Устранение неполадок, связанных с применением групповой политики

Переводы статьи Переводы статьи
Код статьи: 250842 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

В этой статье

Аннотация

В статье рассматривается устранение неполадок, возникающих при применении групповой политики на клиентском компьютере под управлением Windows 2000, включая неверные или неполные параметры политики или отсутствие примененной к компьютеру или пользователю политики.

Перед выполнением действий, рассмотренных в данной статье, ознакомьтесь с содержимым следующих статей базы знаний Майкрософт:
216357 Идентификация клиентских расширений групповой политики (эта ссылка может указывать на содержимое полностью или частично на английском языке)
228460 Местонахождение файлов административных шаблонов (ADM) в Windows 2000 (эта ссылка может указывать на содержимое полностью или частично на английском языке)
216358 Устранение неполадок, связанных с клиентскими расширениями групповой политики (эта ссылка может указывать на содержимое полностью или частично на английском языке)

Дополнительная информация

  1. Включите подробное ведение журнала отладки на клиентском компьютере под управлением Windows 2000, выполняя инструкции следующей статьи базы знаний Майкрософт:
    221833 Включение журнала отладки пользовательского окружения в розничных версиях Windows
    В папке Winnt\Debug\UserMode генерируется файл журнала (Userenv.log), который, как правило, указывает на основную причину проблемы с созданием списка объектов групповой политики, примененных к пользователю. В файле Userenv.log также содержатся минимальные сведения о состоянии каждого из расширений групповой политики (библиотеки DLL, предназначенной для применения определенного типа политики, например политики безопасности, перенаправления папок и т.п.), однако для подробной регистрации соответствующих сведений о каждом расширении необходимо использовать другие параметры (см. далее).
  2. Проверьте возможность подключения и разрешение DNS. При проблемах с подключением к контроллерам домена в журнале отладки обычно регистрируются записи с указанием размещений в службе каталогов Active Directory и общих сетевых папках, к содержимому которых Windows 2000 пытается получить доступ.

    Для проверки возможности подключения и разрешения имен DNS в Windows 2000 используются два средства – Dcdiag.exe и Netdiag.exe. Средство Dcdiag.exe предназначено для проверки контроллеров домена, а Netdiag.exe – для проверки рабочих станций и серверов. Чтобы запустить Dcdiag.exe, введите dcdiag /v в командной строке на контроллере домена. Чтобы запустить Netdiag.exe, введите netdiag /v в командной строке на рабочей станции или рядовом сервере.

    Дополнительные сведения о средствах Dcdiag.exe и Netdiag.exe см. в справке по средствам поддержки Windows 2000 или в следующей статье базы знаний Майкрософт:
    265706 DCDiag и NetDiag в Windows 2000 облегчают объединение доменов и создание контроллера домена (DC) (эта ссылка может указывать на содержимое полностью или частично на английском языке)
  3. Проверьте, следует ли применить групповую политику к клиенту. Windows 2000 определяет тип политики, который необходимо применить, а также следует ли применить групповую политику или политику более ранней версии (Ntconfig.pol в Microsoft Windows NT 4.0), основываясь на местоположении компьютера и учетной записи пользователя.
  4. Воспользуйтесь средством Gpresult.exe из состава пакета Microsoft Windows 2000 Resource Kit. Обратите особое внимание на порядок, в котором применяются объекты групповой политики. Если один и тот же параметр задается в нескольких объектах групповой политики, те объекты, которые были применены позже (ближе к концу файла журнала) имеют приоритет и заменяют настройки, которые расположены ближе к началу файла журнала.
  5. Воспользуйтесь средством Gpotool.exe, чтобы выявить несоответствие версий одного и того же объекта групповой политики в Active Directory и SYSVOL на всех равноправных контроллерах домена. Эти сведения помогут определить, является ли причиной отсутствия правильной политики на клиентском компьютере Windows 2000 задержка репликации. При возникновении подобных подозрений воспользуйтесь средствами Replmon.exe и Repadmin.exe (из состава пакета средств поддержки Windows 2000) для определения партнеров репликации для контроллера домена, используемого клиентским компьютером в качестве источника групповой политики, а также для определения успешности процесса репликации.
  6. С помощью файла Userenv.log убедитесь, что различающееся имя (DN) компьютера или пользователя определяется. Если Windows 2000 не определяет DN, система не сможет правильно выполнить разбор Active Directory для определения объектов групповой политики, которые необходимо применить к пользователю или компьютеру.
  7. Просмотрите файл Userenv.log. В этом файле содержатся записи для каждого оцененного объекта групповой политики. Определите, не пропущены ли некоторые объекты групповой политики вследствие того, что пользователь не имеет соответствующих разрешений на этот объект групповой политики (пользователь должен иметь разрешения на «Чтение» и «Применение групповой политики»).
  8. Определите, не задействуется ли замыкание на себя. В таком случае пользовательские компоненты объектов групповой политики, применяемые к компьютеру, также применяются к пользователю. Для этого проверьте файл Userenv.log на наличие строки, которая выглядела бы следующим образом:
    USERENV(e8.128) 15:46:17:234 ProcessGPOs: Calling GetGPOInfo for normal policy mode
    						
    Примечание. В данном примере применяются обычные правила обработки политики.
  9. Если на клиентском компьютере запущены службы терминалов, определенные типы политики (развертывание приложений) отключают назначение приложений.
  10. Если развертывание приложений не работает, выполните следующие действия:

    1. Включите протоколирование работы установщика Windows, выполняя инструкции следующей статьи базы знаний:
      223300 Как включить протоколирование работы установщика Windows в Windows 2000 (эта ссылка может указывать на содержимое полностью или частично на английском языке)
    2. Включите обработку политики управления приложениями, выполняя инструкции следующей статьи базы знаний:
      246509 Устранение неполадок, возникающих при развертывании программ, с помощью подробного протоколирования (эта ссылка может указывать на содержимое полностью или частично на английском языке)
    В этих журналах могут указываться клиенты, которые не могут обнаружить путь, указанный программой, которую необходимо установить.
  11. Не все типы политики применяются во время фонового обновления групповой политики. Для принудительного повторного применения всех типов политики необходимо перезагрузить компьютер, либо пользователь должен завершить сеанс работы и повторно войти в систему, в зависимости от того, применяется ли политика компьютера или политика пользователя соответственно.

Перед тем как обратиться в службу поддержки продуктов Майкрософт

Перед тем как обратиться в службу поддержки продуктов Майкрософт, подготовьте следующие материалы:
  • Файл Userenv.log из папки Winnt\Debug\UserMode.
  • Результат выполнения команды «gpresult.exe /s» на клиентском компьютере Windows 2000 в виде текстового файла.
  • Результат выполнения команды «gpotool.exe /verbose» на контроллере домена Windows 2000 в виде текстового файла.
  • Результат выполнения команды «netdiag.exe /v /l» на клиентском компьютере Windows 2000 в виде файла с именем Netdiag.log.
Если известен тип политики или определенный объект групповой политики, который не применяется, следующая информация также может оказаться полезной (в зависимости от типа политики):

Не работает политика безопасности

Определите код GUID неработающего объекта групповой политики, выполняя инструкции, приведенные в следующей статье базы знаний Майкрософт:
216359 Идентификация объектов групповой политики в Active Directory и SYSVOL (эта ссылка может указывать на содержимое полностью или частично на английском языке)
Следует иметь в виду, что для большинства параметров безопасности параметры с наивысшим приоритетов не являются кумулятивными. Найдите файл Gpttmpl.inf в соответствующей папке SYSVOL (Machine\Microsoft\Windows NT\SecEdit). В этом файле содержатся параметры безопасности, примененные групповой политикой для данного объекта групповой политики.

Не работает политика реестра и программного обеспечения

  1. Определите код GUID неработающего объекта групповой политики, выполняя инструкции, приведенные в следующей статье базы знаний Майкрософт:
    216359 Идентификация объектов групповой политики в Active Directory и SYSVOL (эта ссылка может указывать на содержимое полностью или частично на английском языке)
  2. Найдите файл Registry.pol в папке Machine или User в папке соответствующего объекта групповой политики в SYSVOL.

Не работает политика управления приложениями

  1. Включите протоколирование работы установщика Windows, выполняя инструкции следующей статьи базы знаний:
    223300 Как включить протоколирование работы установщика Windows в Windows 2000 (эта ссылка может указывать на содержимое полностью или частично на английском языке)
  2. Включите обработку политики управления приложениями, выполняя инструкции следующей статьи базы знаний:
    246509 Устранение неполадок, возникающих при развертывании программ, с помощью подробного протоколирования (эта ссылка может указывать на содержимое полностью или частично на английском языке)
    Примечание. Сначала просмотрите файлы журнала политики управления приложениями и определите, передаются ли программы, которые необходимо установить, установщику Windows. Файлы журнала установщика содержат записи об операциях, выполняемых в процессе установки программы.

Не работает политика сценариев входа в систему, выхода из системы, запуска и завершения работы компьютера

С помощью Gpresult определите, какие объекты групповой политики запускают сценарии, а затем определите код GUID каждого объекта групповой политики, выполняя инструкции следующей статьи базы знаний Майкрософт:
216359 Идентификация объектов групповой политики в Active Directory и SYSVOL (эта ссылка может указывать на содержимое полностью или частично на английском языке)
Найдите папку Scripts для каждого объекта групповой политики в SYSVOL и убедитесь, что сценарии, которые должны выполняться, реплицированы на контроллер домена, используемый в качестве источника политики.

Не работает политика перенаправления папок

С помощью Gpresult определите, какие объекты групповой политики имеют политику перенаправления папок (если таковые имеются). Если политика находится в таком месте, которое должно влиять на пользователя, но перенаправление папок не выполняется, возможно, объект групповой политики не был применен, так как пользователь не обладает необходимыми разрешениями для этого объекта.

Если перенаправление папок продолжает выполняться после удаления объекта групповой политики и последующего обновления политики, выполните следующие действия (если объект групповой политики еще доступен):
  1. Откройте объект групповой политики.
  2. Щелкните перенаправленную папку правой кнопкой мыши и выберите команду Свойства.
  3. На вкладке Параметры определите, выбран ли параметр Вернуть перенаправленную папку в предыдущее состояние.

Свойства

Код статьи: 250842 - Последний отзыв: 10 марта 2006 г. - Revision: 4.0
Информация в данной статье применима к:
  • операционная система Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Операционная система Microsoft Windows 2000 Professional
  • Microsoft Windows 2000 Datacenter Server
Ключевые слова: 
kbenv kbinfo KB250842

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com