Solución de problemas de aplicación de la directiva de grupos

Seleccione idioma Seleccione idioma
Id. de artículo: 250842 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

En esta página

Resumen

En este artículo se describen los procedimientos de solución de problemas para el proceso de directivas de grupo en un equipo cliente de Windows 2000. Esto podría incluir una configuración incorrecta o incompleta de la directiva o no aplicar la directiva en el equipo o usuario.

Antes de seguir los pasos de este artículo, debería conocer la información contenida en los artículos de Microsoft Knowledge Base siguientes:
216357 Identificar las extensiones de cliente de la directiva de grupo
228460 Ubicación de los archivos ADM (Plantilla administrativa) en Windows 2000
216358 Solución de problemas del comportamiento de las extensiones de cliente de la directiva de grupo

Más información

  1. Habilite el registro de depuración detallado en el equipo cliente de Windows 2000 con las instrucciones explicadas en el artículo de Microsoft Knowledge Base siguiente:
    221833 Cómo habilitar el registro de depuración del entorno de usuario en versiones comerciales de Windows 2000
    Un archivo de registro (Userenv.log) se genera en la carpeta Winnt\Debug\UserMode y normalmente señala a la causa raíz de un error general para enumerar la lista de objetos de directiva de grupo (GPO) que se aplican al usuario. La información mínima sobre el estado de cada extensión de directiva de grupo (DLL que realiza un tipo específico de aplicación de la directiva, como Seguridad, Redireccionamiento de carpetas, etcétera) que aplica la directiva también se guarda en el archivo Userenv.log, pero para la información detallada sobre cada extensión hay otra opción que habilita el registro específico de esos componentes (se describe después en este artículo).
  2. Compruebe la conectividad y la resolución de DNS. Si la conectividad a los controladores de dominio está produciendo el problema, el registro de depuración normalmente detecta el problema y registra las ubicaciones concretas en Active Directory y en los recursos compartidos de red donde Windows 2000 está intentando obtener acceso a los datos.

    Las utilidades de soporte técnico de Windows 2000, Dcdiag.exe y Netdiag.exe, se utilizan para probar la conectividad de red y la resolución de DNS. Dcdiag.exe se utiliza para probar controladores de dominio. Netdiag.exe se utiliza para probar estaciones de trabajo y servidores. Para ejecutar Dcdiag.exe, escriba dcdiag /v en el símbolo del sistema en un controlador de dominio. Para ejecutar Netdiag.exe, escriba netdiag /v en el símbolo del sistema en una estación de trabajo o servidor miembro.

    Para obtener más información sobre Dcdiag.exe y Netdiag.exe, vea la Ayuda de las herramientas de soporte técnico de Windows 2000 o haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
    265706 En Windows 2000 DCDiag y NetDiag facilitan la creación de controladores de dominio y unirse a ellos
  3. Compruebe que la directiva de grupo se debe aplicar al cliente. Windows 2000 determina qué tipo de directiva se aplica, si es de nivel inferior (Ntconfig.pol en Microsoft Windows NT 4.0) o Directiva de grupo, en función de la ubicación del equipo y la cuenta de usuario.
  4. Utilice Gpresult.exe del Kit de recursos de Microsoft Windows 2000. Preste especial atención al orden en el que se aplican los GPO. Si se especifica la misma configuración en varios GPO, las opciones aplicadas más tarde en el proceso (más abajo en los archivos de registro) están autorizadas y reemplazan la configuración de los GPO más altos en la lista.
  5. Utilice Gpotool.exe para determinar si hay alguna incoherencia entre Active Directory y las versiones de SYSVOL del mismo GPO a través de los controladores de dominio del mismo nivel. Esta información puede ayudarle a determinar si la latencia de replicación está haciendo que el cliente de Windows 2000 no reciba la directiva correcta. Si piensa que éste es el caso, utilice Replmon.exe y Repadmin.exe (ambos del conjunto de Herramientas de soporte de Windows 2000) para determinar los asociados de replicación para el controlador de dominio que el cliente utilizó como origen de la directiva de grupo y determinar si la replicación está teniendo éxito.
  6. Compruebe en el archivo Userenv.log que el Nombre distinguido (DN) del equipo o usuario se ha determinado. Si Windows 2000 no determina el DN, no puede analizar correctamente Active Directory para determinar qué GPO se aplican al usuario o equipo.
  7. Vea el archivo Userenv.log. Las entradas para cada GPO que se evalúa se registran en este archivo. Determine si se está omitiendo algún GPO porque el usuario no tiene los permisos apropiados en él (el usuario debería tener los permisos para leer y aplicar directivas de grupo).
  8. Determine si el procesamiento de bucle invertido está en vigor. Esto hace que los componentes de usuario de los GPO que se aplican al equipo se apliquen al usuario. Para determinar esto, busque una línea en el archivo Userenv.log que se parezca al ejemplo siguiente:
    USERENV(e8.128) 15:46:17:234 ProcessGPOs: Calling GetGPOInfo for normal policy mode
    						
    NOTA
    En este ejemplo, se aplican las reglas normales de procesamiento de directivas.
  9. Si el equipo cliente ejecuta Servicios de Terminal Server, ciertos tipos de directiva (específicamente, la implementación de aplicaciones) deshabilitan la asignación de aplicaciones.
  10. Si la implementación de aplicaciones no funciona, haga lo siguiente:

