組策略對于系統(tǒng)管理員來說至關(guān)重要，但是組策略出現(xiàn)麻煩時對于系統(tǒng)管理員來說也是頭疼之至，下文就組策略故障排除進行了詳細的描述。

組策略的威力已是盡人皆知，但同樣盡人皆知的是當它的結(jié)果常常不是您的預期時所帶來的煩惱。同樣惱人的是組策略有無數(shù)不同的功能，上千條設(shè)置項，使您難以決定對于特定問題何時可以使用這項技術(shù)。我曾幫助過很多朋友最有效地使用組策略，而且經(jīng)常發(fā)現(xiàn)同樣的一些惱人之處比他們的問題本身更有問題。以下是一些應對之策。

組策略設(shè)置不能馬上生效

對于某些特殊的組策略設(shè)置項有時需要重新啟動兩到三次才能生效。由于您不能確定設(shè)置是否有效，所以這種重啟可能令人不安。這種情況最常發(fā)生在“文件夾重定向”或“軟件安裝”組策略對象（GroupPolicyObject，GPO）上，且主要發(fā)生在WindowsXP上。

評論：對于“文件夾重定向”GPO出現(xiàn)的問題，還可參考微軟知識庫文章“組策略應用問題疑難解答”（http://support.microsoft.com/kb/250842）。（譯者）

這種延遲是由WindowsXP中稱作“快速登錄優(yōu)化”的特性引起的。為了使WindowsXP系統(tǒng)啟動和用戶登錄盡可能快速，微軟默認配置了被稱作“異步前臺組策略處理”的原則。這種方法基本上就是當計算機啟動時，在系統(tǒng)運行顯示用戶登錄對話框的同時處理該計算機特定配置的組策略。實際上，當用戶輸入用戶名和密碼開始登錄時，該機特定配置的組策略也許正在運行中。同樣，當用戶登錄時，與該用戶相關(guān)的組策略開始處理，在顯示桌面時也許仍在運行。特定的GPO設(shè)置，如“文件夾重定向”和“軟件安裝”，需要獨占訪問計算機或用戶環(huán)境才能運行。換言之，它們需要同步運行，不能異步運行。在系統(tǒng)提供給用戶登錄對話框或桌面之前，這些組策略必須處理完畢。那么我們?nèi)绾巫學indowsXP以同步方式運行GPO呢？當然還得使用組策略！

打開組策略編輯器，展開“計算機配置\管理模板\系統(tǒng)\登錄”，找到策略項“計算機啟動和登錄時總是等待網(wǎng)絡(luò)”，在您的WindowsXP計算機上啟用該項，這樣就會一直同步進行前臺組策略處理。用戶啟動機器和登錄會比原來花費更長的時間，但這也消除了配置特定種類的組策略時產(chǎn)生的多次重啟或登錄的麻煩。WindowsVista也像WindowsXP一樣設(shè)置為異步處理，而Windows2000默認設(shè)置為同步前臺處理。

組策略設(shè)置根本不起作用

有時組策略根本不能生效，而且我能看到在出問題的客戶機上的事件日志中的“應用程序”項下出現(xiàn)1058和1030事件錯誤記錄。這些錯誤似乎是系統(tǒng)不能讀取gpt.ini文件。遺憾的是這種錯誤比較普遍。因為很多問題都可能導致這些錯誤，所以最好的解決方法就是縮小可能導致錯誤的原因的范圍。

評論：事件1058大意是系統(tǒng)無法訪問gpt.ini，事件1030是Windows不能查詢組策略對象列表。請參考微軟知識庫文章“無法執(zhí)行組策略處理，事件1030和1058被記錄到域控制器的應用程序日志中”（http://support.microsoft.com/kb/842804），包括對此問題的詳細探討，并提供了修補程序下載。（譯者）

如果您注意到這種錯誤僅出現(xiàn)在計算機策略設(shè)置中，而不會出現(xiàn)在用戶策略設(shè)置中，原因可能是網(wǎng)絡(luò)棧超時問題（計算機啟動太快，網(wǎng)絡(luò)棧在系統(tǒng)嘗試處理組策略前沒時間初始化完全），所以計算機相關(guān)的策略處理失敗。而到了用戶準備好開始登錄時，網(wǎng)絡(luò)棧已初始化并運轉(zhuǎn)起來，所以用戶相關(guān)的策略處理正常。

