1. Location:
  2. / Computer learning >> Datamaskin læring >> system >> windows server >> windows server 2008 >>

Topp 10 grunner til hvorfor Group Policy Svikter til Apply (del 1)


Innledning

Group Policy kan være vanskelig å designe, implementere og feilsøke med mindre du er fullt klar over de grunnleggende begreper som driver Group Policy med Active Directory. Det er mange bevegelige deler med Group Policy, for ikke å nevne den avhengigheten som Group Policy har på Active Directory fungerer. Når du foretar endringer innenfor et gruppepolicyobjekt (GPO) i håp om et ønsket resultat, bare for å ha gruppepolicy ikke fungerer som den skal kan være veldig frustrerende. Gjennom årene har jeg utviklet en metodikk for å bestemme hva som kan være årsaken til Group Policy for å unnlate å søke endringer i datamaskinen og brukerkontoer som jeg prøver å kontrollere. Jeg håper følgende tips og retningslinjer kan hjelpe deg med å løse Group Policy.


1. DNS IP-adresse er ikke riktig konfigurert

For Group Policy til å jobbe fullt, datamaskinen som blir forvaltet må riktig godkjenne Active Directory. Riktig metode for å autentisere til Active Directory er gjennom DNS. Når klienten mottar IP-adresseinnstillingene fra DHCP (eller er hardkodet med IP-innstillinger), går klienten til DNS for å få en liste over domenekontrollere for domenet. Det er også gjennom DNS at klienten innhenter Kerberos informasjon for domenet, primært KDC (Kerberos Distribution Center). Hvis datamaskinen blir forvaltet ikke går gjennom DNS å få domenekontroller, vil den ikke bruke Kerberos for å godkjenne og nesten alle Active Directory servicefunksjoner svikter, inkludert anvendelse av Group Policy.

2. Group Policy Object (GPO) er ikke knyttet

Innen Group Policy Management Console (GPMC) kan du opprette og koble en GPO. Opprettelsen av en GPO er bare halvparten av de samlede tiltak som må skje for at innstillingene i GPO skal tre i kraft. GPO må da være knyttet til domenet node, en OU, eller et område. Når GPO er knyttet til en av disse AD noder, kan det da fullt gjelde for objekter under at omfanget (referert til som omfanget av management). Du kan kontrollere om GPO er knyttet til riktig AD node ved å vise GPO og ser på Lenker-panelet, vist i figur 1.



Figur 1: Listene over koblinger er vist for hver GPO på Lenker-panelet.

3. GPO Innstillingen er for feil Object Type

Når du redigerer en GPO det er to atskilte deler som du kan redigere: Computer Configuration og Brukerkonfigurasjon (vist i figur 2). Disse er veldig klar og inndeling Group Policy Management Editor slik at du kan beholde innstillingene klare i GUI. Innstillingene som faller inn under Computer Configuration bare påvirke data objekter under omfanget av ledelse og innstillingene under Brukerkonfigurasjon eneste effekten brukerobjekter under omfanget av ledelsen. For eksempel, hvis du gjør en innstilling til startmenyen (under Brukerkonfigurasjon), men bare har data gjenstander etter omfanget av forvaltningen av GPO, innstillingen vil aldri bli sett av alle brukere som logger seg på. De brukerobjekter må være plassert under rammen for forvaltningen av GPO skal tre i kraft.



Figur 2: Hver GPO har to atskilte deler:. Computer Configuration og Brukerkonfigurasjon

