网管经验共享：组策略相关故障排错经验谈.doc

　　网管经验共享：组策略相关故障排错经验谈～教育资源库 　　对于网络管理员来讲，关于组策略的问题可能听到最多的抱怨就是:我设置了一个策略，为什么它不生效?。对于一些比较大的网络环境，组策略可以减轻网管人员的管理工作，但其出问题的几率还是比较大的。这一方面是由于我们在日常操作时不慎引起的，另一方面是由于策略相互影响而造成最终的结果与设想不一致。 　　组策略应用要点 　　这里，笔者给出几点微软不推荐的做法: 　　1.不要删除两条默认的策略(默认域策略和默认域控制器策略)，很多问题的发生都是由删除这两条默认策略而引起的。而且要使用组策略管理控制台(GPMC)工具备份这两条默认策略，用于将来还原。如果直接通过GPMC删除默认策略时，我们会发现是行不通的，但是，稍有经验的读者知道如何删除它们。既然是一个不推荐的做法，希望大家不要删除它们。 　　2.组策略是不能够链接在用户组上的。有很多初次接触活动目录的管理员，经常设想将组策略生效于某一用户组，这是行不通的。组策略不是为用户组设定的策略，而是一组策略的集合，只能链接在站点、组织单元和域上面。 　　3.组策略的生效问题 　　(1)生效顺序 　　正常生效顺序:本地策略rarr;站点策略rarr;域策略rarr;父OU策略rarr;子OU策略。 　　我们使用时，在出现登录对话框前，会有应用安全策略的提示，这也就是本地策略生效的过程。 　　发生冲突时，必威体育精装版的策略设置会覆盖其他设置。计算机设置高于用户设置(即使用户设置是后设置的)。父容器组策略设置与子容器设置发生冲突，子容器中组策略的设置将最终生效。同一容器的多个策略按照优先权顺序进行生效。所以，当在一个容器上面链了多个GPO时，不妨仔细看看它们的顺序，很有可能问题是顺序不当引起的。 　　(2)生效时间 　　默认情况下，非域控制器的计算机每90分钟刷新一次策略，其中含有随机的30分钟时间偏移量，时间偏移量保证了多个计算机不会同时连接到同一个域控制器上面。域控制器每5分钟刷新一次，保证了紧急更新的组策略设置(安全性设置)能够得到及时执行，可以在 域控制器组策略重新刷新时间间隔里面更改(如图1)。 　　图1 域控制器组策略重新刷新时间间隔进行更改 　　在sc，单击组策略结果收集向导，选择是本机还是远程计算机，选择为哪一个　用户显示最终结果，我们就可以查看结果了(如图2)。 　　图2 查看结果 　　在组策略对象rarr;应用的策略中，我们能够看到出问题的客户端应用了哪些GPO，没有应用哪些GPO，如果某一条组策略没有被应用，那么设置必定没有生效，因为计算机根本就没有拿到这个策略。 　　正如案例中所述的那个问题(希望域内所有的计算机不要显示上次登录的用户名以确保安全，可惜在所有的用户端都没有生效)，后来在随机的客户端运行 gpresult，结果发现，为计算机设置的不显示上次登录的用户名策略(当时命名为Do not Display last logon name)根本就没有应用到客户端，自然策略不会生效。 　　2.如果网络里面有多台域控制器，要确保多台域控制器的策略保持一致，检查方法是运行 gpotool(需要安装ic Searching for policies... Found 4 policies Policy {31B2F340-016D-11D2-945F-00C04FB984F9} Friendly name: Default Domain Policy Policy OK ========================================================== Policy {6AC1786C-016F-11D2-945F-00C04FB984F9} Friendly name: Default Domain Controllers Policy Policy OK ========================================================== Policy {90BD780C-D2E8-44CB-97B8-80B343852457} Friendly name: Do not display logon name Policy OK ========================================================== Policy {CC2C8E4F-FA55-4824-AC75-0122494DCC 123下一页 友情提醒：，特别！31} Friendly name: user Policy OK ==================================