如果你曾使用過Windows 2000，或初涉Windows Server 2003還是已經(jīng)完成過一次系統(tǒng)配置，你至少會對組策略稍微有所了解，知道它可以被用來大大簡化對系統(tǒng)構(gòu)架的管理。不幸的是，同其他所有技術(shù)一樣，在意外發(fā)生時我們?nèi)匀恍枰獙M策略進(jìn)行排障。這里給出了六個你可能會在Windows Server 2003組 策略中遇到的問題及其解決方法。

　　1.對特定用戶和計算機(jī)應(yīng)用策略時出現(xiàn)意外結(jié)果

　　假設(shè)你已經(jīng)創(chuàng)建了一個新的設(shè)置組策略對象。然而，設(shè)置還沒有被應(yīng)用到目標(biāo)對象上。類似于這樣的組策略問題比較難捕捉。然而，微軟采用了新的組 策略管理控制臺（Group Policy Management Console），你可以 免費(fèi)下載。該工 具包括了一個向?qū)С绦颍憧梢匝杆俚牟榭赐呗韵嚓P(guān)的組策略結(jié)果集（Resultant Set of Policy即RSoP）信息。圖A顯示了特定計算機(jī)上的特定用戶的 RsoP信息。

圖A：在名為RAS服務(wù)器上的管理員RSoP

　　正如你所見，默認(rèn)的域策略被Windows管理體系結(jié)構(gòu)（WMI，Windows Management Instrumentation）過濾器所拒絕，原因是WMI出錯。這給出了確定組策略 問題出在何處的重要的第一步。在這種情況下，策略并沒有被應(yīng)用，因?yàn)閃MI過濾器認(rèn)為在用戶登錄Windows xp PRofessional時策略僅僅會被應(yīng)用到該用 戶上。而該特定用戶現(xiàn)在正登錄到一臺Windows Server 2003計算機(jī)，由此造成了過濾失效。圖B顯示了WMI過濾器所引發(fā)的GPO應(yīng)用程序在Windows Server 2003上的失效。

圖B：WMI過濾器指示W(wǎng)indows XP Pro
　　作為一種選擇，你可以使用gpresult.exe Windows Server 2003 Resource Kit命令行工具來查看RsoP操作的詳細(xì)情況。因?yàn)镚PMC功能如此強(qiáng)大且易于使用， 我將不會在本文中討論gpresult.exe。

　　2.即使沒有通過WMI過濾器測試，策略還是被應(yīng)用到Windows 2000計算機(jī)上

　　這是一個容易解決的問題。WMI過濾器僅在Windows XP和Windows Server 2003客戶端下得到支持。Windows 2000并不支持WMI過濾器，因此無論如何策略 都會被應(yīng)用。

　　3.策略沒有被應(yīng)用到Windows NT或Windows 9x計算機(jī)上

　　只有運(yùn)行Windows 2000或更新的操作系統(tǒng)的計算機(jī)才可以使用組策略。早期的系統(tǒng)并不支持組策略。

　　4.無法管理GPO

　　類似于其他絕大多數(shù)的對象，組策略對象具有同其相關(guān)的安全許可權(quán)限。如果在處理GPO時遇到了麻煩，或許是因?yàn)槟悴]有合適的權(quán)限來管理它。要 檢查誰具備管理GPO的權(quán)限可以采取如下步驟。啟動組策略管理控制臺并選擇你所工作域下的GPO。然后選擇Delegation（授權(quán)）選項卡來查看允許對 GPO進(jìn)行操作的用戶和組。

　　如圖C所示，Authenticated User可以讀取GPO。這條信息很有用，因?yàn)樗粫粦?yīng)用到其他地方。否則其他各種對象都會有權(quán)限對GPO進(jìn)行編輯、刪除， 以及執(zhí)行其他的操作。

圖C：GPO安全信息
　　要解決這一問題，你需要作為具有修改GPO權(quán)限的用戶登錄。登錄后，你就可以修改GPO以完成所需的操作，或是賦予原始用戶對象改變GPO的權(quán)利。 在理論上，應(yīng)當(dāng)把沒有修改GPO權(quán)限的管理員用戶對象添加到一個擁有修改GPO權(quán)限的組中使用戶對象擁有相關(guān)權(quán)限，而不是直接將權(quán)限指定給用戶對象。

