首页 | 邮件资讯 | 技术教程 | 解决方案 | 产品评测 | 邮件人才 | 邮件博客 | 邮件系统论坛 | 软件下载 | 邮件周刊 | 热点专题 | 工具
网络技术 | 操作系统 | 邮件系统 | 客户端 | 电子邮箱 | 反垃圾邮件 | 邮件安全 | 邮件营销 | 移动电邮 | 邮件软件下载 | 电子书下载

操作系统

Windows 9X | Linux&Uinx | Windows Server | 其它操作系统 | Vista | FreeBSD | Windows 7 |
首页 > 操作系统 > Windows Server > 组策略的烦恼 > 正文

组策略的烦恼

出处:www.winitpro.com.cn 作者:www.winitpro.com.cn 时间:2011-5-27 10:33:09

组策略的威力已是尽人皆知,但同样尽人皆知的是当它的结果常常不是您的预期时所带来的烦恼。同样恼人的是组策略有无数不同的功能,上千条设置项,使您难以决定对于特定问题何时可以使用这项技术。我曾帮助过很多朋友最有效地使用组策略,而且经常发现同样的一些恼人之处比他们的问题本身更有问题。以下是一些应对之策。

组策略设置不能马上生效
对于某些特殊的组策略设置项有时需要重新启动两到三次才能生效。由于您不能确定设置是否有效,所以这种重启可能令人不安。这种情况最常发生在“文件夹重定向”或“软件安装”组策略对象(Group Policy Object,GPO)上,且主要发生在Windows XP上。
评论:对于“文件夹重定向”GPO出现的问题,还可参考微软知识库文章“组策略应用问题疑难解答”(http://support.microsoft.com/kb/250842)。(译者)

这种延迟是由Windows XP中称作“快速登录优化”的特性引起的。为了使Windows XP系统启动和用户登录尽可能快速,微软默认配置了被称作“异步前台组策略处理”的原则。这种方法基本上就是当计算机启动时,在系统运行显示用户登录对话框的同时处理该计算机特定配置的组策略。实际上,当用户输入用户名和密码开始登录时,该机特定配置的组策略也许正在运行中。同样,当用户登录时,与该用户相关的组策略开始处理,在显示桌面时也许仍在运行。特定的GPO设置,如“文件夹重定向”和“软件安装”,需要独占访问计算机或用户环境才能运行。换言之,它们需要同步运行,不能异步运行。在系统提供给用户登录对话框或桌面之前,这些组策略必须处理完毕。那么我们如何让Windows XP以同步方式运行GPO呢?当然还得使用组策略!
打开组策略编辑器,展开“计算机配置\管理模板\系统\登录”,找到策略项“计算机启动和登录时总是等待网络”,在您的Windows XP计算机上启用该项,这样就会一直同步进行前台组策略处理。用户启动机器和登录会比原来花费更长的时间,但这也消除了配置特定种类的组策略时产生的多次重启或登录的麻烦。Windows Vista也像Windows XP一样设置为异步处理,而Windows 2000默认设置为同步前台处理。

组策略设置根本不起作用
有时组策略根本不能生效,而且我能看到在出问题的客户机上的事件日志中的“应用程序”项下出现1058和1030事件错误记录。这些错误似乎是系统不能读取gpt.ini文件。遗憾的是这种错误比较普遍。因为很多问题都可能导致这些错误,所以最好的解决方法就是缩小可能导致错误的原因的范围。
评论:事件1058大意是系统无法访问gpt.ini,事件1030是Windows不能查询组策略对象列表。请参考微软知识库文章“无法执行组策略处理,事件1030和1058被记录到域控制器的应用程序日志中”(http://support.microsoft.com/kb/842804),包括对此问题的详细探讨,并提供了修补程序下载。(译者)

