检测组策略故障

2016-03-13 18:43
网络安全和信息化 2016年11期
关键词:组策略命令排查

引言: 使用组策略,可以对系统进行全面的设置和控制。但是,在使用组策略时,有时会遇到一些故障,例如配置的组策略并没有对相关的主机和用户发生作用,或者虽然应用了预设的组策略,但起到的作用存在问题等。本文介绍如何诊断和排除组策略相关的故障。

排查相关网络问题

在域环境中,客户端想要应用组策略,必须拥有对域控制器的访问权限。这样,客户端才可以检测到相关GPO(即Group Policy Object,组 策略对象)的设置信息,通过对当前的组策略配置进行比对,来检测其是否发生了变动,并据此来更新本机的组策略配置信息。从组策略应用的过程来看,在多个环节都可能发生故障,导致组策略更新出现异常。例如,客户机和域控之间网络连接存在问题,域控制器存在问题导致客户端无法访问,域控之间数据复制出现问题,身份验证以及DNS解析错误等,都会引发组策略无法正常更新的情况。

因此,在排查问题之前,必须先解决和组策略无关的网络问题。例如可以使用Ping命令,检测网络连通性。运行Windows资源包中的“netdiag.exe”命令,来检测和诊断网络连接故障。利用“nslookup”命令,来检测DNS服务是否正常运行。使用“DcDiag”命令,通过各种诊断测试对域控制器进行全面诊断,分析当前林或域中域控制器状态,通过查看检测报告,来寻找问题所在,便于管理员排除故障恢复域控正常功能。通过运行“eventvwr.msc”程序,在事件检查器中查看相关日志信息,来发现和组策略故障相关的记录信息,缩小排查范围,确定问题的根源。

组策略管理相关工具

仅就组策略故障排除本身而言,有一些相关的工具可以使用。例如使用“RSOP”、“GPResult”命令,可以查看组策略结果集。执行“mmc”命令,在控制台中点击菜单“文件→添加或删除管理单元”项,选择“策略的结果集”项,点击“添加”按钮,将其添加到控制台列表中。在“策略的结果集”项的右键菜单上点击“生成RsoP数据”项,在向导界面中选择“记录模式”项,可以复查应用到一个特定计算机和用户的策略设置。选择“计划模式”项,可以通过使用来自Active Directory服务的数据来模拟一个策略实现。这里选择前者,在下一步窗口中选择“这台计算机”项,点击“下一步”,选择当前用户或者指定的账户,来显示策略设置信息。点击“下一步”,完成策略结果集的统计操作。之后,在组策略结果集中,就可以以图形界面查看变动信息。

当然,在CMD窗口中执行“gpresult /R”命令,可以以命令行方式查看当前用户的组策略结果集信息。执行“gpresult /USER usename/V”命令,可以查看指定账户的组策略结果集。

使用“Gpotool”命令,可以检测组策略对象的稳定性,并且可以组策略的复制进行监控,可以遍历所有的域控制器,检测组策略容器和组策略模板之间是否一致。先安装Windows资源包,运行其中的“gptool”工具,会显示所有GPO的GUID参数、名称、状态等。在对应GPO的“Policy”栏中显示“OK”字样,说明状态正常,否则就说明存在问题。使用“gpupdate”命令,可以强制更新组策略。

因为在默认情况下,要激活针对账户的组策略更新,需要执行注销操作。要激活针对计算机的组策略更新,需要执行重启销操作。利用该命令,可以强制立即更新。使用“Dcgpofix”命令,可以将默认的组策略对象还原到初始安装后的原始状态,即对默认组策略进行还原处理。利用“GPLogView”工具,可以查看GPO的日志信息。该命令出现在Windows Server 2008之后的系统中,可以查看和组策略相关的事件和操作日志信息,并且可以将其导出为独立的文件。利用组策略管理脚本GPMC,可以快速高效地执行各种故障排除操作。

与组策略继承相关故障

在默认情况下,域的根节点和OU之间,不同OU之间会形成层级结构,因为不同的GPO可以连接到根节点或者不同的OU中,因此GPO也会形成层级结构。因此,在上一级的容器中链接了某个GPO对象,那么下一级容器也会继承该GPO对象。

如果因为配置不当,在下一级的容器上阻止了GPO对象的继承,必然会造成该容器中的用户或者计算机无法应用该GPO对象。在域控上打开组策略管理器,如果发现某个容器上带有蓝色叹号标记,说明在该容器上设置了阻止继承功能。在客户端执行“gpresult -R”命令,在返回信息中的“下列组策略对象被筛选排除,因此没有应用”栏中也会显示被阻止继承的GPO对象。在该容器的右键菜单上取消“阻止继承”项,就可以让客户端顺利的应用该容器的上级策略。对于一些重要的GPO对象,可以在其右键菜单上选择“强制”项,禁止下一级容器对其进行阻止继承操作。

