En av de tingene som jeg alltid har likt om Active Directory-miljø er at du kan få en slik detaljert kontroll over oppførselen til nettverket gjennom bruk av kollektive avtaler. Gruppe politikk kan bli et tveegget sverd skjønt. Når gruppen politikk blir brukt feil, kan alle slags uventede bivirkninger oppstår.
Normalt bivirkningene av en upassende group policy innstillingen er ikke så stor av et problem hvis du arbeider med servere på egen hånd nettverk. Tross alt, er du kjent med den måten at nettverket normalt oppfører seg. Hvis du endrer en gruppe policyinnstilling og Windows starter å oppføre seg rart da det er en ganske god indikasjon på at du har definert den nye innstillingen feil eller på en upassende sted, og sannsynligvis trenger å gå tilbake og se hva som gikk galt.
Hvis du er en konsulent som jobber på andres nettverk selv, om du ikke vanligvis har luksusen av å være intimt kjent med nettverkskonfigurasjonen tallet. Hvis du blir kalt inn for å diagnostisere et problem på en klient nettverk, kan du være i stand til å fastslå at problemet er konsernets policy knyttet i løpet av minutter. Men det kan ta dager å finne ut nøyaktig hvilken gruppe politikk element som forårsaker problemet fordi gruppen politikken kan være så komplisert.
Den gode nyheten er at det er et feilsøkingsverktøy kalt GPRESULT som du kan bruke til å diagnostisere komplekse gruppe politiske problemer mye raskere. Dette verktøyet var opprinnelig en del av Windows 2000 Server Resource Kit. Men når Microsoft skapt Windows XP, utvidet de verktøyets muligheter og tatt det med operativsystemet.
Hvorfor bruke GPRESULT?
Den eneste måten du virkelig kan sette pris på GPRESULT verktøyet er hvis du forstår hvor mye arbeid det sparer deg. Jeg ønsker å spare masse plass for å diskutere GPRESULT verktøy, så jeg ønsker ikke å få til en fullverdig diskusjon av Active Directory og alle detaljene. Imidlertid ønsker jeg å ta bare en andre og forklare hva som gjør gruppen politikk så komplisert, til fordel for alle som er ny i Windows nettverk.
Det som du må forstå om Active Directory er at selv om de ulike Active Directory elementer lagres primært på domenekontrollere, er Active Directory ikke en flat struktur, men heller en hierarkisk struktur. For å hjelpe Active Directory skalere godt til større nettverk, designet Microsoft Active Directory, slik at gruppen politikk kan brukes på flere nivåer i Active Directory-hierarkiet.
Det første nivået som gruppe politikk er brukt til er den lokale datamaskinen. Maskiner som kjører Windows 2000, XP og 2003 har en innebygd lokal sikkerhetspolitikk. Den lokale sikkerhetspolitikk er en type gruppe politikk som gjør at maskinene til å forbli sikker selv om de ikke er logget på en domene. Gruppe politikk kan også brukes i Active Directory på stedet, domene og organisasjonsenhet nivåer. En gruppe politikk ikke nødvendigvis må eksistere i alle fire steder, men det kan.
Når flere kollektive avtaler finnes, kombinerer Windows gruppereglene i det som er kjent som en effektiv politikk. Windows gjør dette ved å starte på det laveste nivået (den lokale datamaskinen) og arbeider til det høyeste nivået (organisasjonsenheten). Som de enkelte konsern politikk er behandlet, er de sammen for å danne en effektiv politikk. Hvis noen innstillinger i løpet av to eller flere policyer motsier hverandre, så jo høyere nivå politikk går foran lavere nivå policy for motstridende omgivelser.
Ved første, slik at gruppen politikk behandles høres kanskje ikke så komplisert . Hvor kompleksiteten virkelig kommer inn i bildet om er at flere retningslinjer kan gjelde på hvert nivå. Videre er det gruppepolicyinnstillinger som gjelder for den påloggede brukeren, mens andre gruppepolicyinnstillinger gjelde for arbeidsstasjonen. Derfor er det mulig at brukeren politikk tillater noen form for handling, men datamaskinen policy forbyr det, eller visa versa.