    1. Habilite el registro de Windows Installer siguiendo las instrucciones del artículo de Microsoft Knowledge Base siguiente:
      223300 Cómo habilitar el registro de Windows Installer en Windows 2000
    2. Habilite el procesamiento de directivas de administración de aplicaciones con las instrucciones del artículo de Microsoft Knowledge Base siguiente:
      246509 Solución de problemas de implementación de programas utilizando un registro detallado
    Estos registros pueden mostrar clientes que no pueden localizar la ruta de acceso de la instalación especificados para el programa que desea instalar.
  11. No todos los tipos de directiva se aplican durante una actualización en segundo plano de directivas de grupo. Para hacer que se vuelvan a aplicar todos los tipos de directiva, debe reiniciar el equipo o el usuario debe cerrar sesión e iniciarla de nuevo, en función de si se aplica la directiva del equipo o del usuario, respectivamente.

Si tiene que llamar a los servicios de soporte técnico de Microsoft

Si tiene que llamar a los Servicios de soporte técnico de Microsoft, es importante proporcionar la información siguiente al profesional que le atienda:
  • El archivo Userenv.log de la carpeta Winnt\Debug\UserMode.
  • La salida "gpresult.exe /s" redirigida a un archivo de texto (ejecutado en el equipo cliente de Windows 2000).
  • La salida de "gpotool.exe /verbose" redirigida a un archivo (ejecutado en el controlador de dominio de Windows 2000).
  • LA salida de "netdiag.exe /v /I", que produce un archivo denominado Netdiag.log (ejecutado en el equipo cliente de Windows 2000).
Si conoce el tipo de directiva o el GPO concreto que no se aplica, la información adicional siguiente también es útil (depende del tipo de directiva):

Si la directiva de seguridad no funciona

Determine el GUID del GPO que no funciona con los pasos del artículo de Microsoft Knowledge Base siguiente:
216359 Cómo identificar objetos de directiva de grupo en Active Directory y SYSVOL
Recuerde que para la mayoría de las opciones de configuración de seguridad, la configuración de prioridad máxima impera y no es acumulativa. Busque el archivo Gpttmpl.inf que se encuentra en la carpeta SYSVOL correspondiente, bajo Machine\Microsoft\Windows NT\SecEdit. Éste es el archivo que tiene la configuración de seguridad aplicada por la directiva de grupo para un GPO determinado.

Si la directiva de Registro o software no funciona

  1. Determine el GUID del GPO que no funciona con los pasos del artículo de Microsoft Knowledge Base siguiente:
    216359 Cómo identificar objetos de directiva de grupo en Active Directory y SYSVOL
  2. Busque el archivo Registry.pol en la carpeta de equipo o usuario de la carpeta del GPO correspondiente en SYSVOL.

Si la directiva de administración de aplicaciones no funciona

  1. Habilite el registro de Windows Installer siguiendo las instrucciones del artículo de Microsoft Knowledge Base siguiente:
    223300 Cómo habilitar el registro de Windows Installer en Windows 2000
  2. Habilite el procesamiento de directivas de administración de aplicaciones con las instrucciones del artículo de Microsoft Knowledge Base siguiente:
    246509 Solución de problemas de implementación de programas utilizando un registro detallado
    NOTA
    Revise primero los archivos de registro del motor de la directiva de administración de aplicaciones para determinar si los programas que desea que se instalen tienen que determinarse y controlarse con Windows Installer. Los archivos de registro de Installer contiene un historial de los procedimientos de instalación que tuvieron lugar durante la instalación del programa.

Si la directiva de inicio de sesión, cierre de sesión, secuencia de comandos de inicio o apagado no funciona

Con la salida de Gpresult, determine qué GPO tenían secuencias de comandos configuradas para ejecutarse y el GUID de cada GPO siguiendo los pasos del artículo de Microsoft Knowledge Base siguiente:
216359 Cómo identificar objetos de directiva de grupo en Active Directory y SYSVOL
Busque la carpeta de secuencias de comandos para cada GPO en SYSVOL y compruebe que las secuencias de comandos configuradas para ejecutarse se han replicado en el controlador de dominio utilizado como origen para la directiva.

Si la directiva de redireccionamiento de carpetas no funciona

Con la salida de Gpresult, determine qué GPO (si hay alguno) tenía la directiva de redireccionamiento de carpetas. Si hay una directiva en vigor que debería estar afectando al usuario pero las carpetas no están siendo redirigidas, es posible que un GPO no se aplicara debido a que el usuario no tuviera los permisos apropiados para él.

Si el GPO está deshabilitado o se ha eliminado pero el redireccionamiento de carpetas todavía está en vigor después de una actualización de la directiva, siga estos pasos (si GPO está disponible todavía):
  1. Abra el GPO.
  2. Haga clic con el botón secundario del mouse (ratón) en la carpeta que se redirigió y, después, haga clic en Propiedades.
  3. En la ficha Configuración, identifique si la opción Devolver la carpeta redirigida a su configuración anterior está seleccionada.

Propiedades

Id. de artículo: 250842 - Última revisión: lunes, 07 de noviembre de 2005 - Versión: 4.0
La información de este artículo se refiere a:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Datacenter Server
Palabras clave: 
kbenv kbinfo KB250842

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com