如果您注意到这种错误仅出现在计算机策略设置中,而不会出现在用户策略设置中,原因可能是网络栈超时问题(计算机启动太快,网络栈在系统尝试处理组策略前没时间初始化完全),所以计算机相关的策略处理失败。而到了用户准备好开始登录时,网络栈已初始化并运转起来,所以用户相关的策略处理正常。
微软在某些版本的Windows中增加了一个很不错的注册表项,您可以用它来提示Windows等到网络栈结束初始化后才能开始处理组策略。在微软知识库文章“在运行Windows 2000、Windows XP Service Pack 1或Windows XP Service Pack 2的计算机上,组策略应用失败”(http://support.microsoft.com/?kbid=840669)中描述了这个注册表项。您也能在Windows Vista中发现同样功能的一个GPO设置:“计算机配置\管理模板\系统\组策略\启动策略处理等待时间”。
其它问题也可能导致这些错误信息。例如,也许gpt.ini文件确实不可访问。该文件存储在GPO的一部分中,而GPO存储在您的网络环境中的每个主域控制器(Domain Controller,DC)的SYSVOL共享中。在系统运行不管是计算机相关还是用户相关的组策略时,都需要读取该文件获得GPO信息。如果该文件在系统读取的DC上不存在,组策略将应用失败。您可以查看注册表项“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\History\DCName”,确认组策略运行时连接哪个DC。
在您找到了出问题的DC后,确认SYSVOL确实已共享,也就是DFC服务在DC上已启动(SYSVOL使用DFC复制),还要确认TCP/IP NetBIOS Helper服务已在客户机上启动(客户机使用这个服务与DFS通讯)。在客户机的命令行窗口键入:
net view \\<>
该命令可验证SYSVOL是否已共享,并使用netstart命令确认所有需要的服务都已启动。然后还要检查在事件日志中显示为不可访问文件的位置,确认该文件确实存在,且文件权限与您知道的组策略运行正常的其它DC上的文件权限一致。对于权限问题,组策略管理控制台(Group Policy Management Console,GPMC)也许能派上用场。打开GPMC,集中到出问题的DC。为此,在GPMC的主域名称上单击右键,选择“Change Domain Controller”,选择出问题的DC,如图1所示。在您把GPMC集中到出问题的DC上之后,转到组策略对象容器下,选择有问题的GPO。如果GPMC发现GPO上有权限问题,它会提示给您供您修改。

图1:改动主域控制器

评论:对于管理分布式远程服务器的管理员,需要一种解决方案来帮助他们限制在慢速WAN连接上的网络通信量、在WAN中断或服务器出现故障期间确保文件的可用性以及确保分支服务器正确地备份。Windows Server 2003的分布式文件系统(DFS)解决方案可以帮助管理员应对这些挑战,方法是提供了两项技术:“DFS命名空间”和“DFS复制”,这两项技术一起使用时,可以提供简化的、具有容错能力的文件访问以及负载共享和WAN友好复制。
可参考以下资源:“Microsoft Windows Server 2003 R2分布式文件系统解决方案概述”(http://technet2.microsoft.com/WindowsServer/zh-CHS/Library/d3afe6ee-3083-4950-a093-8ab748651b762052.mspx?mfr=true)、“分布式文件系统技术中心”(https://www.microsoft.com/china/windowsserver2003/technologies/storage/dfs/default.mspx)以及“Deploying and Administering File Replication Service for SYSVOL and DFS”(http://www.microsoft.com/seminar/shared/asp/view.asp?url=/seminar/en/20030424vcon26/manifest.xml)。(译者)

