Rozwiązywanie problemów ze stosowaniem zasad grupy

Streszczenie

W tym artykule są opisane procedury rozwiązywania problemów z przetwarzaniem zasad grupy na komputerze klienckim z systemem Windows 2000. Do problemów tych należą nieprawidłowe lub niepełne ustawienia zasad albo niestosowanie zasad do komputera lub do użytkownika.


Przed wykonaniem kroków z tego artykułu należy zapoznać się z informacjami zawartymi w następujących artykułach z bazy wiedzy Microsoft Knowledge Base:
216357 Identifying Group Policy Client-Side Extensions
228460 Location of ADM (Administrative Template) Files in Windows 2000
216358 Troubleshooting Group Policy Client-Side Extension Behavior
Należy również przeczytać podręcznik w następującej witrynie sieci Web firmy Microsoft:

Więcej informacji

 1. Włącz pełne rejestrowanie procesu debugowania na komputerze klienckim z systemem Windows 2000, wykonując instrukcje podane w następującym artykule z bazy wiedzy Microsoft Knowledge Base:
  221833 Jak włączyć rejestrowanie debugowania środowiska użytkownika w detalicznych kompilacjach systemu Windows
  W folderze Winnt\Debug\UserMode zostanie wygenerowany plik dziennika Userenv.log. Jako główną przyczynę błędu ogólnego wskazuje on zazwyczaj niemożność wyliczenia obiektów zasad grupy (GPO), które odnoszą się do użytkownika. W pliku Userenv.log jest wprawdzie rejestrowana także minimalna ilość informacji o stanie każdego rozszerzenia zasad grupy (czyli biblioteki DLL, która odpowiada za stosowanie zasady określonego typu, np. zabezpieczeń, ograniczeń w dostępie do folderów itd.), jednak aby uzyskać pełne informacje o każdym rozszerzeniu, należy zastosować inne ustawienia, które włączają rejestrowanie informacji specyficznych dla poszczególnych składników (opis znajduje się dalej w tym artykule).
 2. Sprawdź łączność i skuteczność rozwiązywania nazw DNS. Jeżeli źródłem problemu jest łączność z kontrolerami domeny, problem zostaje zazwyczaj odnotowany w dzienniku debugowania. Rejestrowane są poszczególne lokacje w usłudze Active Directory i udziałach sieciowych, w których system Windows 2000 usiłuje uzyskać dostęp do danych.


  Pomocnicze programy narzędziowe systemu Windows 2000, Dcdiag.exe i Netdiag.exe, służą do testowania łączności sieciowej i skuteczności rozwiązywania nazw DNS. Program Dcdiag.exe służy do testowania kontrolerów domeny, natomiast program Netdiag.exe jest przeznaczony do testowania stacji roboczych i serwerów. Aby uruchomić program Dcdiag.exe, wpisz
  dcdiag /v
  w wierszu polecenia na kontrolerze domeny. Aby uruchomić program Netdiag.exe, wpisz
  netdiag /v
  w wierszu polecenia na stacji roboczej lub serwerze członkowskim.