微軟在某些版本的Windows中增加了一個很不錯的注冊表項，您可以用它來提示W(wǎng)indows等到網(wǎng)絡(luò)棧結(jié)束初始化后才能開始處理組策略。在微軟知識庫文章“在運行Windows2000、WindowsXPServicePack1或WindowsXPServicePack2的計算機上，組策略應用失敗”（http://support.microsoft.com/?kbid=840669）中描述了這個注冊表項。您也能在WindowsVista中發(fā)現(xiàn)同樣功能的一個GPO設(shè)置：“計算機配置\管理模板\系統(tǒng)\組策略\啟動策略處理等待時間”。

其它問題也可能導致這些錯誤信息。例如，也許gpt.ini文件確實不可訪問。該文件存儲在GPO的一部分中，而GPO存儲在您的網(wǎng)絡(luò)環(huán)境中的每個主域控制器（DomainController，DC）的SYSVOL共享中。在系統(tǒng)運行不管是計算機相關(guān)還是用戶相關(guān)的組策略時，都需要讀取該文件獲得GPO信息。如果該文件在系統(tǒng)讀取的DC上不存在，組策略將應用失敗。您可以查看注冊表項“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\

GroupPolicy\History\DCName”，確認組策略運行時連接哪個DC。

在您找到了出問題的DC后，確認SYSVOL確實已共享，也就是DFC服務在DC上已啟動（SYSVOL使用DFC復制），還要確認TCP/IPNetBIOSHelper服務已在客戶機上啟動（客戶機使用這個服務與DFS通訊）。在客戶機的命令行窗口鍵入：

netview\\<> 
 

該命令可驗證SYSVOL是否已共享，并使用netstart命令確認所有需要的服務都已啟動。然后還要檢查在事件日志中顯示為不可訪問文件的位置，確認該文件確實存在，且文件權(quán)限與您知道的組策略運行正常的其它DC上的文件權(quán)限一致。對于權(quán)限問題，組策略管理控制臺（GroupPolicyManagementConsole，GPMC）也許能派上用場。打開GPMC，集中到出問題的DC。為此，在GPMC的主域名稱上單擊右鍵，選擇“ChangeDomainController”，選擇出問題的DC，如圖1所示。在您把GPMC集中到出問題的DC上之后，轉(zhuǎn)到組策略對象容器下，選擇有問題的GPO。如果GPMC發(fā)現(xiàn)GPO上有權(quán)限問題，它會提示給您供您修改。

圖1：改動主域控制器

評論：對于管理分布式遠程服務器的管理員，需要一種解決方案來幫助他們限制在慢速WAN連接上的網(wǎng)絡(luò)通信量、在WAN中斷或服務器出現(xiàn)故障期間確保文件的可用性以及確保分支服務器正確地備份。WindowsServer2003的分布式文件系統(tǒng)（DFS）解決方案可以幫助管理員應對這些挑戰(zhàn)，方法是提供了兩項技術(shù)：“DFS命名空間”和“DFS復制”，這兩項技術(shù)一起使用時，可以提供簡化的、具有容錯能力的文件訪問以及負載共享和WAN友好復制。

可參考以下資源：“MicrosoftWindowsServer2003R2分布式文件系統(tǒng)解決方案概述”

（http://technet2.microsoft.com/WindowsServer/zh-CHS/Library/d3afe6ee-3083-49

50-a093-8ab748651b762052.mspx?mfr=true）、

“分布式文件系統(tǒng)技術(shù)中心”（https://www.microsoft.com/china/windowsserver2003

/technologies/storage/dfs/default.mspx）

以及“DeployingandAdministeringFileReplicationServiceforSYSVOLandDFS”

（http://www.microsoft.com/seminar/shared/asp/view.asp?url=/seminar/en

/20030424vcon26/manifest.xml）。（譯者）

實施環(huán)回策略的迷惑

如果您使用WindowsServer2003環(huán)境中的終端服務器（TerminalServer）組件，當用戶登錄到終端服務器以及自己的臺式機或筆記本電腦時，您希望能夠針對這兩種用戶給出不同的組策略設(shè)置。這種情況正是創(chuàng)建環(huán)回策略的原因，但這個策略實施起來可能令人迷惑。