　　5.已經(jīng)應(yīng)用了GPO的更新，但客戶并沒有獲得更新結(jié)果

　　假設(shè)你已經(jīng)確定計算機(jī)通過了RsoP測試，并且客戶獲得了策略設(shè)置情況。如果出現(xiàn)了這種問題，有以下幾個可能：

　　首先，如果你有多個域控制器，你應(yīng)當(dāng)?shù)却欢螘r間，這樣可以確保策略有足夠的時間被復(fù)制到網(wǎng)絡(luò)上其他所有的域控制器上。如果時間太短，這就可 能引發(fā)問題。

　　如果已經(jīng)有一段時間了，但新的策略設(shè)置還沒有生效，那么可以使用GPOTool來檢查復(fù)制狀態(tài)。GPOTool將從每個域控制器中讀取所有的組策略信息并對 其進(jìn)行比較。GPOTool可以作為Windows Server 2003 Resource Kit的一部分從微軟站點(diǎn)下載。你可以通過在命令提示符下輸入gpotool來使用這一工具。在輸 入命令后，你可以看到類似的文字：

C:/Documents and Settings/Administrator>gpotool
Validating DCs...
Available DCs:
ras.example.com
Searching for policies...
Found 2 policies
======================================
Policy {31B2F340-016D-11D2-945F-00C04FB984F9}
Friendly name: Default Domain Policy
Policy OK
======================================
Policy {6AC1786C-016F-11D2-945F-00C04FB984F9}
Friendly name: Default Domain Controllers Policy
Policy OK
======================================

Policies OK

　　在本例中，有一個單獨(dú)的域控制器，所有的策略測試都被通過。GPOTool有一些命令行選項：

　　/gpo:GPO[,GPO]…— 需要檢查的GPO；可以指定GUID或GPO名；默認(rèn)為當(dāng)前域的所有GPO；

　　/domain:name—GPO所在域的域名；

　　/dc:{domain controller}[,{domain controller}—處理GPO的域控制器名稱列表；

　　/checkacl—在每臺服務(wù)器上對sysvol驗(yàn)證ACL；

　　/verbose—在處理過程中顯示詳細(xì)信息；

　　如果域控制器之間的復(fù)制出了問題，那么應(yīng)當(dāng)修正此問題并嘗試重新進(jìn)行域策略操作。你可以嘗試通過強(qiáng)制復(fù)制來確定這能否解決GPO問題，但由于這 會是一個很長的過程，因此該方法不被推薦。

　　關(guān)于復(fù)制和組策略的更多信息

　　組策略同時依賴于活動目錄復(fù)制和文件系統(tǒng)復(fù)制。活動目錄復(fù)制負(fù)責(zé)復(fù)制目錄組策略容器，包括哪些策略應(yīng)用到哪些用戶和計算機(jī)的信息。文件系統(tǒng)復(fù) 制則用于復(fù)制SYSVOL共享，它為每個GPO包含了一個模板。只有活動目錄復(fù)制可以被強(qiáng)制執(zhí)行。

　　客戶組策略更新

　　造成問題的第二個潛在原因在客戶方面，即組策略更新周期。這個周期定義了使組策略改變生效的時間間隔。默認(rèn)設(shè)置為客戶計算機(jī)每90分鐘（正負(fù)30 分鐘）更新組策略信息。如果你需要讓設(shè)置立即生效，你需要了解有以下一些事件可以觸發(fā)組策略更新：

　　有用戶登錄到計算機(jī)；

　　系統(tǒng)啟動；

　　客戶端運(yùn)行了gpupdata命令行。

　　6.GPO顯示為Empty

　　如果GPO顯示為Empty則意味著在GPO中沒有設(shè)置任何策略。在這種情況下，可以采取如下步驟。首先，你可以準(zhǔn)備添加一些設(shè)置。其次，你可以刪除域 同GPO之間的鏈接。方法是使用GPMC，然后右鍵單擊GPO，去掉Link Enabled（允許連接）選項，如圖D所示：

圖D：去掉GPO和域連接
　　操作困難但值得

　　作為一種復(fù)雜但十分有用的服務(wù)，組策略有時需要采取一些步驟來進(jìn)行排障。幸運(yùn)的是，可以利用一些現(xiàn)成的工具來快速查找多數(shù)的錯誤，尤其是使用 微軟新的組策略管理控制臺。