Bạn hiện đang ngoại tuyến, hãy chờ internet để kết nối lại

Gỡ rối vấn đề ứng dụng chính sách nhóm

QUAN TRỌNG: Bài viết này được dịch bằng phần mềm dịch máy của Microsoft chứ không phải do con người dịch. Microsoft cung cấp các bài viết do con người dịch và cả các bài viết do máy dịch để bạn có thể truy cập vào tất cả các bài viết trong Cơ sở Kiến thức của chúng tôi bằng ngôn ngữ của bạn. Tuy nhiên, bài viết do máy dịch không phải lúc nào cũng hoàn hảo. Loại bài viết này có thể chứa các sai sót về từ vựng, cú pháp hoặc ngữ pháp, giống như một người nước ngoài có thể mắc sai sót khi nói ngôn ngữ của bạn. Microsoft không chịu trách nhiệm về bất kỳ sự thiếu chính xác, sai sót hoặc thiệt hại nào do việc dịch sai nội dung hoặc do hoạt động sử dụng của khách hàng gây ra. Microsoft cũng thường xuyên cập nhật phần mềm dịch máy này.

Nhấp chuột vào đây để xem bản tiếng Anh của bài viết này:250842
Chú ý
Bài viết này áp dụng cho Windows 2000. Hỗ trợ cho Windows 2000 kết thúc vào ngày 13 tháng 7 năm 2010. Các Trung tâm giải pháp kết thúc hỗ trợ Windows 2000 là một điểm khởi đầu để lập kế hoạch chiến lược của bạn di chuyển từ Windows 2000. Để biết thêm thông tin xem các Chính sách vòng đời hỗ trợ của Microsoft.
Bài viết này đã được lưu trữ. Bài viết được cung cấp "nguyên trạng" và sẽ không còn được cập nhật nữa.
TÓM TẮT
Bài viết này mô tả các thủ tục xử lý sự cố cho chính sách nhóm xử lý trên một máy tính khách hàng Windows 2000. Điều này có thể bao gồm các thiết đặt chính sách không chính xác hoặc không đầy đủ hoặc thiếu chính sách ứng dụng cho máy tính hoặc người dùng.

Trước khi bạn sử dụng các bước trong bài viết này, bạn nên quen thuộc với thông tin trong bài viết cơ sở kiến thức Microsoft sau:
216357 Xác định các chính sách nhóm phần mở rộng phía khách hàng
228460 Vị trí ADM (hành chính mẫu) tập tin trong Windows 2000
216358 Xử lý sự cố hành vi mở rộng phía-sử-dụng của chính sách nhóm
THÔNG TIN THÊM
  1. Cho phép tiết gỡ lỗi đăng nhập vào Windows 2000 khách hàng máy tính bằng cách sử dụng các hướng dẫn được nêu trong bài viết cơ sở kiến thức Microsoft sau:
    221833 Làm thế nào để kích hoạt tính năng gỡ lỗi môi trường người dùng đăng nhập bán lẻ xây dựng của Windows 2000
    Một tập tin đăng nhập (Userenv.log) được tạo ra trong thư mục Winnt\Debug\UserMode và thường điểm để nguyên nhân gốc của một sự thất bại chung liệt kê danh sách các nhóm tượng chính sách (GPOs) áp dụng cho người dùng. Thông tin tối thiểu về tình trạng của mỗi phần mở rộng chính sách nhóm (DLL đó thực hiện một loại hình cụ thể của chính sách ứng dụng, chẳng hạn như bảo mật, chuyển hướng cặp, vv.) áp dụng chính sách cũng được ghi nhận trong các tập tin Userenv.log, nhưng tiết thông tin về mỗi phần mở rộng, không có các thiết đặt khác để cho phép ghi sổ cụ thể để những thành phần (miêu tả sau này trong bài viết này).
  2. Kiểm chứng kết nối và độ phân giải DNS. Nếu kết nối với bộ điều khiển vùng là gây ra vấn đề, các bản ghi gỡ lỗi phát thường hiện vấn đề và các hồ sơ địa điểm cụ thể trong Active Directory và trên mạng chia sẻ nơi mà Windows 2000 là cố gắng để đạt được quyền truy cập vào dữ liệu.

    Tiện ích hỗ trợ cho Windows 2000, Dcdiag.exe và Netdiag.exe, được sử dụng để thử nghiệm kết nối mạng và độ phân giải DNS. Dcdiag.exe được sử dụng để kiểm tra bộ kiểm soát miền, và Netdiag.exe được sử dụng để kiểm tra máy trạm và máy chủ. Để chạy Dcdiag.exe, hãy gõ dcdiag/v tại dấu nhắc lệnh trên một bộ điều khiển tên miền. Để chạy Netdiag.exe, hãy gõ netdiag/v tại dấu nhắc lệnh trên một máy chủ máy trạm hoặc thành viên.