4. GPO Setting er ikke satt til riktig verdi (Aktivert eller Deaktivert)

Innstillingene i et GPO er brutt ned i ulike seksjoner. Det er Politikk og Innstillinger på øverste nivå, etterfulgt av enda mer tydelig seksjoner under hvert av disse. Det er den Administrative maler delen som jeg henviser til for feilsøking tips. Hver Administrativ Mal innstillingen har tre hovedalternativer: Ikke konfigurert, Aktivert, og funksjonshemmede. (Det kan også være underinnstillinger, men disse er bare gyldig når GPO er konfigurert for aktivert). Alle Administrative innstillinger Mal forholde seg til en registerverdi. For at innstillingen til å kontrollere målet korrekt, må det være riktig innstilt. Disse kan være forvirrende, som noen ganger å sette en verdi til Enabled vilje som et resultat fjerne en innstilling på målet. I samme lys, kan sette en verdi til Deaktivert legge til en innstilling til målet. For å sikre at du har den innstillingen er konfigurert riktig, må du lese tittelen på innstillingen og beskrivelse av innstillingen på Forklar fane eller Hjelp ruten. Doble negative innstillinger er veldig forvirrende, men beskrivelsen av innstillingen vanligvis guider deg gjennom til hva innstillingen skal være. Jeg anbefaler også at grundig testing av hver innstilling for å sikre at resultatet du ønsker er oppnådd.

En endelig notat om dette emnet er at Ikke konfigurert er ikke en konfigurasjon i det hele tatt. Husk, innstillingen du ser på i editoren er bare et syn på hva innstillingen er satt til innenfor GPO. Ikke konfigurert er ikke en måte å ta innstillingen bort på målet, i stedet er det en måte å negere GPO påvirker det registret verdien på målet på noen måte (i hvert fall i GPO i spørsmålet). Alternativet Ikke konfigurert vil ikke plassere noen verdi i GPO, slik at søknaden tid er det ingenting å søke om at registerverdi.

5. Bruker eller Computer objektet ikke er i riktig organisasjonsenhet (OU)

Vi nevnte ideen om omfanget av ledelse ovenfor, som er nøkkelen til anvendelsen av Group Policy og innstillingene som finnes i GPO. For å sikre dette konseptet er klart, la oss se på et eksempel. Tenk deg at du har to øverste nivå organisasjonsenheter: Finansiering og HR. Du har to brukerkontoer: Joe og Sally. Begge brukerkontoer er plassert i Finance OU tiden, noe som er vist i figur 3.



Figur 3: Joe og Sally er plassert i Finance OU.

En GPO er opprettet og en Start-menyen innstillingen er konfigurert, som er vist i figur 4. Alle Startmeny-innstillinger er plassert under Brukerkonfigurasjon node i GPO editor, så bare brukerkontoer vil motta disse innstillingene. GPO er knyttet til HR OU.



Figur 4: En Start-menyen innstillingen er konfigurert i en GPO, som er knyttet til HR OU.

Både Joe og Sally pålogging til sin datamaskin, men Start-menyen innstillingen i GPO trer ikke i kraft, noe som bør være fornuftig. Joe brukerkonto flyttes til HR OU. Joe logger deretter av og på igjen resulterer i Start-menyen innstillingen skal tre i kraft. Sally, på grunn av det faktum at hun er i Finance OU og ut av omfanget av ledelsen for dette GPO, fortsatt ikke mottar startmenyen innstillingen.

Sammendrag

Group Policy kan bli frustrerende og i noen tilfeller et mareritt. Å vite det grunnleggende Group Policy og hvor du skal lete når GPO innstillinger gjelder ikke vil hjelpe deg å feilsøke. Siden Group Policy kan være litt komplisert, og er avhengig av mange andre bevegelige deler, må du se utover de åpenbare innstillinger for å feilsøke hvorfor gruppepolicy ikke søker i ditt tilfelle. I denne del I artikkelen tok vi en titt på noen av de vanligste, men likevel ikke så åpenbare grunner til at gruppepolicy kanskje ikke gjelder i din situasjon. Ting å huske fra denne artikkelen inkluderer det faktum at gruppepolicy er avhengig av Kerberos og Authenticating riktig gjennom DNS. Også gjenstander må være under omfanget av ledelse for å motta GPO innstillinger. I vår neste avdrag, vil vi se på de andre 5 vanligste årsakene til at gruppepolicy kanskje ikke gjelder riktig i ditt miljø.