系统管理员必读：组策略排错经验谈 （2）

Validating DCs...
Available DCs:
mic-technet.dc.mic
Searching for policies...
Found 4 policies
Policy {31B2F340-016D-11D2-945F-00C04FB984F9}
Friendly name: Default Domain Policy
Policy OK
==========================================================
Policy {6AC1786C-016F-11D2-945F-00C04FB984F9}
Friendly name: Default Domain Controllers Policy
Policy OK
==========================================================
Policy {90BD780C-D2E8-44CB-97B8-80B343852457}
Friendly name: Do not display logon name
Policy OK
==========================================================
Policy {CC2C8E4F-FA55-4824-AC75-0122494DCC31}
Friendly name: user
Policy OK
==========================================================
Policies OK

    这是一次运行gpotool的结果，当然，笔者这里只是模拟一个虚拟环境，如果只有一台域控制器，读者可以拿出问题日志与正常日志进行比对，便会发现问题所在。设想，如果有两台域控制器它们之间的复制出了问题，那么意味着每个域控制器的组策略不统一了，自然客户端在应用时会发生问题。

    （3）检查组策略对象是否在AD中和Sysvol中，而且GUID是否与正确的GPO相关联。

    1）查看组策略的GUID。

    2）用Search.vbs检查LDAP协议正确性，GPO和GUID是否为真正意义的对应。

    （注：Search.vbs是Windows Server 2003安装光盘Support\Tools\ Support.cab下的一个脚本工具，可以将GPO名称解析为GUID。）

    使用方法：

cscript search.vbs "LDAP://dc=mydomain,dc=com" 
/C:"&(objectClass= groupPolicyContainer)(displayName=Default Domain 
Policy)" /P:name /S:SubTree

    将mydomain和com换成您自己的域名。

    返回结果如图3所示。

图3  返回结果

（3）以上两步结束后，如果仍然没有查到问题所在，可以激活“Userenv.log”。

    打开注册表编辑器，定位至HKEY_LOCAL_ MACHINE\Software\ Microsoft\Windows NT\ CurrentVersion\ Winlogon。
    新建dword值：UserEnv DebugLevel，数据为10002 （Windows 2000/XP），Windows Server 2003改为30002。重新启动后在%SystemRoot%\Debug\ UserMode\下可找到Userenv.log 文件。该文件对我们解决用户配置文件和组策略处理方面的问题很有帮助。
    例如，有时会在该文件中发现：

USERENV(178.63c) 22:27:23:188 EvalList: Object 
<cn={7AF890C0-01AB-4F23-9734-DD69D2462FA1},
cn=policies,cn=system,DC=dc,DC=mic> cannot be accessed

    这说明登录的用户对要应用给他的GPO是没有权限的，这时就要注意组策略的权限问题。

    （4）如果是和安全设定有关的策略没有生效，可以开启“Winlogon”：

    打开注册表编辑器，定位至HKEY_LOCAL_MACHINE\ Software\Microsoft\Windows NT\CurrentVersion\Winlogon\
    GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F79F- 83A}，新建一个dword值，名称为Extension DebugLevel，数值设为2，刷新策略，这样
    在以下位置Windows\ Security\Logs生成Winlogon.log，所有安全设定会被详细记录在里面。

    举例来说，启动基于Windows 2000的计算机时，事件查看器大约每5分钟记录一次事件ID 1202和1000。

    当查看 Winlogon.log 文件时，会发现下面的错误信息。

Error 1332: No mapping between account names 
and security IDs was done.Cannot find Power Users.

    很明显，这是有人给Power Users组做了安全权利指派，但是当计算机被提升成为域控制器后，Power Users组就会被删除掉，然而组策略里却没有将其权限相应的删除，计算机就会不停地找（准确的说是对应）Power Users组，因此就会报错。

    当我们在查看Userenv.log和Winlogon.log时，可以关注以下信息：fail，error，cannot等这些失败、错误信息。