Solución de problemas de la directiva de grupo de Win2003 Six Secrets

El poder de la directiva de grupo es bien conocido, pero también es bien sabido que cuando sus resultados no suelen ser los esperados. La Política de grupo es muy importante para los administradores de sistemas, pero también es un dolor de cabeza para los administradores de sistemas cuando la Política de grupo está en problemas. A continuación se presenta una introducción detallada a los métodos de solución de problemas de la Política de grupo. 1. Resultados inesperados al aplicar políticas a usuarios y equipos específicos

Supongamos que ha creado un nuevo objeto Establecer grupo de políticas. Sin embargo, la configuración aún no se ha aplicado al objeto de destino. Problemas de política de grupo como este son más difíciles de capturar. Sin embargo, Microsoft ha adoptado una nueva Consola de administración de directivas de grupo, que puede descargar de forma gratuita. La herramienta incluye un asistente que le permite ver rápidamente la misma información del Conjunto resultante de políticas (RSoP) relacionada con la política. La figura A muestra al usuario específico en una información específica RsoP equipo

Figura A: servidor RAS administrador nombrado en el RSoP

Como se puede ver, la directiva de dominio predeterminada es la gestión de Windows El filtro de arquitectura (WMI, Instrumental de administración de Windows) rechazado debido a un error de WMI. Esto proporciona un primer paso importante para determinar dónde se encuentra el problema de la estrategia de grupo. En este caso, la política no se aplica porque el filtro WMI cree que la política solo se aplicará al usuario cuando inicie sesión en Windows XP Professional. Este usuario en particular ahora está conectado a una computadora con Windows Server 2003, causando que falle el filtrado. La Figura B muestra el error de la aplicación de GPO causado por el filtro WMI en Windows Server 2003.

Figura B: WMI filtro de ventanas de indicación XP Pro Trial

Como opción, puede utilizar gpresult.exe herramienta Kit de recursos de línea de comandos de Windows Server 2003 para ver los detalles de las operaciones RSOP. Debido a que GPMC es tan poderoso y fácil de usar, no hablaré de gpresult.exe en este artículo.

2. Incluso si no ha superado la prueba del filtro WMI, la estrategia se aplica a la computadora con Windows 2000

Este es un problema fácil de resolver. Los filtros WMI solo son compatibles con los clientes Windows XP y Windows Server 2003. Windows 2000 no admite filtros WMI, por lo que las políticas se aplicarán de todos modos.

3. La política no se ha aplicado a las computadoras con Windows NT o Windows 9x

Solo las computadoras que ejecutan Windows 2000 o sistemas operativos más nuevos pueden usar la Política de grupo. Los primeros sistemas no eran compatibles con la política de grupo.

4. No se pueden administrar los GPO.

Al igual que en la mayoría de los demás objetos, los objetos de la directiva de grupo tienen permisos de seguridad asociados. Si tiene problemas para lidiar con los GPO, es posible que no tenga los permisos adecuados para administrarlo. Para verificar quién tiene la autoridad para administrar los GPO, siga los siguientes pasos. Inicie la Consola de administración de directivas de grupo y seleccione el GPO en su dominio de trabajo. Luego, seleccione la pestaña Delegación para ver los usuarios y grupos que pueden operar en el GPO.

Como se muestra en la Figura C, el usuario autenticado puede leer los GPO. Esta información es útil porque no se aplicará en otros lugares. De lo contrario, otros objetos tendrán permiso para editar, eliminar y realizar otras operaciones en el GPO.

Figura C: Información de seguridad de GPO

Para resolver este problema, debe iniciar sesión como usuario con la capacidad de modificar el GPO. Una vez que haya iniciado sesión, puede modificar el GPO para hacer lo que necesita, o darle al usuario original el derecho de cambiar el GPO. En teoría, no debería tener que agregar permisos de GPO para modificar administrador de objetos de usuario para modificar el GPO tiene un conjunto de permisos de la manipulación de objetos de usuario con la autoridad correspondiente, en lugar de asignar directamente los derechos sobre el objeto de usuario. actualizaciones

5. GPO se han aplicado, pero el cliente no se actualiza resultados

Suponiendo que haya determinado su ordenador a través de la prueba RsoP, y los clientes obtener las circunstancias configuración de directiva. Si se produce este problema, hay varias posibles:

En primer lugar, si tiene varios controladores de dominio, usted debe esperar algún tiempo, lo que puede tener el tiempo suficiente para asegurar que la política se replica en otras redes En todos los controladores de dominio. Si el tiempo es demasiado corto, esto puede causar problemas.

