Устранение неисправностей при выполнении групповой политики

Published on Февраль 18, 2009 by   ·   Комментариев нет

Данная статья в общих чертах дает представление о типичных ошибках, совершаемых при выполнении групповой политики, и советует, как разрешать вопросы, связанные с выполнением групповой политики.

После того, как вы запланировали и задействовали групповую политику и оптимизировали ее работу, все должно работать, как и ожидалось, если вы верно справились с этой работой. Но что если групповая политика не оправдывает ваших ожиданий при работе? Что если какие-то пользователи или компьютеры не получают настроек политики, предназначенных для них? В таком случае вам нужно будет обратиться к арсеналу ваших инструментов по выявлению и устранению неисправностей в групповой политике. Вот об этом наша статья.

Начните с основ.

Прежде чем вы запустите различные инструменты и техники устранения неисправностей в групповой политике, остановитесь на секунду и задайте несколько простых вопросов. Эта фаза процесса устранения неисправностей Основывается на таком девизе, что минута размышлений приравнивается к часу попыток с использованием грубой силы. Ниже приведены несколько простых вопросов, которые вам следует задать себе, прежде чем вы погрузитесь в процесс устранения неисправностей.

  1. Стоит ли применять политику к неисправным машинам и конкретным пользователям? Это очень хороший вопрос для начала, не так ли? Допустим, пользователь приходит к вам и говорит, что у него не получается установить какое-то приложение, вызывая ярлык в меню Пуска. А у соседей работников это получается, но, по всей видимости, его машина некорректно работает, так как у него нет ярлыка для этой программы. Таким образом, он жалуется, а вы в это время почесываете голову, задумываясь о том, почему политика установки программного обеспечения, которая устанавливает данную программу, не распространяется на данного пользователя. Но первым вопросом должен быть – должна ли она на него распространяться? И что пользователь имеет ввиду под соседствующими работниками? Возможно, это другие работники с этого же этажа, но принадлежащие к другому отделу, и пока пользователям в том отделе нужна эта конкретная программа, жалующемуся пользователю, наверно, не стоит иметь доступ к ней. Таким образом, групповая политика отлично срабатывает в данной ситуации – некорректно работает пользователь, а не компьютер! Пользователи особенно испытывают зависть к привилегиям других пользователей, и вещи подобного рода часто случаются в некоторых компаниях. Ключевой вопрос по выявлению неисправности здесь — это на кого должна распространяться данная политика.
  2. Что общего между пользователями и компьютерами, на которых не распространяется политика? Этот вопрос актуален, если несколько людей и машин не получают ту политику, которой они должны следовать. Пять человек из отдела маркетинга приходят к вам и жалуются, что они более не имеют доступа к контрольной панели из меню Пуск. О чем это вам говорит? Сверьтесь с правилами групповой политики, в инструкции по пользователям отдела Маркетинга и посмотрите, включена ли опция «Закрыть доступ к контрольной панели” (эту политику можно найти через Configuration\Administrative Templates\Control Panel). Если данная политика отключена или не настроена, проверьте правила групповой политики по маркетингу или опцию, связанную с доменом, и убедитесь, не ошибочно ли настроен фильтр безопасности таким образом, что на пользователей из отдела Маркетинга распространяется действие этой политики
  3. Когда именно пользователи начали обращаться по этому вопросу? Произошло ли это сразу после того, как вы внесли изменения в настройки правил вашей групповой политики, например, создав и добавив новую инструкцию к правилам групповой политики? Это сразу должно о чем-то вам сказать. Или это случилось, когда вы произвели какие-то изменения административного характера в Активной Директории, например, перенос некоторых компьютерных аккаунтов из базы компьютеров по умолчанию в инструкции по пользователям, созданные специально для этих аккаунтов. В этом случае компьютерные аккаунты ранее получали предназначенную им политику из доменного раздела правил групповой политики, а сейчас любые правила групповой политики, взаимодействующие с новыми инструкциями по пользователям также будут действовать на них. Или жалобы начали поступать без предупреждения, совершенно неожиданно и вы не вносили никаких изменений в правила групповой политики на протяжении уже нескольких месяцев? В таком случае что-то еще пересекается с процессом выполнения групповой политики для установленных пользователей и компьютеров, и вам понадобятся испробовать некоторые из описанных ниже инструментов, и найти причину. Или может пользователи вообще вам не жаловались.
  4. А когда вы вообще производили настройку политики? В данной ситуации вы настраиваете политику, а потом проверяете целевую группу пользователей с целью убедиться в том, что политика вступила в силу либо нет. Помните, что обновление групповой политики в фоновом режиме происходит не постоянно, а только время от времени, и на самом деле все в порядке и вы должны обождать, пока групповая политика автоматически не обновится. Или возможен вариант, что заданная вами политика не может быть задействована при фоновом обновлении и от пользователя требуется выход из системы и перезагрузка машины с последующим входом. Примеры данной политики включают в себя установление программного обеспечения, перенаправление папок и скриптов. В таком случае для того, чтобы убедиться в выполнении новой политики, вам придется обождать пока пользователь в конце дня не выйдет из системы. Или отошлите им сообщение по электронной почте с просьбой выйти и войти назад в систему, или дистанционно осуществите принудительную перезагрузку и посмотрите им в глаза полные гнева, если они потеряли часть работы. Возможен такой вариант, что вы настроили политику перенаправления папок, пользователи перезагрузили свои машины, а политика все еще не задействована. В таком случае задавание ранее упомянутого вопроса «Что у них общего» может навести на мысль, что эти пользователи все работают через удаленный сайт и получают предназначенную им политику через WAN соединение из контроллеров доменов прямо из штаб-квартиры компании. В этом случае сказывается воздействие фактора медленной связи, который не дает групповой политике вступить в действие в связи с ограничениями WAN каналов связи.

