Windows 系統管理
群組原則疑難排解指南
Derek Melber
摘要:
- GPO 的常見問題
- 群組原則規則
- GPO 問題的疑難排解
- 疑難排解的工具
Microsoft Active Directory 已成為許多 IT 基礎結構的重要元件。Active Directory 的最重要功能之一是群組原則,群組原則可以讓系統管理員集中管理網域控制站、成員伺服器及個人電腦。
群組原則確實提供許多好處,不過有一個小小的缺點。在大型組織中設計及實作群組原則會很複雜,且萬一發生錯誤,要進行疑難排解更是困難。我將在本文中討論群組原則的構造,並示範如何進行疑難排解。看完本文,您將擁有幾乎可處理任何群組原則問題的資訊。
棘手的設定
群組原則中有許多動態的部分,尤其是與整個 Active Directory® 設計和實作的互動方面。針對許多種存取與網路問題進行疑難排解時,您若要尋找解決方案,一定要考慮到 Active Directory 和群組原則實作的基本概念。要開始疑難排解程序,先來看看可能設定錯誤的群組原則設定,再討論可能造成群組原則故障的較複雜問題。
Active Directory 系統管理員會使用系統管理範本檔案 (ADM 或 ADMX 檔案) 和群組原則物件編輯器 (又稱為 GPEdit,藉由執行 gpedit.msc 啟動),來檢視群組原則設定。系統管理員會使用 GPEdit 來建立群組原則物件檔案 (又稱為 GPO)。GPO 會設定為套用 (或不套用) 至 Active Directory 結構中的電腦和使用者。GPO 必須遵循許多規則,才能正常運作。現在就來看看這些規則。
GPO 必須連結 建立新的 GPO 時,它不會連結到 Active Directory 中任何的節點。雖然 GPO 可以編輯和修改,但是要等到連結至節點後,才會開始影響任何物件。為了確保 GPO 已正確連結,您可以在群組原則管理主控台 (GPMC) (如 [圖 1] 所示) 中檢視資訊視窗。
圖 1** 清楚顯示 GPO 連結 **(按影像可放大)
GPO 必須以正確的物件為目標 如您所知,群組原則必須以 Active Directory 中之正確的物件為目標。但是,有時在疑難排解過程中會忽略這一點。GPO 中有兩大類別:電腦和使用者。當您設定 GPO 時,務必要注意它的目標是電腦或使用者物件。然後您就可以確認 GPO 所連結的組織單位 (OU) 中是否有正確的物件型別。
GPO 不會套用至群組 雖然您可能有此期望,不過 GPO 並不能套用至 Active Directory 安全性群組物件。GPO 設定只能設定電腦和使用者這兩種物件。GPO 不能透過群組成員資格設定物件。例如,某個 GPO 若是如 [圖 2] 中所示連結至 Finance OU,則會受到其設定影響的物件就只有 Derek 和 Frank。不論誰擁有 Marketing 群組的成員資格,在 GPO 中的設定都不會影響該群組的成員。
圖 2** Finance OU 和其中的物件 **(按影像可放大)
目標物件必須位於 GPO 的路徑中 當您察覺 GPO 設定並未正常地影響某個物件時,還有另一個很重要的設定 -- 物件必須位於 GPO 的管理領域 (SOM) 中。這表示物件必須位於 GPO 所連結的節點下 (甚至是子節點也可以)。例如,連結到 Finance OU 的 GPO 不會影響到 Marketing OU 中的任何物件,如 [圖 3] 所示。GPO 的 SOM 是從它所連結的節點開始,沿著 Active Directory 結構往下沿伸。
圖 3** OU 若在同一層級,GPO 只會套用至它所連結的 OU **(按影像可放大)
GPO 必須啟用 建立 GPO 之後,並不會自動對目標物件做任何修改。不過針對電腦和使用者的部分會先啟用。如果停用其中任一部分,就很難追查。因此,在您針對未正常套用的 GPO 進行疑難排解時,最好檢查看看是否有部分或全部 GPO 停用。檢查方式是在 GPMC 中的 [群組原則物件] | [帳戶原則] 底下查看,並檢查 GPO 狀態。
某些設定需要重新開機 GPO 設定未正常作用時,可能是因為 GPO 的固有處理之故。觸發 GPO 的定期背景重新整理時,只能處理某些 GPO 設定,無法處理全部。因此您雖然已建立好設定,但是設定可能尚未生效。有些設定歸類為幕前原則,唯有在電腦重新開機,或者使用者登出後再登入時才會套用。這種行為方式之設定的範例包括軟體的安裝、資料夾的重新導向,以及指令碼的套用。
設定的同步與非同步套用
您可以在 GPO 中設定開機時和登入時的原則套用方式。您能執行的變更包括:正在套用原則時立即提供桌面的存取,或者在讓使用者存取桌面之前必須先套用所有原則。[圖 4] 顯示每一種作業系統的預設行為。如果您想改變此行為,可以修改下列原則設定:
Computer Configuration | Administrative Templates |
System | Logon | Always wait for the network at computer startup and logon
Figure 4 用戶端上的預設處理
| 作業系統 | 啟動 | 登入 | 原則重新整理 |
| Windows 2000 | 同步 | 同步 | 非同步 |
| Windows XP Professional | 非同步 | 非同步 | 非同步 |
| Windows Server 2003 | 同步 | 同步 | 非同步 |
大多數系統管理員偏好同步套用原則,以確保在使用者存取桌面之前,所有原則都已套用。這可保證所有安全性和組態設定都套用之後,使用者才能執行任何工作。請注意,這不是 Windows® XP Professional 中的預設狀態,原因是要讓該系統的登入速度最佳化。
改變預設繼承
有四種不同的方法可以改變 GPO 處理的預設繼承。這些選項的功能強大,可能會造成群組原則處理行為的重大改變,因此應謹慎使用。而且這方面的疑難也很難排解。改變預設繼承的選項包括下列四種設定和組態:
- 不要繼承原則
- 強制 GPO
- 存取控制清單 (ACL) 的 GPO 篩選
- Windows Management Instrumentation (WMI) 篩選器
由於這些設定的使用率不高,因此應該很容易記錄其使用範圍。若要查明是否正在使用這些選項,請在 GPMC 中查看。不要繼承的設定是在 GPMC 中的網域或組織單位 (OU) 節點上執行。而強制 GPO、ACL 的篩選和 WMI 篩選則是會針對每個 GPO 設定。
您也可以從目標電腦執行 Gpresult 命令,了解是否有任一種設定阻止原則的套用。若要更深入了解套用的原則結果集,您可以使用 Gpresult 命令加上 /v 參數,就會提供詳細輸出。
ADM 範本的問題
當您嘗試在 [系統管理範本] 區段下設定 GPO 的設定時,所使用的是 ADM 範本。除了作業系統所附的 ADM 範本之外,您可以自訂自己的範本,在 GPO 中使用。ADM 範本中的程式碼會在群組原則編輯器的系統管理範本節點下建立資料夾和原則。不過 ADM 範本若是損毀、遺漏或未正確設定,則很可能在編輯器中看不到部分或全部的設定。以下是使用 ADM 範本時要防範的一些其他問題。
遺漏 ADM 範本 您在編輯 GPO 時若發現自訂 ADM 範本中有些設定未在編輯器中顯示,就必須將 ADM 範本匯入 GPO 中。若要匯入,只需在編輯器中的 [系統管理範本] 節點上按一下滑鼠右鍵,然後選取 [新增/移除範本] 即可。
遺漏偏好設定 自訂 GPO 中可以建立兩種設定:偏好設定和原則。原則是預設的 Microsoft 設定,全都屬於登錄中四種子機碼之一,每一個都以「Policies」文字結尾。偏好設定是「舊式」的登錄修改,不屬於四種子機碼的任一種,而且設定之後就很難改變。根據預設,這些偏好設定不會在編輯器中顯示。您必須加以啟用相關設定才能使它們顯示,這可以在工具列的 [檢視] 功能表下啟用。從 [檢視] 功能表中選取 [篩選],然後勾選 [只顯示可以完全管理的原則設定] 核取方塊。這會立即顯示已經匯入之自訂 ADM 範本中所設定的偏好設定。
好用的工具
有許多工具可以協助您追蹤群組原則的問題。有些工具已內建在作業系統中,有些則可下載安裝。接下來我要討論適當的工具,讓您能夠選擇適合自己工作的工具。
Dcgpofix 有時候您會遇到與下列兩種預設 GPO 之一有關的問題:預設網域原則和預設網域控制站原則。如果其中一個或兩個 GPO 都損毀、已經過多次組態變更而無法修正,或者發生其他一些未知的問題,您就可以使用 dcgpofix 工具將其還原至預設狀態。此工具包含在 Windows Server® 2003 中。請勿在 Windows 2000 網域控制站上使用,如有需要,請改用 Recreatedefpol。而且請記住,如果使用此工具,所有的自訂設定都會遺失。
Recreatedefpol 此工具類似於 Dcgpofix,不過是供 Windows 2000 伺服器使用。它可以將兩個預設的 GPO 還原為最近的安裝狀態。此工具只應在損毀修復的情況下使用,請勿用於 GPO 的日常維護。您可以從這裡下載此工具 (英文)。
事件檢視器 事件檢視器有許多關於群組原則的資訊。較不方便的是,您必須檢查所有不同的記錄檔,以尋找群組原則的項目。您可以在其中找到關於原則套用、原則複寫及原則重新整理的項目,全都對您追查問題很有幫助。事件記錄檔中不一定都能找到有關特定群組原則錯誤的資訊,但是請記住,若是遇到您無法查明的問題,都可以到 TechNet 搜尋。