Si ha existido por un tiempo, pero la nueva configuración de la política aún no ha entrado en vigor, puede usar GPOTool para verificar el estado de la replicación. GPOTool leerá y comparará toda la información de la Política de grupo de cada controlador de dominio. GPOTool se puede descargar del sitio de Microsoft como parte del Kit de recursos de Windows Server 2003. Puede usar esta herramienta escribiendo gpotool en el símbolo del sistema. Después de introducir el comando, se puede ver un texto similar: Read

C: \\ Documents and Settings \\ Administrador > Gpotool

DC Validación ...

DC disponibles: < Br>

ras.example.com

Buscando políticas ...

Encontré 2 políticas

============= =========================

política {31B2F340-016D-11D2-945F-00C04FB984F9}

amistoso nombre: predeterminada de dominio

política OK

=============================== =======

política {6AC1786C-016F-11D2-945F-00C04FB984F9}

nombre descriptivo: política de controladores de dominio predeterminada

política OK

======================================

Políticas OK

En este ejemplo, hay un controlador de dominio separado y se pasan todas las pruebas de políticas. Gpotool algunas opciones de línea de comandos:

/GPO: GPO [, GPO] y hellip; — es necesario comprobar el GPO; puede especificar el GUID o el nombre de GPO; por defecto es el dominio actual de todos los GPO;

/domain: nombre — el nombre de dominio del dominio donde se encuentra el GPO;

/dc: {controlador de dominio} [, {controlador de dominio} — una lista de nombres de controladores de dominio para procesar GPO;

/checkacl — verifique la ACL en sysvol en cada servidor;

/verbose — muestre los detalles durante el procesamiento;

Si hay un problema con la replicación entre los controladores de dominio, entonces esto debería solucionarse Problema y tratar de volver a hacer las operaciones de la política de dominio. Puede intentar forzar la replicación para determinar si esto resuelve el problema de GPO, pero dado que puede ser un proceso largo, no se recomienda este método.

Más información sobre la replicación y las políticas de grupo

La directiva de grupo se basa tanto en la replicación de Active Directory como en la replicación del sistema de archivos. La replicación de Active Directory es responsable de replicar el contenedor de Políticas de Grupo de Directorio, incluida la información sobre qué políticas se aplican a qué usuarios y equipos. La replicación del sistema de archivos se utiliza para copiar el recurso compartido SYSVOL, que contiene una plantilla para cada GPO. Solo se puede imponer la replicación de Active Directory.

Actualizaciones de la Política de Grupo del Cliente

La segunda causa potencial del problema es el lado del cliente, el ciclo de actualización de la Política de Grupo. Este período define el intervalo de tiempo para que la modificación de la política de grupo tenga efecto. La configuración predeterminada es actualizar la información de la Política de grupo cada 90 minutos (más o menos 30 minutos) en la computadora cliente. Si necesita obtener la configuración para que surta efecto de inmediato, debe saber que hay algunos eventos que pueden desencadenar actualizaciones de la Política de grupo:

Hay usuarios que inician sesión en la computadora;

Inicio del sistema;

Cliente Ejecutar la línea de comandos gpupdata.

6.GPO se muestra como vacío

Si el GPO se muestra como vacío, significa que no se ha establecido ninguna política en el GPO. En este caso, se pueden seguir los siguientes pasos. Primero, puedes estar preparado para agregar algunas configuraciones. En segundo lugar, puede eliminar el enlace entre el dominio y el GPO. El método es utilizar GPMC, luego hacer clic con el botón derecho en el GPO, eliminar la opción Enlace habilitado, como se muestra en la Figura D:

Figura D: Eliminar el GPO y las conexiones de dominio

Como un servicio complejo pero muy útil, la Política de grupo a veces requiere algunos pasos para solucionar el problema. Afortunadamente, existen algunas herramientas listas para usar que se pueden usar para encontrar rápidamente la mayoría de los errores, especialmente con la nueva Consola de administración de políticas de grupo de Microsoft.