Mitt poeng er at gruppen policy inneholder hundrevis, om ikke tusenvis av alternativer som kan settes (Hvis noen har brydd seg med å telle dem alle, er du nødt til e-mail meg og la meg vite hvor mange det er). Men bare fordi du setter en gruppe policy alternativ, betyr det ikke at politikken element som du har satt noen gang vil få effekt. Det kan bli filtrert ut av et høyere nivå politikk. Hvis du prøver å feilsøke et ukjent nettverk, kan du bruke en veldig lang tid på å prøve å spore opp noen obskure group policy innstilling som forårsaker problemer med mindre du bruker GPRESULT eller lignende verktøy.
Bruke GPRESULT Anmeldelser
GPRESULT er et kommandolinjeverktøy. Du kan få tilgang til det direkte fra Windows ledetekst ved å skrive GPRESULT. Når du går inn i GPRESULT kommandoen, vil du bli presentert med informasjon konsernpolicy for den aktuelle brukeren på den aktuelle datamaskinen. Du trenger ikke å oppgi noen brytere for å få denne informasjonen. Men brytere eksisterer som vil gi deg informasjon konsernpolicy for en annen bruker eller datamaskin. Man kan også be om mer detaljert informasjon, ved hjelp av brytere. Syntaksen for GPRESULT kommandoen er som følger:
GPResult product: [ /s
Computer product: [ /u
Domene \\ bruker: /p
Passord
]] [ /bruker: TargetUserName
] [ /omfang Anmeldelser { brukerAnmeldelser | datamaskin
}] [ /v
] [ /z
]
Parametere
/s Computer Bilde:
Angir navnet eller IP-adressen til en ekstern datamaskin. (Ikke bruk omvendt skråstrek.) Standard er den lokale datamaskinen.
/u Domain
\\ Brukeranmeldelser:
Kjører kommandoen med konto rettighetene til brukeren som er spesifisert av User
eller Domain
\\ Brukeranmeldelser. Standard er tillatelsene til gjeldende påloggede brukeren på datamaskinen som utsteder kommandoen.
/p Passord Bilde:
Angir passordet for brukerkontoen som er angitt i /u
parameter.
/user TargetUserName Bilde:
Angir brukernavnet til brukeren som RSoP dataene skal vises.
/omfang {bruker | datamaskinen}:
Viser enten bruker
eller data
resultater. Gyldige verdier for /omfang
parameter er bruker
eller datamaskin
. Hvis du utelater /omfang
parameter, GPResult
viser både bruker Kjøpe og datamaskin
innstillinger.
/v:
Angir at utgangen skjermen ordrik policy informasjon.
/z:
Angir at utgangen skjermen all tilgjengelig informasjon om gruppepolicy. Fordi denne parameteren gir mer informasjon enn /v
parameter, omdirigere utdataene til en tekstfil når du bruker denne parameteren (for eksempel GPResult /z > policy.txt
).
/?:
Viser hjelp ved ledeteksten.
Ser The Output
Når du går inn i GPRESULT kommando, viser Windows tre forskjellige kategorier av informasjon; informasjon om operativsystemet, datainnstillinger og brukerinnstillinger. Før jeg vise deg hva resultatet ser ut, husk at jeg basere den informasjonen som jeg viser deg på et nettverk med en veldig enkel konfigurasjon (lokal og standard domenereglene bare). Hvis du feilsøker et nettverk med mer avansert sikkerhet informasjon, kan du forvente å motta mer detaljert informasjon.
