如果你曾使用过Windows 2000,或初涉Windows Server 2003还是已经完成过一次系统配置,你至少会对组策略稍微有所了解,知道它可以被用来大大简化对系统构架的管理。不幸的是,同其他所有技术一样,在意外发生时我们仍然需要对组策略进行排障。这里给出了六个你可能会在Windows Server 2003组 策略中遇到的问题及其解决方法。
1、对特定用户和计算机应用策略时出现意外结果
假设你已经创建了一个新的设置组策略对象。然而,设置还没有被应用到目标对象上。类似于这样的组策略问题比较难捕捉。然而,微软采用了新的组 策略管理控制台(Group Policy Management Console),你可以 免费下载。该工 具包括了一个向导程序,你可以迅速的查看同策略相关的组策略结果集(Resultant Set of Policy即RSoP)信息。图1显示了特定计算机上的特定用户的 RsoP信息。
图A:在名为RAS服务器上的管理员RSoP
正如你所见,默认的域策略被Windows管理体系结构(WMI,Windows Management Instrumentation)过滤器所拒绝,原因是WMI出错。这给出了确定组策略 问题出在何处的重要的第一步。在这种情况下,策略并没有被应用,因为WMI过滤器认为在用户登录Windows XP Professional时策略仅仅会被应用到该用 户上。而该特定用户现在正登录到一台Windows Server 2003计算机,由此造成了过滤失效。图2显示了WMI过滤器所引发的GPO应用程序在Windows Server 2003上的失效。
图2:WMI过滤器指示Windows XP Pro
作为一种选择,你可以使用gpresult.exe Windows Server 2003 Resource Kit命令行工具来查看RsoP操作的详细情况。因为GPMC功能如此强大且易于使用, 我将不会在本文中讨论gpresult.exe。
2.即使没有通过WMI过滤器测试,策略还是被应用到Windows 2000计算机上
这是一个容易解决的问题。WMI过滤器仅在Windows XP和Windows Server 2003客户端下得到支持。Windows 2000并不支持WMI过滤器,因此无论如何策略 都会被应用。
3.策略没有被应用到Windows NT或Windows 9x计算机上
只有运行Windows 2000或更新的操作系统的计算机才可以使用组策略。早期的系统并不支持组策略。
4.无法管理GPO
类似于其他绝大多数的对象,组策略对象具有同其相关的安全许可权限。如果在处理GPO时遇到了麻烦,或许是因为你并没有合适的权限来管理它。要 检查谁具备管理GPO的权限可以采取如下步骤。启动组策略管理控制台并选择你所工作域下的GPO。然后选择Delegation(授权)选项卡来查看允许对 GPO进行操作的用户和组。
如图3所示,Authenticated User可以读取GPO。这条信息很有用,因为它不会被应用到其他地方。否则其他各种对象都会有权限对GPO进行编辑、删除, 以及执行其他的操作。
图3:GPO安全信息
要解决这一问题,你需要作为具有修改GPO权限的用户登录。登录后,你就可以修改GPO以完成所需的操作,或是赋予原始用户对象改变GPO的权利。 在理论上,应当把没有修改GPO权限的管理员用户对象添加到一个拥有修改GPO权限的组中使用户对象拥有相关权限,而不是直接将权限指定给用户对象。
5.已经应用了GPO的更新,但客户并没有获得更新结果
本文来源:网络 作者:佚名