og dermed innstillingene i GPO vil ikke gjelde. Neste, hvis WMI filter har noen syntaktiske feil, forårsaker spørringen til å mislykkes, innstillingene i GPO vil også mislykkes i å søke. Til slutt, hvis søket er konstruert feil, eller logikken for suksessen til WMI spørringen er feil, GPO innstillingene vil ikke gjelde.
Bruk bare WMI filter der det ikke finnes andre alternativer, som WMI filtre har mange områder der de kan negere alle innstillingene i GPO fra søker, pluss WMI filtre er veldig treg til å vurdere og anvende. Selv i Element-nivå Targeting (ILT) ligger i Group Policy Preferences, bruke WMI filtrerer sparsomt, som innenfor den ILT de kan ha problemer i tillegg.
Sammendrag
I denne serien av artikler har vi sett på ti forskjellige måter som Group Policy kan mislykkes, eller i det minste se ut som om det er sviktende. I virkeligheten Regler selv konsernet sjelden svikter. Hva vanligvis mislykkes er konfigurasjonen av GPO, lenker, Group Policy struktur, etc. som er feil, slik at GPO og innstillingene for å ikke gjelde for de ønskede målene. Jeg foreslår alltid at å gå tilbake til det grunnleggende og grunnleggende av Group Policy vil hjelpe spore opp hvor de sentrale spørsmålene er forankret. Dessuten synes jeg at kjernen, grunnleggende konfigurasjoner føre til at flertallet av problemer med Group Policy. Som en tommelfingerregel, må du bruke OU struktur for å distribuere gruppepolicyinnstillinger, slik at alle objekter i OU mottar innstillingene. Når du prøver å endre standardtillatelsene, søknad og forrang av Group Policy, dette er hvor problemene virkelig begynner å hope seg opp. Det er foreslått, bare i svært sjeldne tilfeller at du bruker funksjoner som sikkerhetsfiltrering, Block Arv, håndhevelse og WMI filtre. Bor borte fra disse alternativene og funksjonene vil hjelpe deg å holde Group Policy miljø enklere, stabil og lettere å feilsøke når reelle problemer oppstår.