    Để biết thêm chi tiết về Dcdiag.exe và Netdiag.exe, xem Windows 2000 hỗ trợ giúp đỡ các công cụ, hoặc nhấp vào số bài viết dưới đây để xem bài viết trong cơ sở kiến thức Microsoft:
    265706 DCDiag và NetDiag trong Windows 2000 tạo điều kiện tham gia và sáng tạo DC
  3. Kiểm chứng rằng chính sách nhóm cần được áp dụng cho khách hàng. Windows 2000 sẽ xác định loại của chính sách để áp dụng, cho dù đó là chính sách xuống cấp (Ntconfig.pol trong Microsoft Windows NT 4.0) hoặc chính sách nhóm, dựa trên vị trí của tài khoản người dùng và máy tính.
  4. Sử dụng Gpresult.exe từ Microsoft Windows 2000 Resource Kit. Trả đặc biệt chú ý đến thứ tự mà trong đó các GPOs được áp dụng. Nếu các thiết lập tương tự được xác định trong nhiều GPOs, những người được áp dụng sau này trong quá trình (thấp hơn trong các tập tin log) đang có thẩm quyền và ghi đè lên các thiết lập trong GPOs cao trong danh sách.
  5. Sử dụng Gpotool.exe để xác định nếu có một mâu thuẫn giữa Active Directory và SYSVOL Phiên bản của cùng GPO trên toàn bộ kiểm soát miền ngang nhau. Thông tin này có thể giúp bạn xác định nếu nhân rộng độ trễ gây ra Windows 2000 khách hàng không nhận được chính sách chính xác. Nếu bạn nghĩ rằng đây là trường hợp, sử dụng Replmon.exe và Repadmin.exe (cả hai từ bộ công cụ hỗ trợ Windows 2000) để xác định các đối tác nhân rộng cho bộ điều khiển tên miền mà khách hàng được sử dụng như một nguồn cho chính sách nhóm và xác định nếu nhân rộng thành công.
  6. Xác minh trong tập tin Userenv.log rằng các phân biệt tên (DN) của người dùng/máy tính được xác định. Nếu Windows 2000 không xác định DN, nó không thể đúng cách phân tích Active Directory để xác định đó GPOs để áp dụng cho người dùng hay máy tính.
  7. Xem tệp Userenv.log. Mục cho mỗi GPO được đánh giá được ghi trong tệp này. Xác định nếu bất kỳ GPOs đang bị bỏ qua bởi vì người dùng không có quyền thích hợp trên GPO (người dùng cần phải có đọc và áp dụng chính sách nhóm cho phép).
  8. Xác định xử lý vòng-ngược có hiệu lực. Điều này gây ra các thành phần người dùng của GPOs áp dụng cho máy tính được áp dụng cho người dùng. Để xác định điều này, hãy tìm một dòng trong taäp Userenv.log trông giống như ví dụ sau:
    USERENV(e8.128) 15:46:17:234 ProcessGPOs: Calling GetGPOInfo for normal policy mode						
    LƯU Ý: Trong ví dụ này, xử lý chính sách bình thường quy định áp dụng.
  9. Nếu máy tính khách hàng đang chạy dịch vụ đầu cuối, một số loại chính sách (cụ thể triển khai ứng dụng) vô hiệu hóa việc phân công các ứng dụng.
  10. Nếu việc triển khai ứng dụng không hoạt động, thực hiện các hành động sau đây:

    1. Cho phép ghi sổ Windows cài đặt bằng cách sử dụng các hướng dẫn trong bài viết cơ sở kiến thức Microsoft sau đây:
      223300 Làm thế nào để kích hoạt tính năng Windows Installer đăng nhập Windows 2000
    2. Cho phép xử lý chính sách quản lý ứng dụng bằng cách sử dụng các hướng dẫn trong bài viết cơ sở kiến thức Microsoft sau đây:
      246509 Triển khai chương trình xử lý sự cố bằng cách sử dụng tiết đăng nhập
    Các Nhật ký có thể hiển thị các khách hàng không tìm đường dẫn cài đặt được chỉ định cho chương trình bạn muốn cài đặt.
  11. Không phải tất cả các loại chính sách được áp dụng trong thời gian làm mới một nền tảng của chính sách nhóm. Để lực lượng re-application của tất cả các loại chính sách, bạn phải khởi động lại máy tính hoặc người dùng phải đăng xuất và đăng nhập một lần nữa, tùy thuộc vào liệu máy chính sách hoặc chính sách người sử dụng được áp dụng, tương ứng.

