Устранение неполадок групповой политики.

Устранение неполадок групповой политики.

Групповая политика является мощным средством управления конфигурацией компьютеров в сети. Реализация групповой политики может представлять собой очень сложный процесс, и некорректная реализация может значительно повлиять на рабочее окружение всех пользователей в организации.
Например, в Windows Server 2008 R2 и Windows 7 были предусмотрены новые методы устранения неполадок применения параметров групповой политики. Одним из таких улучшений являлся журнал событий Group Policy Operational, который заменил функцию userenv, использовавшуюся в предыдущих версиях Windows.

Журнал групповой политики Operational можно просмотреть, например, в оснастке Event Viewer (Просмотр событий) в узле Applications and Services Logs\Microsoft\Windows\ GroupPolicy. На рис. 1 показана оснастка Event Viewer с выбранным журналом групповой политики Operational.

Рис. 1.

В Windows 7 с помощью инструмента устранения неполадок GPLogView.msi можно было создать файл с событиями групповой политики из журнала System и журнала Group Policy Operational (это средство загружается по адресу http://go.microsoft.com/fwlink/?LinkId=75004).

Устранение неполадок групповой политики представляет собой довольно сложный процесс по причине обширного набора используемых компонентов. Тем не менее большинство неполадок могут возникать по таким причинам:
- Состояние GPO и ссылки GPO. Убедитесь, что объект GPO или ссылка GPO не отключены и эта ссылка связана с контейнером соответствующего сайта, домена или подразделения. Кроме того, не забывайте, что в процессе обновления выполняется обработка лишь измененных объектов GPO.
- Расположение объекта пользователя или компьютера. Убедитесь, что объект пользователя или компьютера находится в контейнере, с которым связан GPO.
- Неполадки репликации. Если объект GPO только что создан, некоторые контроллеры доменов могут не успеть получить реплицированные данные шаблона GPT и контейнера GPC. Если репликация папки SYSVOL выполняется некорректно, то наверняка придется устранить неполадки репликации DFS и FRS.
- Наследование GPO. Наследование параметров групповой политики для конкретного пользователя можно проверить с помощью компонента Group Policy Results. Чтобы обработка объектов GPO выполнялась должным образом, дважды проверьте блокировку и принудительное включение наследования.
- Фильтры безопасности. Дважды проверьте фильтры безопасности GPO. Помните, что по умолчанию в фильтр добавлена группа Authenticated Users (Прошедшие проверку), включающая стандартных пользователей, компьютеры и администраторов. Для обеспечения корректной обработки следует модифицировать пользователя или группы в фильтре.
- Медленное подключение или обработка замыкания. Иногда может понадобиться определить, возникает ли неполадка по той причине, что компьютер интерпретирует подключение как медленное. Помните, что при использовании медленных подключений выполняется обработка не всех клиентских расширений CSE групповой политики. Кроме того, следует определить, работает ли компьютер в режиме обработки замыкания (Loop-back). Для выяснения обоих вопросов используется инструмент Group Policy Results, сфокусированный на проблемном компьютере.
- Сетевые подключения. Чтобы получить список объектов GPO и выполнять корректную обработку параметров групповой политики, все компьютеры должны иметь возможность связываться с контроллером домена Active Directory. Для поиска контроллера домена в сетевой среде нужно применять DNS. Убедитесь, что сетевая инфраструктура работает должным образом и время синхронизируется на всех компьютерах, поскольку синхронизация времени может являться причиной неполадок обработки групповой политики (а также многих других проблем сетевых подключений).