监控组策略应用

2023年11月27日发(作者：)

监控组策略应⽤---组策略建模

当你实施组策略时可能会遇到问题。当你解决组策略问题时，你必须考虑到各个组件之间的依赖关系。⽐如组策略依赖活动⽬录，活动⽬录依赖⽹络服务的

正确配置。

如果域中的计算机应⽤完组策略后计算机设置没有达到预期的设置，或⽤户登录后应⽤完组策略⽤户设置后没有达到预期的效果。这就需要管理员能够找到

组策略没有正确应⽤的原因。

Windows Server 2008有两个新的组策略管理功能帮助你确定组策略对某个特定⽤户或计算机的设置。这两个管理功能是组策略建模和组策略结果。

6.5.1实现组策略时常见的问题

解决组策略问题的第⼀步找到症状和可能的原因。在⼤多数情况下，组策略没有按照期望的结果⽣效是因为其他的组策略在同⼀个设置上有冲突。或者组策

略设置中采⽤了阻断继承，禁⽌覆盖，过虑，设置。使⽤组策略建模向导和组策略结果可以判断哪些组策略设置了哪些值。

在执⾏组策略时可能遇到问题。下⾯是可能遇到的问题中的⼀些，以及解决它们的建议策略。

在试图打开或编辑组策略时，接收到错误信息称组策略对象不能被访问或打开。可能的原因和解决⽅案是：

u 可能没有访问GPO的权限。检查试图打开或访问的GPO的DACL。必须拥有打开或访问的读写权限。

u 组策略试图连接的域控制器不在线或域控制器不能⽤域名系统来解析。确认域控制器在线，如果在线，确认能够使⽤域名系统来解析域控制器的域名。

组策略设置不发挥预期功能。可能原因和解决⽅案如下：

u 继承冲突 如果显⽰组策略设置没有应⽤，问题可能是由继承冲突引起的。从活动⽬录继承的顶端开始，检查连接到每个域、站点、组织单元的GPO顺

序，这些GPO可能影响还没有接受组策略设置的⽤户或计算机。然后查看在计算机和⽤户设置之间是否有冲突，记住，在绝⼤多数情况下，计算机设置优先于

冲突的⽤户设置；检查禁⽌覆盖的GPO连接以及检查阻⽌继承的域和组织单元。

u 权限问题 检查希望应⽤的GPO的DACL。确保⽤户和计算机账户有需要应⽤的所有GPO的读和申请组策略设置的权限；同时，检查计算机或⽤户账户的

安全组成员资格，确保账户是其成员之⼀的安全组在DACL中列出；同时，检查拒绝ACE。记住拒绝优先于所有的允许权限。

u 禁⽤GPO节点 检查所有的GPO，查看计算机配置或⽤户配置节点是否已经禁⽤。

u 复制问题 确保活动⽬录复制和Sysvol复制的完成。记住如果GPO的GPC和GPT部分都没有复制，组策略将⽆法运⾏。

u 域之间的GPO连接问题 如果⼀个站点、域或组织单元连接到另⼀个域的GPO上，可以通过信任关系访问该GPO。如果由于某种原因信任遭到破坏，对连

接的GPO的访问以及组策略的执⾏就会失败。可以通过每个域有多个域控制器或在域间创建明确的信任机制来阻⽌这种类型问题的发⽣。

u 移动了的计算机或⽤户 对象客户机每30分钟会缓存活动⽬录的位置。如果计算机或⽤户账户从⼀个组织单元移到另⼀个组织单元，客户机将⽆法判断对

象的正确位置。如果组策略在缓存对象位置之前刷新，新的组策略设置将不能执⾏。但是，新的组策略设置将在下次刷新时执⾏。

6.5.2组策略建模

顾名思义，在这⾥，您可以建模出组策略的运⾏结果，并且最终得出选定容器中有效的设置。尤其是对那些经多重继承，重复加载组策略对象的容器，对策

略的⽣效状态是最难以分辨了。组策略建模（Group Policy Modeling）旨在从容器中通过特定的查询，得出所有组策略组合后的有效设置，结果以HTML报告的

形式显⽰。需要注意的是，组策略建模仅⽀持Windows Server 2003和Windows2008的域控制器，如果您的GPMC连接到Windows 2000的域控制器，该节点是

不可见的。对于早期版本的组策略，组策略建模以策略结果集（RSoP）计划模式实现。你⾸先创建组策略建模查询然后查看查询结果。

⽰例：组策略建模

组策略建模就是域控制器根据指定的域⽤户登录特定的计算机计算出组策略的应⽤情况。本⽰例将会查询培训部⽤户韩⽴刚登录市场部计算机marketPC1

都应⽤那些组策略设置。

1. 在DCServer 上以管理员登录，打开组策略管理⼯具。

2. 如图6-124所⽰，右击“组策略建模”，点击“组策略建模向导”。

3. 如图6-125所⽰，在出现的欢迎使⽤组策略建模向导对话框，点击“下⼀步”。

图 6-124 运⾏组策略建模向导 图 6-125 组策略建模向导

4. 如图6-126所⽰，在出现的域控制器选择对话框，选择域，选择“此域控制器”，点中，点击“下⼀步”。

5. 如图6-127所⽰，在出现的⽤户和计算机选择对话框，⽤户信息选择“⽤户”，输⼊esshanligang，计算机信息选择“计算机”，输⼊essmarketPC1，点

击“下⼀步”。

图 6-126 选择域控制器 图 6-127 指定⽤户和计算机

6. 如图6-128所⽰，在出现的⾼级模拟选项，选中“环回处理模式”，选择“合并”，选中“不收集其他数据，直接跳到此向导的最后⼀页”，点击“下⼀步”。

7. 如图6-129所⽰，在出现的选择摘要对话框，点击“下⼀步”。

图 6-128 ⾼级模拟选项 图 6-129 摘要

8. 如图6-130所⽰，在出现的正在完成组策略建模向导，点击“完成”。

9. 如图6-131所⽰，点中marketPC1上的hanligang，在设置标签下，可以看到hanligang登录marketPC1后，组策略应⽤的结果。

图 6-130 完成向导 图 6-131 查看设置

10. 如图6-132所⽰，点开“⽤户配置”à“策略”à“Windows设置”à“Internet Explorer维护”à“URL/重要的URL”，可以看到设置的主页，以及哪个组策略的设

置。

图 6-132查看具体设置

11. 如图6-133所⽰，在查询标签下可以看到查询的条件。

12. 如图6-134所⽰，右击“marketPC1上的hanligang”，点击“⾼级查看”。

图 6-133 查询条件 图 6-134 ⾼级查看

13. 如图6-135所⽰，在出现的策略的结果集对话框，可以看到计算机配置和⽤户配置。该结果是由域控制器根域⽤户和计算机帐户所在的位置计算的。

图 6-135 组策略结果集