Nếu bạn cần phải gọi cho dịch vụ hỗ trợ sản phẩm của Microsoft

Nếu bạn cần phải gọi cho dịch vụ hỗ trợ Microsoft sản phẩm, điều quan trọng là để cung cấp các thông tin sau để hỗ trợ chuyên nghiệp:
  • Các Userenv.log tập tin từ thư mục Winnt\Debug\UserMode.
  • Đầu ra "gpresult.exe/s" đổi hướng đến một tập tin văn bản (chạy trên Windows 2000 khách hàng máy tính).
  • Các "gpotool.exe / tiết" đầu ra chuyển hướng đến một tập tin (chạy trên bộ điều khiển tên miền Windows 2000).
  • Đầu ra "netdiag.exe/v/l", mà kết quả trong một tập tin tên Netdiag.log (chạy trên Windows 2000 khách hàng máy tính).
Nếu bạn biết loại chính sách hoặc GPO cụ thể mà không được áp dụng, các thông tin bổ sung sau cũng là hữu ích (tùy thuộc vào loại chính sách):

Nếu chính sách bảo mật không hoạt động

Xác định GUID GPO đó không làm việc, sử dụng các bước trong bài viết cơ sở kiến thức Microsoft sau đây:
216359 Làm thế nào để xác định các đối tượng chính sách nhóm trong Active Directory và SYSVOL
Hãy nhớ rằng đối với hầu hết các thiết đặt bảo mật, thiết đặt ưu tiên cao nhất cai trị và không tích lũy. Xác định vị trí các tập tin Gpttmpl.inf được tìm thấy trong thư mục SYSVOL tương ứng theo Machine\Microsoft\Windows NT\SecEdit. Đây là tập tin có các thiết đặt bảo mật áp dụng chính sách nhóm cho một GPO cho trước.

Nếu chính sách đăng ký/phần mềm không hoạt động

  1. Xác định GUID GPO đó không làm việc, sử dụng các bước được nêu trong bài viết cơ sở kiến thức Microsoft sau đây:
    216359 Làm thế nào để xác định các đối tượng chính sách nhóm trong Active Directory và SYSVOL
  2. Xác định vị trí tệp Registry.pol trong cặp máy hoặc người sử dụng trong thư mục GPO tương ứng trong SYSVOL.

Nếu chính sách quản lý ứng dụng không hoạt động

  1. Cho phép ghi sổ Windows cài đặt bằng cách sử dụng các hướng dẫn trong bài viết cơ sở kiến thức Microsoft sau đây:
    223300 Làm thế nào để kích hoạt tính năng Windows Installer đăng nhập Windows 2000
  2. Cho phép ứng dụng quản lý chính sách chế biến, sử dụng các hướng dẫn trong bài viết cơ sở kiến thức Microsoft sau đây:
    246509 Triển khai chương trình xử lý sự cố bằng cách sử dụng tiết đăng nhập
    LƯU Ý: Xem lại tập tin đăng nhập công cụ chính sách quản lý ứng dụng đầu tiên để xác định nếu chương trình bạn muốn cài đặt đang xác định và bàn giao ra để cài đặt Windows. Cài đặt đăng nhập tập tin chứa một lịch sử của các thủ tục cài đặt diễn ra trong tiến trình cài đặt của chương trình.

Nếu chính sách kịch bản đăng nhập/đăng xuất/khởi động/tắt không hoạt động

Bằng cách sử dụng Gpresult ra, xác định GPOs có kịch bản được cấu hình để chạy và xác định GUID mỗi GPO bằng cách sử dụng các bước trong bài viết cơ sở kiến thức Microsoft sau đây:
216359 Làm thế nào để xác định các đối tượng chính sách nhóm trong Active Directory và SYSVOL
Xác định vị trí thư mục script cho mỗi GPO trong SYSVOL và xác minh rằng các tập lệnh được cấu hình để chạy đã được nhân rộng để điều khiển tên miền được sử dụng như là nguồn gốc cho các chính sách.

Nếu thư mục chuyển hướng chính sách không hoạt động

Bằng cách sử dụng Gpresult ra, xác định mà GPOs (nếu có) có thư mục chuyển hướng chính sách. Nếu một chính sách đặt ra nên ảnh hưởng đến người dùng, nhưng các thư mục được không bị chuyển hướng, có thể một GPO không được áp dụng vì người dùng không có sự cho phép thích hợp trên GPO.

Nếu GPO vô hiệu hoá hoặc xóa bỏ, nhưng chuyển hướng cặp là vẫn còn có hiệu lực sau khi một làm mới chính sách, thực hiện theo các bước sau (nếu GPO là vẫn có sẵn):
  1. Mở GPO.
  2. Nhấp chuột phải vào thư mục đó đã chuyển hướng, và sau đó nhấp vào Thuộc tính.
  3. Trên các Thiết đặt tab, xác định có hay không các Trở về thư mục chuyển hướng đến thiết lập trước đó tùy chọn được chọn.
thất bại không thành công lỗi thất bại downlevel

Cảnh báo: Bài viết này được dịch tự động

Thuộc tính

ID Bài viết: 250842 - Xem lại Lần cuối: 12/05/2015 18:13:44 - Bản sửa đổi: 2.0

Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Professional Edition

  • kbnosurvey kbarchive kbenv kbinfo kbmt KB250842 KbMtvi
Phản hồi