内容摘要:对于一些比较大的网络环境,组策略可以减轻网管人员的管理工作,但其出问题的几率还是比较大的。这一方面是由于我们在日常操作时不慎引起的,另一方面是由于策略相互影响而造成最终的结果与设想不一致。
3.检查组策略对象是否在AD中和Sysvol中,而且GUID是否与正确的GPO相关联。
(1)查看组策略的GUID。
(2)用Search.vbs检查LDAP协议正确性,GPO和GUID是否为真正意义的对应。
Search.vbs是Windows 2003安装光盘SupportTools Support.cab下的一个脚本工具,可以将GPO名称解析为GUID。
使用方法:
cscript search.vbs "LDAP://dc=mydomain,dc=com"
/C:"&(objectClass= groupPolicyContainer)(displayName=Default Domain
Policy)" /P:name /S:SubTree
将mydomain和com换成您自己的域名。
3.以上两步结束后,如果仍然没有查到问题所在,可以激活userenv.log:
打开注册表编辑器,定位至HKEY_LOCAL_MACHINESoftware MicrosoftWindows NT CurrentVersionWinlogon。
新建dword值:UserEnv DebugLevel,数据为10002 (Windows 2000/XP),Windows 2003改为30002。重新启动后在%SystemRoot%Debug UserMode下可找到Userenv.log 文件。该文件对我们解决用户配置文件和组策略处理方面的问题很有帮助。
例如,有时会在该文件中发现:
USERENV(178.63c) 22:27:23:188 EvalList: Object cannot be accessed
这说明登录的用户对要应用给他的GPO是没有权限的,这时就要注意组策略的权限问题。
4.如果是和安全设定有关的策略没有生效,可以开启Winlogon:
打开注册表编辑器,定位至HKEY_LOCAL_MACHINESoftware MicrosoftWindows NT CurrentVersionWinlogon GPExtensions{827D319E-6EAC-11D2-A4EA-00C04F79F83A},新建一个DWORD值,名称为 Extension DebugLevel,数值设为2,刷新策略,这样在以下位置Windows SecurityLogs生成winlogon.log,所有安全设定会被详细记录在里面。
来源:网管员世界 作者:李可嘉 责编:豆豆技术应用