与组策略筛选相关的故障

利用组策略的筛选功能,只允许目标OU中的指定用户或计算机可以应用特定的GPO对象,即确定哪些用户或计算机可以接收到相关的组策略设置信息。组策略的筛选包括安全筛选和WMI筛选,因为筛选针对的是具体的GPO进行的,对于安全筛选来说,可以将指定的用户或者组添加进来。如果配置不当的话,就会造成某些组中的用户被排除在筛选范围之外,这些用户自然无法应用该GPO的配置信息。

所以,在排查问题时,应该检测是否将正常的用户和计算机加入到筛选范围内,便于其顺利更新组策略。如果某个GPO连接到预设的WMI筛选器上,可以对客户端的软硬件以及配置信息进行筛选,只有符合条件的客户端,才可以应用该GPO对象。如果WMI筛选器设置有问题,就会造成某些客户端正确更新组策略的问题。因为组策略筛选设置不当,往往会造成同一个OU中的不同用户和计算机会接收到不同的组策略配置参数。只要在筛选配置中检测,自然可以找到问题所在。排除方法很简单,将合法的用户或计算机添加到筛选列表中即可。

与组策略复制相关的故障

组策略对象实际上由组策略模版(GPT)和组策略(GPC)容器组成,其中组策略容器存放在活动目录数据库中,组策略模板是存放在“SYSVOL”目录中的。在不同站点中存在多台域控,彼此之间必然会自动复制数据,针对GPT和GPC,复制的机制是不同的。对于前者采用的是文件复制模式,对于后者采用的是AD DS模式模式。因为复制方式不同,就有可能造成在某个时间段内,不同域控之间的组策略版本不一致的问题。如果在该时间段内,客户端执行组策略更新操作,就会造成得不到最新组策略设置的情况。如果客户端使用的是慢速连接,就很容易出现该问题。运行“GPOTool”这一工具,可以检查所有域控之间策略是否达到了一致性。

与组策略刷新相关的故障

如果组策略没有按照预设的周期执行刷新,就需要检查是否在检查用户的计算机的刷新时间间隔内调整了组策略,这样达到刷新时间点后,客户端就会自动执行刷新操作。让客户端用户先注销再登录,或者重启计算机,来应用组策略更新操作。检查是否存在缓存的凭据,因为其可能延迟组策略更新的效果。检测环回策略是否启用,防止其阻止组策略按照预设周期刷新。使用“gpupdate/force”命令,可以强制执行组策略的刷新操作。

故障排除的顺序

在具体排斥组策略故障时,是很讲究顺序的。首选在组策略结果集中进行检查,查看相应的GPO对象是否列为应用目标。如果是的话,接着查看设置是否被列出,如果是的话,可以接着针对GPO继承、复制、组策略刷新、异步处理、客户端扩展以及回环处理等方面进行排查。如果否的话,可以针对复制、组策略刷新、操作系统是否支持、慢速链接等方面进行排查。如果相应的GPO对象没有被列为应用目标,可以查看在结果集中其是否出现在拒绝列表中,如果是的话,可以针对安全筛选,是否禁用该GPO,不可访问的数据,该GPO是否为空,预设的WMI筛选器是否有误等方面进行排查。

如果没有出现在拒绝列表中,可以针对管理范围、复制问题、组策略刷新、网络连接是否顺畅等方面进行排查。当在客户端配置组策略时,必须得到不同的客户端扩展程序的支持。例如,对于不同的组策略设置项目(例如软件、安全设置、管理模版等)来说,对应的是不同的客户端扩展程序。如果某些客户端扩展程序没有被启用,自然无法执行对应组策略的配置操作。如果检测到客户端使用的是慢速链路(默认低于500Kbps),某些客户端扩展程序就不会进行处理。例如对于通过组策略部署软件来说,因为传送的安装包体积很大,慢速链路显然无法应对,和软件安装相关的客户端扩展程序就不会正常运作。对于安全设置模板来说,不管是慢速连接还是快速链接,与之对应的客户端扩展程序则总是处于应用状态,无法将其关闭。

猜你喜欢
组策略命令排查
只听主人的命令
高层建筑消防安全排查情况及处理对策
补齐设置短板 用好Microsoft Edge
配网二次回路故障的排查分析
给家中来个危险排查吧
通过PowerShell获取组策略安全报告
如何完全卸载OneDrive
移防命令下达后
如何排查并改错
这是人民的命令