科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道系统管理员必读:组策略排错经验谈 (1)

系统管理员必读:组策略排错经验谈 (1)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

对于网络管理员来讲,关于组策略的问题可能听到最多的抱怨就是:“我设置了一个策略,为什么它不生效?”。对于一些比较大的网络环境,组策略可以减轻网管人员的管理工作量,但其出问题的几率还是比较大的。这一方面是由于我们日常操作不慎引起的,另一方面是由于策略之间相互影响而造成最终的结果与设想不一致。

来源:论坛整理 2008年12月3日

关键字: 系统安全 安全技术 安全防范

  • 评论
  • 分享微博
  • 分享邮件
 对于网络管理员来讲,关于组策略的问题可能听到最多的抱怨就是:“我设置了一个策略,为什么它不生效?”。对于一些比较大的网络环境,组策略可以减轻网管人员的管理工作量,但其出问题的几率还是比较大的。这一方面是由于我们日常操作不慎引起的,另一方面是由于策略之间相互影响而造成最终的结果与设想不一致。

    组策略应用要点

    这里,笔者给出几点微软不推荐的做法:

    (1)不要删除两条默认的策略(默认域策略和默认域控制器策略),很多问题的发生都是由删除这两条默认策略引起的。而且要使用组策略管理控制台(GPMC)工具备份这两条默认策略,用于将来还原。如果直接通过GPMC删除默认策略时,我们会发现是行不通的,但是,稍有经验的读者知道如何删除它们。既然是一个不推荐的做法,希望大家不要删除它们。

    (2)组策略是不能够链接在用户组上的。有很多初次接触活动目录的管理员,经常设想将组策略生效于某一用户组,这是行不通的。组策略不是为用户组设定的策略,而是一组策略的集合,只能链接在站点、组织单元和域上面。

    (3)组策略的生效问题

    1)生效顺序

    正常生效顺序:本地策略→站点策略→域策略→父OU策略→子OU策略。

    我们使用时,在出现登录对话框前,会有“应用安全策略”的提示,这也就是本地策略生效的过程。

    发生冲突时,最新的策略设置会覆盖其他设置。计算机设置高于用户设置(即使用户设置是后设置的)。父容器组策略设置与子容器设置发生冲突时,子容器中组策略的设置将最终生效。同一容器的多个策略按照优先权顺序进行生效。所以,当在一个容器上面链了多个GPO时,不妨仔细看看它们的顺序,很有可能问题是顺序不当引起的。

    2)生效时间

    在默认情况下,非域控制器的计算机每90分钟刷新一次策略,其中含有随机的30分钟时间偏移量,时间偏移量保证了多个计算机不会同时连接到同一个域控制器上面。域控制器每5分钟刷新一次,保证了紧急更新的组策略设置(安全性设置)能够得到及时执行,可以在“域控制器组策略重新刷新时间间隔”里面进行更改,如图1所示。

   

 图1  进入“域控制器组策略重新刷新时间间隔”进行更改

    在Windows 2000里面可以使用“secedit/refreshpolicy machine_policy”或“secedit /refreshpolicy user_policy”命令强制刷新,在Windows XP或Windows Server 2003使用“gpresult /force”命令强制刷新。如果新做的设置没有生效,不妨考虑一下是否为刷新时间间隔的问题。

    组策略常规排错法

    如果您平时是按照以上建议做的,结果组策略的某些设置还是没有按预期生效,我们就需要做排错处理了。

    (1)确保客户端拿到了相关的策略。比如:希望域内所有的计算机不要显示上次登录的用户名以确保安全,可是在所有的用户端上都没有生效,说明此条策略很有可能客户端没有拿到。从Gpresult或者是组策略结果集,可以知道客户端拿到了哪些策略。前者是命令行模式,后者是图形界面,功能都是相同的。关于Gpresult的使用,读者可以参考《网管员世界》2005年10月刊中《我拿什么来诊断你—活动目录常见故障排错工具》一文,其中有详细的讲解。下面介绍组策略结果集的使用。
    打开gpmc.msc,单击“组策略结果收集向导”,选择是本机还是远程计算机,选择为哪一个用户显示最终结果,我们就可以查看结果了,如图2所示。

   

图2  查看结果

    在“组策略对象→应用的策略”中,我们能够看到出问题的客户端应用了哪些GPO,没有应用哪些GPO,如果某一条组策略没有被应用,那么设置必定没有生效,因为计算机根本就没有拿到这个策略。

    正如案例中所述的那个问题(希望域内所有的计算机不要显示上次登录的用户名以确保安全,可惜在所有的用户端上都没有生效),后来在随机的客户端运行gpresult,结果发现,为计算机设置的不显示上次登录的用户名策略(当时命名为Do not Display last logon name)根本就没有应用到客户端,自然策略不会生效。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章