实施环回策略的迷惑
如果您使用Windows Server 2003环境中的终端服务器(Terminal Server)组件,当用户登录到终端服务器以及自己的台式机或笔记本电脑时,您希望能够针对这两种用户给出不同的组策略设置。这种情况正是创建环回策略的原因,但这个策略实施起来可能令人迷惑。
环回策略的意思是:当登录到启用了环回功能的特殊计算机上时,给用户提供针对计算机对象定义的组策略配置,而不使用针对用户对象定义的配置。实现环回策略的最简单方法是把您的终端服务器计算机对象置入活动目录下自己的管理单元(Organizational Unit,OU)中。然后新建一个GPO并将其链接到那个OU。在该GPO下,启用策略项“计算机配置\管理模板\系统\组策略\用户组策略环回处理模式”。该策略对那个OU下的计算机启用环回处理。一般对于公共用途的计算机终端使用这种策略,可以不管谁登录到机器上计算机都按照一种指定方式运行。
环回策略有两种模式:合并和替换。您应根据您想实现的功能选择某种模式。合并模式的意思是:当登录到终端服务器时先应用通常的用户策略,然后再应用这台计算机的用户策略。假如通常的用户策略和这台机器的用户策略有冲突,则优先应用这台计算机的策略,因为它们是最后处理的。替换模式甚至不处理通常的用户策略,只应用这台计算机的用户策略。
以我的经验,替换模式更易于管理,应该优先采用,除非在用户登录到终端服务器时您需要应用某些通常的用户策略。要注意如果您使用合并模式,当用户登录到终端服务器时某些策略可能会应用两次。例如,如果您有定义在域级别上的登录脚本,那么这些脚本既会应用到用户对象上,也会应用到计算机对象上,由于计算机对象使用环回策略的合并模式,系统就会先对用户对象运行一次登录脚本,然后又在计算机对象上再运行一次。
如果您启用了环回策略,要确保它只影响那些确实需要该功能的计算机(因此我建议在只包含有环回功能的计算机的特定OU上启用环回策略)。如果您过于频繁地启用这一策略,就可能得到一些预料之外的结果,且无法探明出错原因,这是由于您启动这个策略时设置了一些特殊的、未公开的注册表项。

组策略与IE设置有潜在冲突
在Windows XP Service Pack 2(SP2)和Windows Server 2003 SP1中,微软在“管理模板”策略中加入了很多Internet Explorer(IE)的设置,这似乎与“IE维护”策略(“用户配置\Windows设置\Internet Explorer维护”)中的内容有冲突,或者至少有重叠。那么您应该在哪里设置IE策略呢?
遗憾的是,对此没有明确的答案,但是您应该注意到微软正在把IE的设置移到“管理模板”中,主要是对风格的设置,并降低了“IE维护”策略的重要性。这样移动的根本原因是微软在刚推出组策略时“IE维护”策略的设计有缺陷。“IE维护”策略有很多bug且通常难以使用。
您还是得使用“IE维护”策略来设置如浏览器代理设置或收藏夹等内容。但是对于IE安全设置,您最好不要使用“IE维护”策略,而是使用“用户配置\管理模板\Windows组件\Internet Explorer”下的策略。例如,如果您想为某个特殊安全区域配置信任站点,您可以使用“用户配置\管理模板\Windows组件\Internet Explorer\Internet控制面板\安全页”下的“站点到区域分配列表”策略。您也可以设定单独区域的安全设置(在IE菜单“Internet选项”中的“安全”属性页可见),使用“用户配置\管理模板\Windows组件\Internet Explorer\Internet控制面板\安全页\Internet区域,Intranet区域”等策略。需要注意的是:不要在“IE维护”和“管理模板”两处同时设置IE安全策略,它们会互相影响,造成不可预料的结果。
“IE维护”也有这样一个恼人的特点:如果您设置了代理服务器的“连接设置”GPO,“IE维护”会从您当时用来编辑该GPO的那台计算机上导入这些设置。所以如果您为某台计算机设置了一个策略,然后又到另一台IE连接设置不同的机器上,当您单击按钮修改设置时,您会发现新机器的设置与您最初编辑GPO的那台机器的设置不同。这会引来没完没了的问题。正是出于这个原因,如果您不得不使用“IE维护”策略,那么您就需要经常回过头来,在您做出最初改动的那台计算机上,继续修改那些设置(如果您到最后一次编辑那个策略时还没有修改过IE设置的话)。

