如果你曾使用過(guò)Windows 2000，或初涉Windows Server 2003還是已經(jīng)完成過(guò)一次系統(tǒng)配置，你至少會(huì)對(duì)組策略稍微有所了解，知道它可以被用來(lái)大大簡(jiǎn)化對(duì)系統(tǒng)構(gòu)架的管理。不幸的是，同其他所有技術(shù)一樣，在意外發(fā)生時(shí)我們?nèi)匀恍枰獙?duì)組策略進(jìn)行排障。這里給出了六個(gè)你可能會(huì)在Windows Server 2003組 策略中遇到的問(wèn)題及其解決方法。1.對(duì)特定用戶和計(jì)算機(jī)應(yīng)用策略時(shí)出現(xiàn)意外結(jié)果

假設(shè)你已經(jīng)創(chuàng)建了一個(gè)新的設(shè)置組策略對(duì)象。然而，設(shè)置還沒(méi)有被應(yīng)用到目標(biāo)對(duì)象上。類似于這樣的組策略問(wèn)題比較難捕捉。然而，微軟采用了新的組 策略管理控制臺(tái)（Group Policy Management Console），你可以 免費(fèi)下載。該工 具包括了一個(gè)向?qū)С绦?，你可以迅速的查看同策略相關(guān)的組策略結(jié)果集（Resultant Set of Policy即RSoP）信息。圖A顯示了特定計(jì)算機(jī)上的特定用戶的 RsoP信息。

圖A：在名為RAS服務(wù)器上的管理員RSoP正如你所見(jiàn)，默認(rèn)的域策略被Windows管理體系結(jié)構(gòu)（WMI，Windows Management Instrumentation）過(guò)濾器所拒絕，原因是WMI出錯(cuò)。這給出了確定組策略 問(wèn)題出在何處的重要的第一步。在這種情況下，策略并沒(méi)有被應(yīng)用，因?yàn)閃MI過(guò)濾器認(rèn)為在用戶登錄Windows XP Professional時(shí)策略僅僅會(huì)被應(yīng)用到該用 戶上。而該特定用戶現(xiàn)在正登錄到一臺(tái)Windows Server 2003計(jì)算機(jī)，由此造成了過(guò)濾失效。圖B顯示了WMI過(guò)濾器所引發(fā)的GPO應(yīng)用程序在Windows Server 2003上的失效。圖B：WMI過(guò)濾器指示W(wǎng)indows XP Pro

作為一種選擇，你可以使用gpresult.exe Windows Server 2003 Resource Kit命令行工具來(lái)查看RsoP操作的詳細(xì)情況。因?yàn)镚PMC功能如此強(qiáng)大且易于使用， 我將不會(huì)在本文中討論gpresult.exe。2.即使沒(méi)有通過(guò)WMI過(guò)濾器測(cè)試，策略還是被應(yīng)用到Windows 2000計(jì)算機(jī)上

這是一個(gè)容易解決的問(wèn)題。WMI過(guò)濾器僅在Windows XP和Windows Server 2003客戶端下得到支持。Windows 2000并不支持WMI過(guò)濾器，因此無(wú)論如何策略 都會(huì)被應(yīng)用。3.策略沒(méi)有被應(yīng)用到Windows NT或Windows 9x計(jì)算機(jī)上

只有運(yùn)行Windows 2000或更新的操作系統(tǒng)的計(jì)算機(jī)才可以使用組策略。早期的系統(tǒng)并不支持組策略。4.無(wú)法管理GPO

類似于其他絕大多數(shù)的對(duì)象，組策略對(duì)象具有同其相關(guān)的安全許可權(quán)限。如果在處理GPO時(shí)遇到了麻煩，或許是因?yàn)槟悴](méi)有合適的權(quán)限來(lái)管理它。要 檢查誰(shuí)具備管理GPO的權(quán)限可以采取如下步驟。啟動(dòng)組策略管理控制臺(tái)并選擇你所工作域下的GPO。然后選擇Delegation（授權(quán)）選項(xiàng)卡來(lái)查看允許對(duì) GPO進(jìn)行操作的用戶和組。如圖C所示，Authenticated User可以讀取GPO。這條信息很有用，因?yàn)樗粫?huì)被應(yīng)用到其他地方。否則其他各種對(duì)象都會(huì)有權(quán)限對(duì)GPO進(jìn)行編輯、刪除， 以及執(zhí)行其他的操作。

圖C：GPO安全信息

要解決這一問(wèn)題，你需要作為具有修改GPO權(quán)限的用戶登錄。登錄后，你就可以修改GPO以完成所需的操作，或是賦予原始用戶對(duì)象改變GPO的權(quán)利。 在理論上，應(yīng)當(dāng)把沒(méi)有修改GPO權(quán)限的管理員用戶對(duì)象添加到一個(gè)擁有修改GPO權(quán)限的組中使用戶對(duì)象擁有相關(guān)權(quán)限，而不是直接將權(quán)限指定給用戶對(duì)象。