環(huán)回策略的意思是：當?shù)卿浀絾⒂昧谁h(huán)回功能的特殊計算機上時，給用戶提供針對計算機對象定義的組策略配置，而不使用針對用戶對象定義的配置。實現(xiàn)環(huán)回策略的最簡單方法是把您的終端服務器計算機對象置入活動目錄下自己的管理單元（OrganizationalUnit，OU）中。然后新建一個GPO并將其鏈接到那個OU。在該GPO下，啟用策略項“計算機配置\管理模板\系統(tǒng)\組策略\用戶組策略環(huán)回處理模式”。該策略對那個OU下的計算機啟用環(huán)回處理。一般對于公共用途的計算機終端使用這種策略，可以不管誰登錄到機器上計算機都按照一種指定方式運行。

環(huán)回策略有兩種模式：合并和替換。您應根據(jù)您想實現(xiàn)的功能選擇某種模式。合并模式的意思是：當?shù)卿浀浇K端服務器時先應用通常的用戶策略，然后再應用這臺計算機的用戶策略。假如通常的用戶策略和這臺機器的用戶策略有沖突，則優(yōu)先應用這臺計算機的策略，因為它們是最后處理的。替換模式甚至不處理通常的用戶策略，只應用這臺計算機的用戶策略。

以我的經(jīng)驗，替換模式更易于管理，應該優(yōu)先采用，除非在用戶登錄到終端服務器時您需要應用某些通常的用戶策略。要注意如果您使用合并模式，當用戶登錄到終端服務器時某些策略可能會應用兩次。例如，如果您有定義在域級別上的登錄腳本，那么這些腳本既會應用到用戶對象上，也會應用到計算機對象上，由于計算機對象使用環(huán)回策略的合并模式，系統(tǒng)就會先對用戶對象運行一次登錄腳本，然后又在計算機對象上再運行一次。

如果您啟用了環(huán)回策略，要確保它只影響那些確實需要該功能的計算機（因此我建議在只包含有環(huán)回功能的計算機的特定OU上啟用環(huán)回策略）。如果您過于頻繁地啟用這一策略，就可能得到一些預料之外的結(jié)果，且無法探明出錯原因，這是由于您啟動這個策略時設(shè)置了一些特殊的、未公開的注冊表項。

組策略與IE設(shè)置有潛在沖突

在WindowsXPServicePack2（SP2）和WindowsServer2003SP1中，微軟在“管理模板”策略中加入了很多InternetExplorer（IE）的設(shè)置，這似乎與“IE維護”策略（“用戶配置\Windows設(shè)置\InternetExplorer維護”）中的內(nèi)容有沖突，或者至少有重疊。那么您應該在哪里設(shè)置IE策略呢？

遺憾的是，對此沒有明確的答案，但是您應該注意到微軟正在把IE的設(shè)置移到“管理模板”中，主要是對風格的設(shè)置，并降低了“IE維護”策略的重要性。這樣移動的根本原因是微軟在剛推出組策略時“IE維護”策略的設(shè)計有缺陷。“IE維護”策略有很多bug且通常難以使用。

您還是得使用“IE維護”策略來設(shè)置如瀏覽器代理設(shè)置或收藏夾等內(nèi)容。但是對于IE安全設(shè)置，您最好不要使用“IE維護”策略，而是使用“用戶配置\管理模板\Windows組件\InternetExplorer”下的策略。例如，如果您想為某個特殊安全區(qū)域配置信任站點，您可以使用“用戶配置\管理模板\Windows組件\InternetExplorer\Internet控制面板\安全頁”下的“站點到區(qū)域分配列表”策略。您也可以設(shè)定單獨區(qū)域的安全設(shè)置（在IE菜單“Internet選項”中的“安全”屬性頁可見），使用“用戶配置\管理模板\Windows組件\InternetExplorer\Internet控制面板\安全頁\Internet區(qū)域，Intranet區(qū)域”等策略。需要注意的是：不要在“IE維護”和“管理模板”兩處同時設(shè)置IE安全策略，它們會互相影響，造成不可預料的結(jié)果。