Gpresult 此工具只能以本機模式在目標電腦上執行,不過它提供原則結果組 (RSoP)、封鎖的 GPO、GPO 的權限,以及其他許多的相關資訊。使用此命令時只要加上 /v 參數,就會顯示影響電腦之 GPO 的相關資訊,以及與目前登入工作階段關聯之使用者帳戶的相關資訊。
Gpupdate 如果您正在實作新的 GPO 設定,或者想要確定所有 GPO 處理都已執行,則可以使用 Gpupdate 工具。這是作業系統 (Windows XP 或以上) 所附的命令列工具。執行此命令時會觸發背景重新整理,這會套用與此種重新整理相關的所有 GPO 設定。如果加上 /force 參數,即使自上次重新整理之後並沒有任何 GPO 變更,它仍會重新套用所有的 GPO 設定。在執行 Gpresult 命令之前執行此命令,是追查 GPO 問題的一種很有效的方法。
Gpotool 由於 GPO 是從最初發生 GPO 變更的網域控制站複寫到其他所有的網域控制站,因此有可能發生複寫失敗或無法有效交集。如此一來會造成不一致,或者無法正確地將變更套用至目標電腦。Gpresult 和 RSOP 等工具可以幫助判斷哪些 GPO 已套用,而此工具 (Gpotool) 則可協助您判斷每個網域控制站上的 GPO 是否一致。此工具會包含在 Windows Server 2003 Resource Kit 中,您可以從 go.microsoft.com/fwlink/?LinkId=77613 下載。
Replmon 針對從某個網域控制站複寫 GPO 到另一個網域控制站的問題進行疑難排解時,一定要知道可使用哪些工具幫助修復正常的複寫功能。因為 GPO 有兩個部分必須複寫,所以有兩個部分需要處理。第一部分是每個網域控制站上之 SYSVOL 的內容,這是由檔案複寫服務 (FRS) 控制。此一複寫並沒有太多的控制選項,只能啟用和停用服務以協助觸發複寫間隔。GPO 的另一部分儲存在 Active Directory 中,是由 Active Directory 複寫控制。藉由使用 Active Directory 站台和服務,即可在同一個 Active Directory 站台中的各網域控制站之間控制複寫作業。但是,您如果需要觸發不同 Active Directory 站台中、各網域控制站之間的複寫,則必須使用 Replmon 之類的工具。Replmon 可以跨越站台界限強制複寫 Active Directory 資料庫,而 Active Directory 站台和服務則不能。因此,儲存在 Active Directory 中的群組原則資訊如果有不符的情形時,可以使用 Replmon 觸發複寫程序,讓該資訊在每個網域控制站上交集。Replmon 會包含在 Resource Kit 和 Windows XP 支援工具中。您可以從 go.microsoft.com/fwlink/?LinkId=77614 下載。
RSOP RSOP 和命令列工具 Gpresult 很類似,它提供的圖形介面可讓使用者檢查所有 GPO 已套用的設定。RSOP.MSC 是 Windows XP Professional 和 Windows Server 2003 的內建工具。此工具使用類似於群組原則物件編輯器的格式,提供您所有已套用原則設定的結果,如 [圖 5] 所示。
圖 5** 原則結果組工具 **
總結
群組原則問題的疑難排解很不容易。事實上,如同本文所述,群組原則可能非常複雜。如果您要進行疑難排解,必須了解群組原則的核心架構和整體處理流程。您也必須了解更新、複寫、處理及套用 GPO 的方式。如果您清楚掌握上述所有概念,則任何群組原則問題的疑難排解就會容易許多。遵循本文提供的指導方針並適當地使用工具,您就能處理可能遇到的所有群組原則問題。
Derek Melber 是 DesktopStandard 的教育、憑證及符合性解決方案經理。DesktopStandard 是 Microsoft 完全擁有的子公司。Derek 是 Microsoft Windows Group Policy Guide (Microsoft Press,2005) 的合著者。他也寫過一系列稽核 Windows 安全性的書籍 (www.theiia.org (英文))。他的連絡方式為:derekm@desktopstandard.com。
© 2008 Microsoft Corporation and CMP Media, LLC. 保留所有權利;未經允許,嚴禁部分或全部複製.