5.已經(jīng)應(yīng)用了GPO的更新，但客戶并沒(méi)有獲得更新結(jié)果

假設(shè)你已經(jīng)確定計(jì)算機(jī)通過(guò)了RsoP測(cè)試，并且客戶獲得了策略設(shè)置情況。如果出現(xiàn)了這種問(wèn)題，有以下幾個(gè)可能：首先，如果你有多個(gè)域控制器，你應(yīng)當(dāng)?shù)却欢螘r(shí)間，這樣可以確保策略有足夠的時(shí)間被復(fù)制到網(wǎng)絡(luò)上其他所有的域控制器上。如果時(shí)間太短，這就可 能引發(fā)問(wèn)題。如果已經(jīng)有一段時(shí)間了，但新的策略設(shè)置還沒(méi)有生效，那么可以使用GPOTool來(lái)檢查復(fù)制狀態(tài)。GPOTool將從每個(gè)域控制器中讀取所有的組策略信息并對(duì) 其進(jìn)行比較。GPOTool可以作為Windows Server 2003 Resource Kit的一部分從微軟站點(diǎn)下載。你可以通過(guò)在命令提示符下輸入gpotool來(lái)使用這一工具。在輸 入命令后，你可以看到類似的文字：

C:Documents and SettingsAdministrator>gpotoolValidating DCs...Available DCs:ras.example.comSearching for policIEs...Found 2 policies======================================Policy {31B2F340-016D-11D2-945F-00C04FB984F9}Friendly name: Default Domain PolicyPolicy OK======================================Policy {6AC1786C-016F-11D2-945F-00C04FB984F9}Friendly name: Default Domain Controllers PolicyPolicy OK======================================Policies OK

在本例中，有一個(gè)單獨(dú)的域控制器，所有的策略測(cè)試都被通過(guò)。GPOTool有一些命令行選項(xiàng)： /gpo:GPO[,GPO]…— 需要檢查的GPO；可以指定GUID或GPO名；默認(rèn)為當(dāng)前域的所有GPO； /domain:name—GPO所在域的域名； /dc:{domain controller}[,{domain controller}—處理GPO的域控制器名稱列表； /checkacl—在每臺(tái)服務(wù)器上對(duì)sysvol驗(yàn)證ACL； /verbose—在處理過(guò)程中顯示詳細(xì)信息； 如果域控制器之間的復(fù)制出了問(wèn)題，那么應(yīng)當(dāng)修正此問(wèn)題并嘗試重新進(jìn)行域策略操作。你可以嘗試通過(guò)強(qiáng)制復(fù)制來(lái)確定這能否解決GPO問(wèn)題，但由于這 會(huì)是一個(gè)很長(zhǎng)的過(guò)程，因此該方法不被推薦。 關(guān)于復(fù)制和組策略的更多信息 組策略同時(shí)依賴于活動(dòng)目錄復(fù)制和文件系統(tǒng)復(fù)制。活動(dòng)目錄復(fù)制負(fù)責(zé)復(fù)制目錄組策略容器，包括哪些策略應(yīng)用到哪些用戶和計(jì)算機(jī)的信息。文件系統(tǒng)復(fù) 制則用于復(fù)制SYSVOL共享，它為每個(gè)GPO包含了一個(gè)模板。只有活動(dòng)目錄復(fù)制可以被強(qiáng)制執(zhí)行。 客戶組策略更新 造成問(wèn)題的第二個(gè)潛在原因在客戶方面，即組策略更新周期。這個(gè)周期定義了使組策略改變生效的時(shí)間間隔。默認(rèn)設(shè)置為客戶計(jì)算機(jī)每90分鐘（正負(fù)30 分鐘）更新組策略信息。如果你需要讓設(shè)置立即生效，你需要了解有以下一些事件可以觸發(fā)組策略更新： 有用戶登錄到計(jì)算機(jī)； 系統(tǒng)啟動(dòng)； 客戶端運(yùn)行了gpupdata命令行。 6.GPO顯示為Empty 如果GPO顯示為Empty則意味著在GPO中沒(méi)有設(shè)置任何策略。在這種情況下，可以采取如下步驟。首先，你可以準(zhǔn)備添加一些設(shè)置。其次，你可以刪除域 同GPO之間的鏈接。方法是使用GPMC，然后右鍵單擊GPO，去掉Link Enabled（允許連接）選項(xiàng)，如圖D所示：

圖D：去掉GPO和域連接

操作困難但值得 作為一種復(fù)雜但十分有用的服務(wù)，組策略有時(shí)需要采取一些步驟來(lái)進(jìn)行排障。幸運(yùn)的是，可以利用一些現(xiàn)成的工具來(lái)快速查找多數(shù)的錯(cuò)誤，尤其是使用 微軟新的組策略管理控制臺(tái)。