Operativsystem Innstillinger
operativsystemet innstillinger del av GPRESULT produksjonen er i utgangspunktet konstruert for å gi du litt informasjon om maskinen som du analyserer. Og nettverket som den er koblet til. En ting som du må være klar over om denne delen er skjønt at det kan være litt misvisende. I prøven ut nedenfor, vil du legge merke til at GPRESULT forteller meg at min test maskinen er koblet til en Windows 2000-domene. I virkeligheten selv, jeg er koblet til en Windows Server 2003-domene. Det er ikke en eneste Windows 2000 Server på nettverket mitt. Det er bare det at verktøyet ble utviklet før utgivelsen av Windows 2003. Her er hva denne delen av produksjonen ser slik ut:
Microsoft (R) Windows (R) XP Operating System Group Policy Resultat verktøy v2.0
Copyright (C) Microsoft Corp. 1981-2001
Laget 3/2/2005 på 21:04:59
RSoP resultater for PRODUCTION \\ Administrator på Stewie: Logging Mode
-------------------- -----------------------------------------------
OS Type: Microsoft Windows XP Professional
OS-konfigurasjon: Medlem arbeidsstasjon
OS versjon: 5.1.2600
Domain Name: PRODUCTION
Domain Type: Windows 2000
Site Name: Standard-First-Site-Name
Roaming Profile:
Lokal profil: C:. \\ Documents and Settings \\ Administrator.PRODUCTION
000
Koblet over en treg kobling ?: Nei
Computer Settings
Hvis du ser på prøven ut nedenfor, kan du se den delen av datamaskinens innstillinger forteller deg hvilken gruppe politikk objekter har blitt brukt til datamaskinen. Det gir deg også informasjon om hvilke gruppepolicyobjekter ble filtrert ut og hvilke sikkerhetsgrupper datamaskinen tilhører. Utgangen ser omtrent slik ut:
datamaskininnstillinger
------------------
CN = Stewie, CN = Computers, DC = produksjon, DC = com
Sist gang Group Policy ble påført: 3/2/2005 på 21:01:36
Group Policy ble påført fra: tazmania.production.com
Group Policy treg lenke terskel: 500 kbps
Applied Group Policy Objects
-----------------------------
Standard domenepolicy
Følgende GPOer ble ikke brukt fordi de ble filtrert ut
------------------ ------------------------------------------------- < BR>
Local Group Policy
Filtrering: Ikke Anvendt (Tom)
Datamaskinen er en del av følgende sikkerhetsgrupper:
----------------------------------------- ---------------
BUILTIN \\ Administrators
Alle
BUILTIN \\ Users < BR>
NT AUTHORITY \\ NETWORK
NT AUTHORITY \\ Godkjente brukere
Stewie $
Domain Computers
Brukerinnstillinger
Seksjonen brukerinnstillingene gir deg i utgangspunktet den samme type informasjon som seksjonen datamaskinen innstillinger gjorde. Den eneste forskjellen er at informasjonen gjelder for brukeren i stedet for til datamaskinen. Husk, det er helt forskjellige gruppepolicyinnstillinger for brukere og datamaskiner. Prøven resultatet ser slik ut:
Brukerinnstillinger
--------------
CN = Administrator, CN = Brukere, DC = produksjon, DC = com
Sist gang Group Policy ble påført: 3/2/2005 på 19:39:37
< I> Group Policy ble påført fra: tazmania.production.com
Group Policy treg lenke terskel: 500 kbps
Applied Group Policy Objects
-----------------------------
Standard domenepolicy
Følgende GPOer ble ikke brukt fordi de ble filtrert ut
---------------------- ---------------------------------------------
Local Group Policy
Filtrering: Ikke Anvendt (Tom)
Brukeren er en del av følgende sikkerhetsgrupper:
--------------------------------------------- -------
domenebrukere
Alle
Debugger Brukere
BUILTIN \\ Brukere
BUILTIN \\ Administrators
NT AUTHORITY \\ INTERAKTIV
NT AUTHORITY \\ Godkjente brukere
LOKAL
Domain Admins
Enterprise
Admins
Group Policy Creator Eiere
Schema Admins
Konklusjon
I denne artikkelen har jeg forklart at feilsøking group policy-relaterte problemer kan være ekstremt kjedelig på grunn av antall potensielle gruppepolicyobjekter og de måten at noen objekter kan overstyre andre objekter. Jeg fortsatte med å forklare hvordan GPRESULT verktøyet, som følger med Windows XP, kan gjøre det tungvint feilsøkingsprosessen enklere. Anmeldelser