  Aby uzyskać więcej informacji na temat programów Dcdiag.exe i Netdiag.exe, zobacz Pomoc do narzędzi systemu Windows 2000 albo kliknij numer artykułu poniżej w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
  265706 DCDiag and NetDiag in Windows 2000 Facilitate Join and DC Creation
 3. Sprawdź, czy do klienta powinny być stosowane zasady grupy. System Windows 2000 określa, jakiego typu zasady należy stosować, a także odróżnia zasady niskiego poziomu (Ntconfig.pol w systemie Microsoft Windows NT 4.0) od zasad grupy na podstawie lokalizacji komputera i konta użytkownika. Więcej informacji na temat możliwych przebiegów tego procesu można odnaleźć w następującej witrynie sieci Web firmy Microsoft:
 4. Użyj programu Gpresult.exe z pakietu Microsoft Windows 2000 Resource Kit. Zwróć szczególną uwagę na kolejność stosowania obiektów GPO. Gdy to samo ustawienie jest określone w wielu obiektach GPO, wtedy to spośród nich, które w procesie jest stosowane później (występuje bliżej końca dziennika) jest decydujące i zastępuje ustawienia z obiektów GPO znajdujących się wyżej na liście.
 5. Użyj programu Gpotool.exe, aby określić, czy występuje niezgodność wersji między usługą Active Directory i folderem SYSVOL w tym samym obiekcie GPO na równorzędnych kontrolerach domeny. Informacje te mogą pomóc w określeniu, czy to, że klient Windows 2000 nie otrzymuje prawidłowych zasad, wynika z opóźnienia replikacji. Mając podejrzenia, że jest tak rzeczywiście, użyj programów Replmon.exe i Repadmin.exe (obydwa należą do zestawu Narzędzi pomocniczych systemu Windows 2000), aby określić komputery będące partnerami replikacji dla kontrolera domeny, którego klient użył jako źródła zasad grupy, i sprawdzić, czy replikacja przebiega prawidłowo.
 6. Sprawdź w pliku Userenv.log, czy istnieje określona nazwa wyróżniająca (DN) komputera lub użytkownika. Jeżeli system Windows 2000 nie określa nazwy DN, nie może prawidłowo przeanalizować wpisów Active Directory, aby na tej podstawie określić, które obiekty GPO zastosować do użytkownika albo komputera.
 7. Wyświetl plik Userenv.log. W pliku tym są rejestrowane wpisy dotyczące każdego branego pod uwagę obiektu GPO. Sprawdź, czy żaden z obiektów GPO nie został pominięty, ponieważ użytkownik nie miał do niego wystarczających uprawnień (użytkownik powinien mieć uprawnienia do odczytu i stosowania zasad grupy).
 8. Sprawdź, czy działa przetwarzanie ze sprzężeniem zwrotnym. W jego efekcie składniki użytkownika obiektów GPO, które odnoszą się do komputera, są stosowane do użytkownika. Aby to sprawdzić, odszukaj w pliku Userenv.log wiersz wyglądający podobnie jak w następującym przykładzie:

  USERENV(e8.128) 15:46:17:234 ProcessGPOs: Calling GetGPOInfo for normal policy mode
  UWAGA: W tym przykładzie obowiązuje przetwarzanie zasad w trybie normalnym.
 9. Gdy na komputerze klienckim uruchomione są usługi terminalowe, wówczas niektóre rodzaje zasad (zwłaszcza wdrażania aplikacji) powodują wyłączenie przypisywania aplikacji.
 10. Jeżeli wdrażanie aplikacji nie następuje, należy wykonać następujące czynności:


  1. Włącz dziennik Instalatora systemu Windows, wykonując instrukcje z następującego artykułu w bazie wiedzy Microsoft Knowledge Base:
   223300 How to Enable Windows Installer Logging in Windows 2000
  2. Włącz przetwarzanie zasad zarządzania aplikacją, wykonując instrukcje z następującego artykułu w bazie wiedzy Microsoft Knowledge Base:
   246509 Troubleshooting Program Deployment By Using Verbose Logging
  W dziennikach tych można odszukać wykaz klientów, którzy nie mogą odnaleźć ścieżki instalacyjnej, określonej dla instalowanego programu.
 11. Jeżeli zasady grupy są odświeżane w tle, nie wszystkie ich typy są stosowane. Aby wymusić ponowne zastosowanie zasad wszystkich typów, należy ponownie uruchomić komputer albo też użytkownik musi się wylogować i zalogować jeszcze raz. Zależy to od tego, czy stosowane zasady obowiązują na komputerze czy dotyczą użytkownika.

W razie konieczności skontaktowania się z Pomocą techniczną firmy Microsoft

Zamierzając skontaktować się z Pomocą techniczną firmy Microsoft, należy przygotować dla jej pracownika następujące informacje:
 • Plik Userenv.log z folderu Winnt\Debug\UserMode.
 • Wynik polecenia „gpresult.exe /s” przekierowany do pliku tekstowego (uruchamiać na komputerze klienckim Windows 2000).
 • Wynik polecenia „gpotool.exe /verbose” przekierowany do pliku tekstowego (uruchamiać na kontrolerze domeny Windows 2000).
 • Wynik polecenia „netdiag.exe /v /l” znajdujący się w pliku o nazwie Netdiag.log (uruchamiać na komputerze klienckim Windows 2000).
Jeżeli jest znany typ zasady albo określony obiekt GPO, które nie są stosowane, pomocne są również niżej wymienione informacje dodatkowe (zależne od rodzaju zasady).