Воспользуемся инструментами

После того, как вы закончили задавать себе все выше предложенные вопросы, которые важно задавать ,так как они часто могут привести к непосредственному источнику проблемы, хотя обычно просто помогают сузить область ваших дознаний, пришло время начать тестирование и применением инструментов от пинга до usernv регистрации. Сложно охватить такую обширную тему в короткой статье, так что я просто постараюсь дать вам несколько советов и указать верное направление:

  1. Проверьте сетевое подключение у целевой машины. Возможно, что что-то еще не работает помимо выполнения групповой политики. Возможно даже, что машина пользователя не подключена к сети из-за не подключенного кабеля! Просто удивительно, что такие простые мелочи могут являться причиной таких сложных проблем. В работе групповой политики достаточно сложно разобраться, но понимание принципа ее работы может помочь более легко выявлять проблемы.  Для качественного объяснение работы групповой политики вам стоит ознакомиться с руководством по групповой политики от Microsoft Press, Которая входят в недавно изданный Microsoft Windows Server 2003 Resource Kit Я работал техническим редактором по этому изданию, и заверяю вас, что оно является прекрасным ресурсом по всему, что связано с групповой политикой, и что эта книга должна стать настольной для администраторов Windows.
  2. Убедитесь в том, что целевая машина в состоянии правильно осуществлять идентификацию DNS. Пожалуй, половина вопросов, возникающих по выполнению групповой политики, относятся к блоку проблем с DNS, например, поврежденные записи ресурсов на DNS серверах, неверно настроенные DHCP опции на DHCP серверах, пользователи, меняющие настройки DNS на своих машинах и так далее. Помните, что для исполнения групповой политики, у компьютера прежде всего должен быть список правил групповой политики, которые на него распространяются. Для этого им необходимо опросить контроллер доменов. Для того, чтобы найти контроллер доменов, им необходимо исправить настройки DNS клиента, таким образом, чтобы они могли получить SRV записи при запросе к DNS серверу. Получается, что когда DNS в нерабочем состоянии, не работает и групповая политика. Инструменты для проверки и тестирования DNS включают в себя ipconfig, nslookup, netdiag, и диагностику сети в разделах помощи и поддержки.
  3. Если вы пользуетесь консолью управления групповой политикой для работы с ней, запустите мастер результатов групповой политики, указывающий целевого пользователя и компьютер на своих страницах. Это инициирует опрос WMI на целевой машине и создаст HTML отчет, который отражает выполняемые правила групповой политики и показывает какие именно настройки применялись. Вы можете сохранять эти отчеты и потом просматривать их на любой машине, используя Internet Explorer, и это прекрасный способ выявления некорректной работы в вопросах по групповой политике. Альтернативой использованию мастера является запуск инструмента командной строки Gpresults.exe на целевой машине, посмотрите на статью на эту тему под авторством Brien Posey прямо здесь на WindowsNetworking.com. В дополнение к созданию RSoP отчетов, редактор правил групповой политики может также помочь решить проблемы, имеющие отношение к групповой политике другими способами. К примеру, если вы сделаете двойной щелчок мышью по правилам групповой политики, вы можете выбрать опцию сохранения отчета для создания HTML отчета, показывающего все существующие настройки в правилах групповой политики. Это помогает выяснить, какое именно воздействие отдельно взятое правило групповой политики имеет на аккаунты в группе компьютеров, к которому оно относится — это намного легче, чем открыть правила групповой политики в редакторе и раскрывать все узлы, чтобы видеть настройки политики. Другим преимуществом по сравнению с новыми инструментами групповой политики, включенными в Windows Server 2003 является тот факт, что вы можете легко отслеживать, к чему относятся конкретные правила групповой политики, и какие из них отключены, на каких группах компьютеров настроено блокирование функции наследования, какие каналы групповой политики задействованы, и так далее. Закачайте GMPC сегодня с сайта Micfosoft и используйте для управления групповой политикой в вашей сети.

Заключение

Есть еще огромное количество информации по выявлению неисправностей в групповой политике, но вышеперечисленные советы помогут вам начать работать в этом направлении и решить большое количество вопросов, которые могут возникнуть. Более продвинутым пользователям может захотеться включить опцию расширенной регистрации для Userenv.dll (механизм групповой политики), который рассмотрен в статье article 221833 в базе знаний Microsoft (статья объясняет, как включать режим расширенной регистрации, но не упоминает, как интерпретировать такие учетные записи – по этому вопросу смотрите руководство по групповой политике от Microsoft Press). Также вы можете воспользоваться программой просмотра событий для проверки событий Userenv в регистрационном журнале приложения, но всем известно насколько глубоко скрытыми могут события Windows из журнала регистрации событий (большую часть информации из журнала регистрации событий можно найти через EventID.Net, общий проект для компиляции подробной информации помощи по скрытым событиям). И, наконец, вы можете осуществлять поиск или просмотр через базу знаний на TechNet и находить такие маловразумительные статьи вроде этой, в которой вам расскажут, что выполнение групповой политики нарушается при отключении DFS клиента или когда разрешение Чтения или Выполнения для общей группы пользователей удаляется из корневого каталога раздела системы – просто одна из тех малопонятных подробностей, которые вы, возможно, захотите загнать в ваш перегруженный мозг на черный день.

www.windowsnetworking.com


Смотрите также:

Tags: ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)




Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]