Введение. 5 Структура Операций Microsoft (mof) 6 Добейтесь безопасности и оставайтесь в безопасности 7

Вид материала

Документы

Содержание Отладка групповой политики Утилиты из Resource Kit (Resource Kit Tools) Check Group Policy object consistency. Check Group Policy object replication. – Display information about a particular GPO Run in verbose mode – Ошибки системного журнала групповой политики

Подобный материал:

• Учебная программа курса Введение в обязанности и условия работы специалиста по технической, 16.36kb.
• Введение, 234.92kb.
• План. Введение Структура экономической безопасности страны. Характеристика аспектов, 183.23kb.
• I. введение, 424.45kb.
• Календарно – тематическое планирование, 135.98kb.
• Малюк А. А., Пазизин С. В., Погожин Н. С. Введение в защиту информации в автоматизированных, 3940.4kb.
• Работа школы по обеспечению личной безопасности обучающихся, 26.09kb.
• Конституции Российской Федерации и федеральных закон, 327.39kb.
• Личная безопасность персонала скорой медицинской помощи, 108.54kb.
• Рабочая программа по технологии 9 класс Календарно тематическое планирование, 132.44kb.

Отладка групповой политики

Хотя групповая политика применяется автоматически, возможны ситуации, когда на сервере устанавливается не та политика, какую мы ожидали, – в основном из-за того, что конфигурация групповой политики может создаваться на многих уровнях. Данный раздел предлагает некоторые инструкции относительно отладки в групповой политики.

Примечание: Если у вас возникла специфическая проблема в групповой политике, не упомянутая в этой главе, непременно обратитесь к базе знаний Microsoft. Некоторые ключевые статьи базы знаний, относящиеся к групповой политике, весьма подробно представлены в конце данного раздела, а также в «белой книге» Отладка групповой политики (Troubleshooting Group Policy)

Утилиты из Resource Kit (Resource Kit Tools)

GPResult и GpoTool – это две утилиты Windows 2000 Server Resource Kit, которые помогут вам обнаруживать проблемы в групповой политике.

Примечание: Эти утилиты доступны также в сети, см. раздел “дополнительная информация” в конце этой главы.

GPResult

Эта утилита выдает список всех GPO, которые применялись в компьютере, с какого контроллера домена происходят эти GPO, и дат, когда GPO применялись в последний раз.

Когда на сервере запускается GPResult для подтверждения правильности всех GPO, используйте ключ /c, чтобы отображалась только информация о настройках компьютера.

Когда GPResult используется с ключом /с, она дает следующую общую информацию.

• Операционная система.
  

• Тип (Профессиональный, Сервер, Контроллер домена)
  
• Номер сборки и сведения о служебном пакете программ
  
• установлена ли служба Terminal Services и если да, то какой режим она использует
  

• Информация о компьютере
  

• имя компьютера и его положение в Active Directory (если нужно)
  
• имя домена и его тип (Windows NT или Windows 2000)
  
• имя сайта
  

GPResult с ключом /с также выдает информацию о Group Policy:

• когда в последний раз применялась политика для данного пользователя или компьютера и какой контроллер домена ее запускал
  
• полный список применяемых объектов групповой политики и их данных, включая отчет о расширениях, которые содержатся в каждом объекте групповой политики.
  
• какие применялись настройки базы конфигурации системы, и сведения о них
  
• Фолдеры, использующие перенаправление, и сведения о них
  
• информация управления программным обеспечением, сведения о назначенных и опубликованных приложениях
  
• сведения о дисковых квотах
  
• настройки безопасности IP
  
• сценарии
  

GpoTool

Эта утилита командной строки позволяет вам проверить, нормально ли функционируют объекты групповой политики на контроллерах доменов, включая:

• Check Group Policy object consistency. Этот инструмент считывает обязательные и необязательные свойства служб каталогов (версия, дружественное (сетевое) имя, глобально уникальный идентификатор расширений, данные системного тома (SYSVOL) Windows 2000 (Gpt.ini)), сравнивает номера версий сервисов директорий и SYSVOL и выполняет другие проверки достоверности информации. Версия функциональности должна быть 2, а версия пользователя / компьютера должна быть выше 0, если свойства расширений содержат какой-либо глобально уникальный идентификатор.
  
• Check Group Policy object replication. – Эта утилита считывает отдельные случаи GPO каждого контроллера домена и сравнивает их (свойства выбранного контейнера групповой политики и полное рекурсивное сравнение для шаблона групповой политики).
  
• Display information about a particular GPO – информация включает свойства, к которым нельзя получить доступ через Group Policy snap-in, такие, как версия функциональности и глобально уникальный идентификатор расширения.
  
• Browse GPOs – опция командной строки может искать политики, основанные на дружественном (сетевом) имени или глобально уникальном идентификаторе.
  
• Preferred domain controllers – по умолчанию все доступные контроллеры доменов в данном домене будут использоваться; это можно отменить, переписав из командной строки поставляемый список контроллеров доменов.
  
• Provide cross-domain support – опция командной строки доступна для проверки политик в разных доменах.
  
• Run in verbose mode – если все политики работают правильно, данная утилита выдает подтверждающее сообщение. В случае ошибок выводится сообщение о поврежденных политиках. Опция командной строки может включить verbose информацию о том, как обрабатывается каждая политика.
  

Пользуйтесь следующей командной строкой, чтобы получить подробные сведения о групповой политике также и в тех случаях, если обнаружены какие-либо ошибки:

GPOTool /gpo:

Ошибки системного журнала групповой политики

Некоторые ошибки системного журнала групповой политики указывают на то, что в вашей среде имеются специфические проблемы. Здесь мы приводим две из них, которые не позволяют правильно применять групповую политику:

• On a domain controller, warning event 1202 combined with error event 1000. Это в основном означает, что контроллер домена удален из OU контроллеров доменов или другого OU, который не имеет присоединенных GPO контроллеров доменов по умолчанию.
  
• Когда администратор пытается открыть один из GPO по умолчанию, ему выдается следующая ошибка:
  

Failed to open Group Policy Object

You may not have appropriate rights.

Details: Unspecified Error

• В системном журнале появляются записи 1000, 1001 и 1004. Это происходит благодаря поврежденному файлу registry.pol. Если удалить файл registry.pol из SYSVOL, перезапустить систему и внести изменения на сервере, ошибки должны исчезнуть.