从删不掉GPO设置的域中移去计算机
有时您就是想把盘子都擦干净,把所有对特定用户或计算机做出的GPO设置统统删掉。例如,假设您要把一台计算机从一个活动目录域中移到一个工作组里,而且您不再需要它上面有任何强加的组策略。这种情况下,您必须在把计算机移出活动目录域之前采取特定的一系列步骤。您可不能只是把机器移出域就完事了,因为这台机器上的所有GPO设置都会成为“孤儿”,由于这些设置是从基于域的GPO带来的而在工作组中已不存在,所以您无法轻易删除这些设置。
在您把计算机从域中移出之前,先把计算机在活动目录中的账号移到没有链接任何GPO的OU中(而且要确保使用那个OU中的Block Inheritance标志来阻止任何上游GPO)。然后重启计算机。对大多数策略设置来说,在重启时处理组策略的过程中,计算机会发现以前应用过的GPO都已不再适用,所以那些可以被删除的设置(如“管理模板”策略、“软件安装”策略)将在组策略处理过程中被删除。
等到计算机“干净”了以后,您就可以将其安全地从域中移出了。这个方法唯一要当心的是某些策略,如“计算机配置\Windows设置\安全设置”下面配置的安全设置策略不会被删除,因为组策略不知道它们的默认值。这种情况下您可以使用secedit.exe命令行工具应用默认安全模板,该模板在您第一次安装Windows时就已存在了。这个模板文件为“setup security.inf”,在Windows XP Professional和Windows Server 2003的“C:\WINDOWS\security\templates”目录下。您可以打开计算机的组策略编辑器(在“开始”*“运行”对话框中键入gpedit.msc),转到“计算机配置\Windows设置\安全设置”,右键单击该节点,从菜单中选择“导入策略”,然后选择“setup security.inf”文件导入,借助这个模板轻松重置安全设置。
评论:secedit.exe命令行工具可以自动创建并应用模板,并分析系统的安全性,一般在分析或配置多台计算机的安全性且需要在非工作时间执行任务时更多地使用这一工具,从批处理文件或自动任务计划程序中调用它。该命令的详细语法请参考Windows帮助(在“Windows帮助和支持中心”里搜索“自动安全配置任务”)。(译者)

永远不是一个人在战斗
我希望这篇文章触及到很多您遇到过的组策略方面的问题,并且提供了有助于解决问题的一些新鲜的方法。毫无疑问组策略非常复杂,作为一个强大的配置管理系统,内部有很多变动以及相互依赖关系,使得它更加复杂。当您遭遇到一些问题并与之苦苦搏斗时,只要知道遭罪的并不是只有您一位也就够了。

相关文章 热门文章
  • 组策略排错 你必须知道在什么地方查找问题
  • Windows Server 2008 R2和Windows 7的组策略
  • 我们如何才能防止用户对Web应用程序和共享文件夹使用保存密码的功能呢?
  • Windows Server 2008 组策略排错攻略
  • 使用组策略进行账户安全配置
  • 使用组策略中央存储管理 Office 2010 设置
  • 巧用组策略防止Conflicker蠕虫对Windows的攻击
  • 系统组策略中的软件限制策略概述
  • XP系统组策略中的软件限制策略概述
  • 系统管理员讲述组策略排错经验谈
  • 利用组策略禁止Outlook使用缓存Exchange模式
  • OCS 2007 客户端标签定制及组策略应用
  • “http 500内部服务器错误”的解决方法
  • 利用Windows 2000 Server的RRAS实现VPN服务器
  • 用凤凰万能启动盘解决本地/域管理员密码丢失
  • Win2003 Server企业版安装配置
  • Active directory 灾难恢复
  • Windows 2000/03域和活动目录
  • 如何在vmware4上创建windows 2003群集
  • MSI文件制作全过程
  • Win2000命令全集(一)
  • Windows 2000/AD技巧
  • 此系统的本地策略不允许您采用交互式登录解决方法
  • Win2000路由的安装与设置实现不同网段互通
  • 自由广告区
     
