Windows組策略常見問題的解決

　　有一句格言是“一分鐘的思考等價於一個小時盲目的工作，所以在開始使用解決組策略問題的工具和技術之前，您應該先考慮一下幾個簡單的問題。

　　1.組策略應該應用到哪些用戶和計算機？

　　這是一個非常重要的問題。比方說一個用戶抱怨他不能通過點擊開始菜單的快捷方式來安裝某一個程序，而它的另一位同事可以。像他的這種抱怨一定會讓您撓頭並想知道為什麼軟件安裝策略沒有應用到這位用戶。對於這種問題我們首先得搞清楚應不應該應用這個策略到這個用戶，或許可以安裝軟件的那個用戶與這個用戶不是在一個部門裡，而只有那個部門的用戶被允許使用這個軟件。所以實際上對於這種情況組策略設置沒有問題，問題是出在用戶上，用戶之間喜歡攀比，喜歡更多的特權，大多數公司都會有這種問題，關鍵是搞清楚組策略應該應用給誰。

　　2. 用戶與計算機沒用應用上正確的組策略

　　這個問題適用於用戶與計算機沒有得到他們應該得到的策略。5個銷售部的用戶反映他們無法訪問控制面板，您應該檢查連接到銷售部的組策略對象並查看是否“禁止訪問控制面板被啟用了(這個策略可以從User ConfigurationAdministrative TemplatesControl Panel訪問)，如果這個策略已經禁用或者未配置，那就檢查一下上層的策略或者是域策略的設置。

　　3.留意組策略發生問題的時間

　　留意發生問題的時間可能會幫助您立即找出問題所在，是在您做出對組策略改動後馬上出現問題的麼？比如連接一個新的GPO到一個OU；或者是否對AD做了一些管理性的改動？比如將計算機賬號從默認的計算機容器中移動到一個OU裡，在這種情況下，計算機不但會應用域的組策略，也會應用其所在OU的組策略。

　　4.什麼時候您配置的策略會實際生效？

　　當配置了策略，您會檢查所配置的策略是否已經按照您的要求應用到了計算機或用戶賬戶。這樣很好，但不要忘記組策略只會在後台周期性的更新，所以可能只要等待一會兒，所有的設置都OK了；也可能您所做的設置在刷新的時候並不會應用到用戶，需要他們再此登錄或者重新啟動計算機，比如軟件安裝策略，文件夾重定向策略，開機或登錄腳本等，這種情況下為了保證組策略能夠應用，可能會等到用戶一天工作結束，或者發個郵件讓他們注銷或重啟，最極端的就是遠程強制重啟，但如果用戶沒有保存他們的工作則會出現問題；也可能在重新啟動後有的策略沒有被應用，因為目標計算機與域控制器不是在一個本地網絡中，因為WAN連接帶寬的“組策略慢速連接監測會阻止某些策略。

　　以上我們所看的問題是提取了在進行組策略工作常常遇到的問題，它們可能不會十分准確地幫助我們解決問題，但至少會縮小我們考慮問題的范圍。現在我會介紹一些工具來幫助我們解決遇到的問題，但本文不會對如何使用這些工具作詳細介紹，只會給出一些提示來指出正確的方向。

　　1. 檢查受影響機器的網絡連接

　　可能因為網線沒接好，受組策略影響的用戶賬戶和計算機都無法連接到網絡，一個看起來很復雜的問題可能也就因為這麼一個簡單的小錯誤造成。

　　2. 檢查受影響的計算機是否能夠進行正確的域名解析

　　大概有一半的組策略問題都與域名解析有關系，比如在DNS服務器上有錯誤的資源記錄，在DHCP選項中沒有配置DNS服務器等。記住計算機在處理組策略的時候必須先得到一份它應該應用的GPO列表，所以它們需要聯系域控制器，為了定位域控制器它們需要有正確的DNS配置來從DNS服務器上查找SRV記錄，所以DNS不對，組策略也不會好使。在這裡介紹幾個檢查DNS的工具，IPCONFIG，NSLOOKUP，NETDIAG。

　　3. 如果您安裝了組策略管理控制台(GPMC)，運行組策略結果向導

　　選擇查詢一個用戶或計算機，它將查詢並生成一份HTML的報表顯示出連接了哪些GPO及被應用的組策略設置，您可以保存並查看它們，這是解決組策略問題的一個很好的方法。另一個方法是在受組策略影響的計算機上運行命令行程序GPRESULTS.EXE來查看應用的組策略，雖然也能得到組策略結果，但這種方法不如剛才的方便。除了生成組策略結果集報表，GPMC還可以幫助您解決組策略問題，您可以右擊一個GPO來生成一個包含其所有設置的報表，這樣可以方便的幫我們找出哪個GPO的設置實際影響到了容器內的賬戶。另一個好處是它可以幫您查看GPO都連接到了哪兒，哪些GPO被禁用了，哪些容器阻止繼承，哪些GPO強制繼承等信息。