“IE維護”也有這樣一個惱人的特點：如果您設(shè)置了代理服務器的“連接設(shè)置”GPO，“IE維護”會從您當時用來編輯該GPO的那臺計算機上導入這些設(shè)置。所以如果您為某臺計算機設(shè)置了一個策略，然后又到另一臺IE連接設(shè)置不同的機器上，當您單擊按鈕修改設(shè)置時，您會發(fā)現(xiàn)新機器的設(shè)置與您最初編輯GPO的那臺機器的設(shè)置不同。這會引來沒完沒了的問題。正是出于這個原因，如果您不得不使用“IE維護”策略，那么您就需要經(jīng)常回過頭來，在您做出最初改動的那臺計算機上，繼續(xù)修改那些設(shè)置（如果您到最后一次編輯那個策略時還沒有修改過IE設(shè)置的話）。

從刪不掉GPO設(shè)置的域中移去計算機

有時您就是想把盤子都擦干凈，把所有對特定用戶或計算機做出的GPO設(shè)置統(tǒng)統(tǒng)刪掉。例如，假設(shè)您要把一臺計算機從一個活動目錄域中移到一個工作組里，而且您不再需要它上面有任何強加的組策略。這種情況下，您必須在把計算機移出活動目錄域之前采取特定的一系列步驟。您可不能只是把機器移出域就完事了，因為這臺機器上的所有GPO設(shè)置都會成為“孤兒”，由于這些設(shè)置是從基于域的GPO帶來的而在工作組中已不存在，所以您無法輕易刪除這些設(shè)置。

在您把計算機從域中移出之前，先把計算機在活動目錄中的賬號移到?jīng)]有鏈接任何GPO的OU中（而且要確保使用那個OU中的BlockInheritance標志來阻止任何上游GPO）。然后重啟計算機。對大多數(shù)策略設(shè)置來說，在重啟時處理組策略的過程中，計算機會發(fā)現(xiàn)以前應用過的GPO都已不再適用，所以那些可以被刪除的設(shè)置（如“管理模板”策略、“軟件安裝”策略）將在組策略處理過程中被刪除。

等到計算機“干凈”了以后，您就可以將其安全地從域中移出了。這個方法唯一要當心的是某些策略，如“計算機配置\Windows設(shè)置\安全設(shè)置”下面配置的安全設(shè)置策略不會被刪除，因為組策略不知道它們的默認值。這種情況下您可以使用secedit.exe命令行工具應用默認安全模板，該模板在您第一次安裝Windows時就已存在了。這個模板文件為“setupsecurity.inf”，在WindowsXPProfessional和WindowsServer2003的“C:\WINDOWS\security\templates”目錄下。您可以打開計算機的組策略編輯器（在“開始”*“運行”對話框中鍵入gpedit.msc），轉(zhuǎn)到“計算機配置\Windows設(shè)置\安全設(shè)置”，右鍵單擊該節(jié)點，從菜單中選擇“導入策略”，然后選擇“setupsecurity.inf”文件導入，借助這個模板輕松重置安全設(shè)置。

評論：secedit.exe命令行工具可以自動創(chuàng)建并應用模板，并分析系統(tǒng)的安全性，一般在分析或配置多臺計算機的安全性且需要在非工作時間執(zhí)行任務時更多地使用這一工具，從批處理文件或自動任務計劃程序中調(diào)用它。該命令的詳細語法請參考Windows幫助（在“Windows幫助和支持中心”里搜索“自動安全配置任務”）。（譯者）

總結(jié)：

我希望這篇文章觸及到很多您遇到過的組策略方面的問題，并且提供了有助于解決問題的一些新鮮的方法。毫無疑問組策略非常復雜，作為一個強大的配置管理系統(tǒng)，內(nèi)部有很多變動以及相互依賴關(guān)系，使得它更加復雜。當您遭遇到一些問題并與之苦苦搏斗時，只要知道遭罪的并不是只有您一位也就夠了。

【編輯推薦】

1. WindowsVista組策略詳解
2. WindowsVista如何部署組策略？
3. 如何在組策略編輯器中添加管理模板？
4. 如何通過組策略設(shè)置群集用戶賬戶登錄權(quán)限？
5. 如何在windows系統(tǒng)的域控制器中打開和使用組策略 ？