Jeżeli nie działają zasady zabezpieczeń

Określ identyfikator GUID obiektu GPO, który nie jest uwzględniany, wykonując kroki z następującego artykułu w bazie wiedzy Microsoft Knowledge Base:
216359 How to Identify Group Policy Objects in the Active Directory and SYSVOL
Pamiętaj, że w przypadku większości ustawień zabezpieczeń nie działają one łącznie, lecz decydują ustawienia o najwyższym priorytecie. Odszukaj plik Gpttmpl.inf w odpowiednim podfolderze SYSVOL folderu Machine\Microsoft\Windows NT7\SecEdit. Jest to plik zawierający ustawienia zabezpieczeń, stosowane przez zasady grupy do określonego obiektu GPO.

Jeżeli nie działają zasady rejestru lub oprogramowania

 1. Określ identyfikator GUID obiektu GPO, który nie jest uwzględniany, wykonując kroki z następującego artykułu w bazie wiedzy Microsoft Knowledge Base:
  216359 How to Identify Group Policy Objects in the Active Directory and SYSVOL
 2. Odszukaj plik Registry.pol w podfolderze Machine lub User odpowiedniego folderu obiektu GPO w woluminie SYSVOL.

Jeżeli nie działają zasady zarządzania aplikacją

 1. Włącz dziennik Instalatora systemu Windows, wykonując instrukcje z następującego artykułu w bazie wiedzy Microsoft Knowledge Base:
  223300 How to Enable Windows Installer Logging in Windows 2000
 2. Włącz przetwarzanie zasad zarządzania aplikacją, wykonując instrukcje z następującego artykułu w bazie wiedzy Microsoft Knowledge Base:
  246509 Troubleshooting Program Deployment By Using Verbose Logging
  UWAGA: Najpierw przejrzyj pliki dziennika aparatu zasad zarządzania aplikacją, aby określić, czy programy, które chcesz zainstalować, są przekazywane do Instalatora systemu Windows. Pliki dziennika Instalatora przechowują rejestr procedur instalacji, które wykonano podczas instalowania programu.

Jeżeli nie działają zasady skryptów logowania, wylogowywania, uruchamiania lub zamykania

Na podstawie wyniku polecenia Gpresult ustal, które obiekty GPO miały skrypty skonfigurowane, tak aby się uruchamiały, i określ identyfikator GUID każdego obiektu GPO, wykonując kroki z następującego artykułu w bazie wiedzy Microsoft Knowledge Base:
216359 How to Identify Group Policy Objects in the Active Directory and SYSVOL
Odszukaj folder skryptów każdego obiektu GPO w woluminie SYSVOL i sprawdź, czy skrypty skonfigurowane, tak aby się uruchamiały, zostały zreplikowane na kontrolerze domeny, używanym jako źródło zasad.

Jeżeli nie działają zasady przekierowania folderów

Na podstawie wyniku polecenia Gpresult ustal, w których obiektach GPO (jeżeli w ogóle) zapisano zasady przekierowania folderów. Jeżeli istnieje zasada, która powinna obowiązywać użytkownika, ale foldery nie są przekierowywane, być może obiekt GPO nie został zastosowany, ponieważ uprawnienia użytkownika do obiektu GPO nie były wystarczające.


Jeżeli obiekt GPO jest wyłączony albo usunięty, ale pomimo odświeżenia zasad wciąż następuje przekierowanie folderu, wykonaj następujące kroki (jeżeli obiekt GPO jest nadal dostępny):
 1. Otwórz obiekt GPO.
 2. Kliknij przekierowany folder prawym przyciskiem myszy, a następnie kliknij polecenie Właściwości.
 3. Na karcie Ustawienia sprawdź, czy opcja
  Przywróć przekierowany folder do poprzednich ustawień
  jest zaznaczona czy nie.
Właściwości

Identyfikator artykułu: 250842 — ostatni przegląd: 19.09.2003 — zmiana: 1

Opinia