　　以上我們所看的問題是提取了在進行組策略工作常常遇到的問題，它們可能不會十分准確地幫助我們解決問題，但至少會縮小我們考慮問題的范圍。現在我會介紹一些工具來幫助我們解決遇到的問題，但本文不會對如何使用這些工具作詳細介紹，只會給出一些提示來指出正確的方向。

　　1. 檢查受影響機器的網絡連接

　　可能因為網線沒接好，受組策略影響的用戶賬戶和計算機都無法連接到網絡，一個看起來很復雜的問題可能也就因為這麼一個簡單的小錯誤造成。

　　2. 檢查受影響的計算機是否能夠進行正確的域名解析

　　大概有一半的組策略問題都與域名解析有關系，比如在DNS服務器上有錯誤的資源記錄，在DHCP選項中沒有配置DNS服務器等。記住計算機在處理組策略的時候必須先得到一份它應該應用的GPO列表，所以它們需要聯系域控制器，為了定位域控制器它們需要有正確的DNS配置來從DNS服務器上查找SRV記錄，所以DNS不對，組策略也不會好使。在這裡介紹幾個檢查DNS的工具，IPCONFIG，NSLOOKUP，NETDIAG。

　　3. 如果您安裝了組策略管理控制台(GPMC)，運行組策略結果向導

　　選擇查詢一個用戶或計算機，它將查詢並生成一份HTML的報表顯示出連接了哪些GPO及被應用的組策略設置，您可以保存並查看它們，這是解決組策略問題的一個很好的方法。另一個方法是在受組策略影響的計算機上運行命令行程序GPRESULTS.EXE來查看應用的組策略，雖然也能得到組策略結果，但這種方法不如剛才的方便。除了生成組策略結果集報表，GPMC還可以幫助您解決組策略問題，您可以右擊一個GPO來生成一個包含其所有設置的報表，這樣可以方便的幫我們找出哪個GPO的設置實際影響到了容器內的賬戶。另一個好處是它可以幫您查看GPO都連接到了哪兒，哪些GPO被禁用了，哪些容器阻止繼承，哪些GPO強制繼承等信息。

　　以上我們所看的問題是提取了在進行組策略工作常常遇到的問題，它們可能不會十分准確地幫助我們解決問題，但至少會縮小我們考慮問題的范圍。現在我會介紹一些工具來幫助我們解決遇到的問題，但本文不會對如何使用這些工具作詳細介紹，只會給出一些提示來指出正確的方向。

　　1. 檢查受影響機器的網絡連接

　　可能因為網線沒接好，受組策略影響的用戶賬戶和計算機都無法連接到網絡，一個看起來很復雜的問題可能也就因為這麼一個簡單的小錯誤造成。

　　2. 檢查受影響的計算機是否能夠進行正確的域名解析

　　大概有一半的組策略問題都與域名解析有關系，比如在DNS服務器上有錯誤的資源記錄，在DHCP選項中沒有配置DNS服務器等。記住計算機在處理組策略的時候必須先得到一份它應該應用的GPO列表，所以它們需要聯系域控制器，為了定位域控制器它們需要有正確的DNS配置來從DNS服務器上查找SRV記錄，所以DNS不對，組策略也不會好使。在這裡介紹幾個檢查DNS的工具，IPCONFIG，NSLOOKUP，NETDIAG。

　　3. 如果您安裝了組策略管理控制台(GPMC)，運行組策略結果向導

　　選擇查詢一個用戶或計算機，它將查詢並生成一份HTML的報表顯示出連接了哪些GPO及被應用的組策略設置，您可以保存並查看它們，這是解決組策略問題的一個很好的方法。另一個方法是在受組策略影響的計算機上運行命令行程序GPRESULTS.EXE來查看應用的組策略，雖然也能得到組策略結果，但這種方法不如剛才的方便。除了生成組策略結果集報表，GPMC還可以幫助您解決組策略問題，您可以右擊一個GPO來生成一個包含其所有設置的報表，這樣可以方便的幫我們找出哪個GPO的設置實際影響到了容器內的賬戶。另一個好處是它可以幫您查看GPO都連接到了哪兒，哪些GPO被禁用了，哪些容器阻止繼承，哪些GPO強制繼承等信息。

　　以上我們所看的問題是提取了在進行組策略工作常常遇到的問題，它們可能不會十分准確地幫助我們解決問題，但至少會縮小我們考慮問題的范圍。現在我會介紹一些工具來幫助我們解決遇到的問題，但本文不會對如何使用這些工具作詳細介紹，只會給出一些提示來指出正確的方向。

　　1. 檢查受影響機器的網絡連接

　　可能因為網線沒接好，受組策略影響的用戶賬戶和計算機都無法連接到網絡，一個看起來很復雜的問題可能也就因為這麼一個簡單的小錯誤造成。

　　2. 檢查受影響的計算機是否能夠進行正確的域名解析

　　大概有一半的組策略問題都與域名解析有關系，比如在DNS服務器上有錯誤的資源記錄，在DHCP選項中沒有配置DNS服務器等。記