《组策略故障诊断》由会员分享,可在线阅读,更多相关《组策略故障诊断(19页珍藏版)》请在金锄头文库上搜索。
1、第 11 章 组策略问题的故障排除 章节概述章节概述 第第 1 节:节:组策略故障排除介绍组策略故障排除介绍第第 2 节:节:组策略应用的故障排除组策略应用的故障排除第第 3 节:节:组策略设置的故障排除组策略设置的故障排除第第 1 节:组策略故障排除介绍节:组策略故障排除介绍组策略故障排除的场景组策略故障排除的场景组策略故障排除的准备组策略故障排除的准备 组策略故障排除工具组策略故障排除工具演示:使用组策略诊断工具演示:使用组策略诊断工具组策略故障排除的场景组策略故障排除的场景需要故障排除的常见场景:需要故障排除的常见场景: 应用了策略,但是设置不一致应用了策略,但是设置不一致 策略未应用策
2、略未应用 组策略故障排除的准备组策略故障排除的准备 基本故障排除步骤:基本故障排除步骤: 执行基本检查来测试网络连接:使用诊断工具,如执行基本检查来测试网络连接:使用诊断工具,如 netdiag 或或 ping 检查事件查看器条目检查事件查看器条目 使用使用 NSlookup 确保确保 DNS 运转正常运转正常 检查域控制器是否功能正常且可访问:使用诊断工具,如检查域控制器是否功能正常且可访问:使用诊断工具,如 dcdiag、set 命令或命令或 Kerbtray 组策略故障排除工具组策略故障排除工具 组策略故障排除工具:组策略故障排除工具: 组策略报告组策略报告 RSoPGPResultGp
3、otool Gpupdate Dcgpofix GPOLogView组策略日志文件组策略日志文件组策略管理脚本组策略管理脚本演示:使用组策略诊断工具演示:使用组策略诊断工具 在本演示中,教师将演示以下工具的使用:在本演示中,教师将演示以下工具的使用:常规模式和详细模式的常规模式和详细模式的 GPResultGPOToolGpupdateGPLogView第第 2 节:组策略应用的故障排除节:组策略应用的故障排除组策略继承的故障排除组策略继承的故障排除组策略筛选的故障排除组策略筛选的故障排除 组策略复制的故障排除组策略复制的故障排除 组策略刷新的故障排除组策略刷新的故障排除讨论:组策略配置的故障
4、排除讨论:组策略配置的故障排除 组策略继承的故障排除组策略继承的故障排除SalesProduction域域未应用任何未应用任何 GPO 设置设置GPO阻止继承用于阻止上级策略应用到整个阻止继承用于阻止上级策略应用到整个 OU 子树。子树。组策略筛选的故障排除组策略筛选的故障排除 SalesProduction域域MengphKimyoGroup应用组应用组策略策略拒绝拒绝读取和应用读取和应用组策略组策略允许允许GPOWMI 筛选筛选组策略筛选可以只影响组策略筛选可以只影响 OU中的某些用户或计算机。中的某些用户或计算机。GPTGPTGPCGPC组策略复制的故障排除组策略复制的故障排除 组策略对
5、象由组策略模板和组策略容器组成组策略对象由组策略模板和组策略容器组成GUID 分区表(分区表(GPT)和和 GPO 使用不同的机制复制使用不同的机制复制 复制问题可造成域控制器的组策略版本不一致复制问题可造成域控制器的组策略版本不一致GPOTool 可检查所有域控制器之间的策略一致性可检查所有域控制器之间的策略一致性 DC1DC2GPO1版本版本 3GPO1版本版本 2AD DS 复制复制文件复制服务文件复制服务GPTGPTGPCGPC组策略刷新的故障排除组策略刷新的故障排除 如果组策略未按预期刷新:如果组策略未按预期刷新:检查用户和计算机的刷新时间间隔检查用户和计算机的刷新时间间隔验证用户已
6、先注销再登录,或者计算机已重新启动验证用户已先注销再登录,或者计算机已重新启动检查是否有缓存的凭据,因为它们可能延迟组策略的效果检查是否有缓存的凭据,因为它们可能延迟组策略的效果检查环回策略是否已启用检查环回策略是否已启用使用使用 gpupdate 可以:可以:手动刷新更新的组策略设置手动刷新更新的组策略设置强制刷新所有组策略设置强制刷新所有组策略设置如果需要,那么强制重新启动或注销以刷新设置如果需要,那么强制重新启动或注销以刷新设置讨论:组策略配置的故障排除讨论:组策略配置的故障排除在此讨论中,你将创建组策略故障排除流程图。在此讨论中,你将创建组策略故障排除流程图。第第 3 节:组策略设置的
7、故障排除节:组策略设置的故障排除 客户端扩展处理的工作方式客户端扩展处理的工作方式 管理模板策略设置的故障排除管理模板策略设置的故障排除 安全策略设置的故障排除安全策略设置的故障排除 脚本策略设置的故障排除脚本策略设置的故障排除客户端扩展处理的工作方式客户端扩展处理的工作方式客户端扩展是处理组策略设置的客户端扩展是处理组策略设置的 DLL如果检测到慢速链路,某些如果检测到慢速链路,某些 CSE 不会进行处理不会进行处理某些某些 CSE 总是应用,并且不可关闭总是应用,并且不可关闭 客户端扩展的列表:客户端扩展的列表:安全设置安全设置管理模板管理模板软件安装软件安装脚本脚本文件夹重定向文件夹重定
8、向Internet Explorer 维护维护管理模板策略设置的故障排除管理模板策略设置的故障排除在排查管理模板故障时,应考虑:在排查管理模板故障时,应考虑: 管理模板是真的策略还是首选项管理模板是真的策略还是首选项 如果设置是首选项,那么它们将改动注册表,并保持有效,直至专门被撤销如果设置是首选项,那么它们将改动注册表,并保持有效,直至专门被撤销 如果设置是真正的策略,那么当不再应用该策略时,其设置将撤销如果设置是真正的策略,那么当不再应用该策略时,其设置将撤销 操作系统和操作系统和 Service Pack 级别确定了计算机是否可以接受策略设置级别确定了计算机是否可以接受策略设置 安全策略
9、设置的故障排除安全策略设置的故障排除 在排查安全策略设置故障时,应考虑:在排查安全策略设置故障时,应考虑: 帐户策略从域控制器传到客户端帐户策略从域控制器传到客户端 安全设置来自优先级最高的安全设置来自优先级最高的 GPO 域控制器从域级策略接收帐户策略域控制器从域级策略接收帐户策略 脚本策略设置的故障排除脚本策略设置的故障排除在排查脚本策略设置故障时,应考虑以下几点:在排查脚本策略设置故障时,应考虑以下几点: 验证脚本有效性验证脚本有效性 确保组策略配置正确确保组策略配置正确 确保用户和计算机有权访问该脚本确保用户和计算机有权访问该脚本 确保脚本复制正确确保脚本复制正确 使用组策略工具确保组策略已正确应用使用组策略工具确保组策略已正确应用 本章复习与提高本章复习与提高注意事项注意事项工具工具复习题复习题