解决组策略问题
有一句格言是“一分钟的思考等价于一个小时盲目的工作”，所以在开始使用解决组策略问题的工具和技术之前，您应该先考虑一下几个简单的问题。
1．组策略应该应用到哪些用户和计算机
这是一个非常重要的问题。比方说一个用户抱怨他不能通过单击“开始”菜单的快捷方式来安装某一个程序，而它的另一位同事可以。像他的这种抱怨一定会让您挠头并想知道为什么软件安装策略没有应用到这位用户。对于这种问题我们首先得搞清楚应不应该应用这个策略到这个用户，或许可以安装软件的那个用户与这个用户不在一个部门里，而只有那个部门的用户被允许使用这个软件。所以实际上对于这种情况，组策略设置没有问题，问题出在用户上，用户之间喜欢攀比，喜欢更多的特权，大多数公司都会有这种问题，关键要搞清楚组策略应该应用给谁。
2．用户与计算机没应用上正确的组策略
这个问题适用于用户与计算机没有得到他们应该得到的策略。5个销售部的用户反映他们无法访问控制面板，您应该检查连接到销售部的组策略对象并查看“禁止访问控制面板”是否被启用了（这个策略可以从User Configuration\ Administrative Templates\Control Panel访问），如果这个策略已经禁用或者未配置，那么就检查一下上层的策略或者域策略的设置。
3．留意组策略发生问题的时间
留意发生问题的时间可能会帮助您立即找出问题所在。是在您做出对组策略改动后马上出现问题的么？比如连接一个新的GPO到一个OU，或者是否对AD做了一些管理性的改动？比如将计算机账号从默认的计算机容器中移动到一个OU里，在这种情况下，计算机不但会应用域的组策略，也会应用其所在OU的组策略。
4．什么时候您配置的策略会实际生效
当配置了策略，您会检查所配置的策略是否已经按照您的要求应用到了计算机或用户账户。这样很好，但不要忘记组策略只会在后台周期性地更新，所以可能只要等待一会儿，所有的设置都可以了。也可能您所做的设置在刷新的时候并不会应用到用户，需要他们再次登录或者重新启动计算机，比如软件安装策略、文件夹重定向策略及开机或登录脚本等。在这种情况下为了保证组策略能够应用，可能会等到用户一天工作结束，或者发个邮件让他们注销或重启，最极端的就是远程强制重启，但如果用户没有保存他们的工作则会出现问题。也可能在重新启动后有的策略没有被应用，因为目标计算机与域控制器不在一个本地网络中，因此WAN连接带宽的“组策略慢速连接监测”会阻止某些策略。
以上我们所看到的是笔者提取的在进行组策略工作中常常遇到的问题，它们可能不会十分准确地帮助我们解决问题，但至少会缩小我们考虑问题的范围。现在介绍一些工具来帮助我们解决遇到的问题，但本文不会对如何使用这些工具做详细介绍，只会给出一些提示来指出正确的方向。
（1）检查受影响机器的网络连接。
可能因为网线没接好，受组策略影响的用户账户和计算机都无法连接到网络，一个看起来很复杂的问题可能也就因为这么一个简单的小错误造成。理解组策略的工作原理能够帮助我们更加简单地找出问题的原因，推荐看一下微软出版的Group Policy Guide（http://www.amazon.com/exec/obidos/ ASIN/0735622175/mtitenterprises）。
（2）检查受影响的计算机是否能够进行正确的域名解析。
大概有一半的组策略问题都与域名解析有关系，比如在DNS服务器上有错误的资源记录，在DHCP选项中没有配置DNS服务器等。记住计算机在处理组策略的时候必须先得到一份它应该应用的GPO列表，所以它们需要联系域控制器，为了定位域控制器它们需要有正确的DNS配置来从DNS服务器上查找SRV记录，所以DNS不对，组策略也不会好使。在这里介绍几个检查DNS的工具，即IPCONFIG、NSLOOKUP和NETDIAG。
（3）如果您安装了组策略管理控制台（GPMC），则运行组策略结果向导。
选择查询一个用户或计算机后将查询并生成一份HTML的报表，显示出连接了哪些GPO及被应用的组策略设置，您可以保存并查看它们，这是解决组策略问题的一个很好的方法。另一个方法是在受组策略影响的计算机上运行命令行程序GPRESULTS.EXE来查看应用的组策略，虽然也能得到组策略结果，但这种方法不如刚才的方便。除了生成组策略结果集报表，GPMC还可以帮助您解决组策略问题，用鼠标右键单击一个GPO来生成一个包含其所有设置的报表，这样可以方便地帮我们找出哪个GPO的设置实际影响到了容器内的账户。另一个好处是它可以帮您查看GPO都连接到了哪儿，哪些GPO被禁用了，哪些容器阻止继承，哪些GPO强制继承等信息。

回书目   上一节   下一节