    最新软件下载
  • SharePoint Server 2010 部署文档
  • Exchange 2010 RTM升级至SP1 教程
  • Exchange 2010 OWA下RBAC实现的组功能...
  • Lync Server 2010 Standard Edition 标..
  • Lync Server 2010 Enterprise Edition...
  • Forefront Endpoint Protection 2010 ...
  • Lync Server 2010 Edge 服务器部署文档
  • 《Exchange 2003专家指南》
  • Mastering Hyper-V Deployment
  • Windows Server 2008 R2 Hyper-V
  • Microsoft Lync Server 2010 Unleashed
  • Windows Server 2008 R2 Unleashed
  • 今日邮件技术文章
  • 腾讯,在创新中演绎互联网“进化论”
  • 华科人 张小龙 (中国第二代程序员 QQ...
  • 微软推出新功能 提高Hotmail密码安全性
  • 快压技巧分享:秒传邮件超大附件
  • 不容忽视的邮件营销数据分析过程中的算..
  • 国内手机邮箱的现状与未来发展——访尚..
  • 易观数据:2011Q2中国手机邮箱市场收入..
  • 穿越时空的爱恋 QQ邮箱音视频及贺卡邮件
  • Hotmail新功能:“我的朋友可能被黑了”
  • 入侵邻居网络发骚扰邮件 美国男子被重..
  • 网易邮箱莫子睿:《非你莫属》招聘多过..
  • 中国电信推广189邮箱绿色账单
  • 最新专题
  • 鸟哥的Linux私房菜之Mail服务器
  • Exchange Server 2010技术专题
  • Windows 7 技术专题
  • Sendmail 邮件系统配置
  • 组建Exchange 2003邮件系统
  • Windows Server 2008 专题
  • ORF 反垃圾邮件系统
  • Exchange Server 2007 专题
  • ISA Server 2006 教程专题
  • Windows Vista 技术专题
  • “黑莓”(BlackBerry)专题
  • Apache James 专题
  • 分类导航
    邮件新闻资讯:
    IT业界 | 邮件服务器 | 邮件趣闻 | 移动电邮
    电子邮箱 | 反垃圾邮件|邮件客户端|网络安全
    行业数据 | 邮件人物 | 网站公告 | 行业法规
    网络技术:
    邮件原理 | 网络协议 | 网络管理 | 传输介质
    线路接入 | 路由接口 | 邮件存储 | 华为3Com
    CISCO技术 | 网络与服务器硬件
    操作系统:
    Windows 9X | Linux&Uinx | Windows NT
    Windows Vista | FreeBSD | 其它操作系统
    邮件服务器:
    程序与开发 | Exchange | Qmail | Postfix
    Sendmail | MDaemon | Domino | Foxmail
    KerioMail | JavaMail | Winwebmail |James
    Merak&VisNetic | CMailServer | WinMail
    金笛邮件系统 | 其它 |
    反垃圾邮件:
    综述| 客户端反垃圾邮件|服务器端反垃圾邮件
    邮件客户端软件:
    Outlook | Foxmail | DreamMail| KooMail
    The bat | 雷鸟 | Eudora |Becky! |Pegasus
    IncrediMail |其它
    电子邮箱: 个人邮箱 | 企业邮箱 |Gmail
    移动电子邮件:服务器 | 客户端 | 技术前沿
    邮件网络安全:
    软件漏洞 | 安全知识 | 病毒公告 |防火墙
    攻防技术 | 病毒查杀| ISA | 数字签名
    邮件营销:
    Email营销 | 网络营销 | 营销技巧 |营销案例
    邮件人才:招聘 | 职场 | 培训 | 指南 | 职场
    解决方案:
    邮件系统|反垃圾邮件 |安全 |移动电邮 |招标
    产品评测:
    邮件系统 |反垃圾邮件 |邮箱 |安全 |客户端
    广告联系 | 合作联系 | 关于我们 | 联系我们 | 繁體中文
    版权所有:邮件技术资讯网©2003-2010 www.5dmail.net, All Rights Reserved
    www.5Dmail.net Web Team   粤ICP备05009143号