使用组策略并不总是那么容易。当然,当你可以从上到下设置时GPO当策略设置并反映在用户的桌面上时,这是一件令人愉快的事情。然而,当你想要一个团队策略时,在实现这个愿望之前,会有一个特定的过程。事实上,上一章讨论了何时应用组策略。现在,您了解了游戏的一般规则以及何时发生。
但是,如果发生事故呢?更具体地说,很难确定战略设置来自哪里以及如何应用。或者,如果团队策略不起作用,为什么不起作用,发生了什么?此外,你通常会受到批评,但这是审计(在第一位)8章“使用组策略实现安全”可以帮助你完成的任务。
用户可以打电话给服务台并大声宣称:“我桌面上的一切都刚刚改变!我希望他们能回到原来的状态!”好吧,当然,你也希望事情变得更好。但是涉及到很多变量。首先,有四个层次:本地团队策略(和Windows Vista更高版本可能包含多个本地版本GPO),网站、域和每个嵌套OU(所以可能还有更多的层次)。那么,更糟糕的是,如果多个管理员在您的环境中同时改变多个和多个组策略呢?谁知道谁使用了哪些组策略设置,以及一些用户如何应用组策略?
还涉及其他因素。例如,你可能有一个跨目录林信任另一个目录林Active Directory,用户登录整个地方–更不用说许愿和执行请求之间可能出错的一堆事情了。客户有望实现这一愿望。
以下是对GPO故障排除期望:
如果禁用了GPO或者禁用一半GPO,需要找到它。
也许有人决定禁止GPO没有告诉你链接?
本地、站点、域和多个嵌套OU之间,找到需要修复的东西GPO可能是一个挑战。此外,引入WMI筛选器会使难以回答的问题更加困难。
将多个GPO链接到Active Directory你可能需要在特定级别做一些额外的工作。
确保用户和计算机在正确的网站、域和OU这是一场战斗。确保他们有访问。GPO正确的权限是另一回事。
域控制器上搜索不适用的策略设置时GPO健康很重要。
组战略处理要求你的基础设施的所有部分都是健康的,包括看似无关的部分,比如DNS,在客户端和域控制器之间传递网络协议的能力。Active Directory设计等于好的(一致的)组策略处理。Active Directory(或复制)行为异常时,首先要检查的是DNS。就像我的好朋友一样Mark Minasi所说:“第二个地方题的第二个地方也是DNS。”这是因为Active Directory几乎总是有问题DNS配置错误引起的。
有时,由于错误,管理员为一台(或多台)计算机启用了回送策略处理。发生这种情况时,用户会看到意外的行为,因为通常应用于他的GPO突然变得异常。仅了解回送策略处理的工作原理可能会很棘手。我们不仅有两种不同的模式(“替换”或“合并”),而且您还可以在GPO本身上具有复杂的权限设置,这使得计算给定用户将要执行的设置变得困难。
您已经为Windows用户提供了VPN,或者已推出DirectAccess以获得无缝VPN体验。现在,您的客户如何以及何时处理GPO?这些只是您可能会遇到麻烦的几个地方。在具有不同处理行为的各种类型的客户之间,这些问题和偶尔的太阳耀斑使事情变得疯狂。故障排除会变得很复杂。快速。
在本章中,我们将首先探讨组策略的“生存”位置,以使您更好地了解正在发生的事情。然后,我们将探索一些技术和工具,使您可以更好地了解为什么要应用特定策略。
现在您可能正在运行任何数量的操作系统:从Windows XP到Windows 10的任何操作系统,更不用说服务器(充当组策略客户端),包括Windows Server 2003到Windows Server 2016。
在本章中,我们将着重于对Windows 10进行故障排除。不过,该材料在Windows 7和8上应该都能正常工作,因为它们的“直觉”非常类似。但是,为了在本书中为Windows 10留出一点空间,我确实在这里杀死了一些Windows XP信息。您将可以在本书的先前版本中找到有关Windows XP的深入故障排除信息。
就是说,这是您需要了解其他操作系统并进行故障排除的“图表”:
Windows XP和Windows Server 2003中共享相同的胆量,所以他们一般troubleshot相同。查找对Windows XP的引用。
Windows 8中,Windows Server 2012中,Windows 7中,Windows Vista中,Windows Server 2008中,和Windows Server 2008 R2都troubleshot相同。寻找参考
Windows 8,Windows 7或“ Windows Vista及更高版本”。
组策略的幕后
的Windows 8.1和Windows Server 2012是troubleshot相同。
的Windows 10和Windows Server 2016 troubleshot相同,但它应该是完全一样的Windows 8.1和Server 2012中,也出现了自Windows 8.1没有惊天动地的更新。
在某些情况下,可能会出现一个操作系统无法“适应实际情况”的情况。在这种情况下,我将为您明确指出。
组策略的幕后
如第1章所述,组策略范围有四个级别:本地组策略(包括多个本地组策略对象),然后是基于Active Directory的组策略的三个级别-站点,域和OU。在对组策略进行故障排除时,一种方法是首先对幕后的情况有一个全面的了解。小时候,我一直都把东西拆开。我的父母回家后变得很沮丧,洗碗机散落在整个厨房地板上。它没有坏;我只是想知道它是如何工作的。如果您像我,那么以下部分适合您。
请记住,当有人走到计算机,运行本地组策略对象编辑器(GPEDIT.MSC )并发出一个或三个愿望时,就会操纵GPO 。请记住,在Windows XP中,一台计算机上只有一个本地GPO,并且本地GPO会影响登录到该计算机的每个人。在Windows Vista和更高版本中,存在多个本地GPO(MLGPO)。
默认情况下,企业管理员在单个客户端计算机上没有本地管理员权限。域管理员(而非企业管理员)拥有本地组策略对象(LGPO)的权限。
一旦使用GPEDIT.MSC 做出了希望 并修改了本地组策略,则本地组策略将驻留在两个位置。第一部分基于文件,第二部分 基于注册表:
默认本地GPO的基于文件的部分可以在%windir%\ system32 \ grouppolicy中找到。
请记住,在Windows Vista和更高版本中,存在多个本地GPO(MLGPO)。因此,这些特定于用户和特定于组的GPO的存储位置与默认本地GPO的存储位置不同。即,它们存储在 名为GroupPolicyUsers 的\ Windows \ SYSTEM32 的新子文件夹中,如图7.1所示。
查看Windows 7本地GPO的目录
如图7.1所示,有三个SID命名的文件夹,它们包含本地GPO的用户特定部分。(请记住,计算机部分适用于所有人,因此这里没有显示计算机部分。)您在这里可能有三个以上的文件夹。在我的示例中,您在列表中看到的第一个SID(SID为S-1-5-213628237629-333814571-3360194165-1001)是我为其创建了用户特定本地GPO的用户帐户的SID。
而且,正如您从第1章所知,我可以定义任意数量的用户特定的本地GPO。每个用户特定的GPO都有自己的基于SID的文件夹。
如果决定定义本地GPO,则在图7.1中看到的文件夹类似于在Windows Vista和更高版本的系统上找到的文件夹。名为S-1-5-32-544的文件夹定义了Administrators GPO(并非巧合的是,它是内置Administrators组的SID)。同样,名为S-1-5-32-545的文件夹是内置Users组的SID,它代表非管理员本地GPO。
同样,您应该注意到默认本地GPO与这些用户特定的本地GPO之间的主要区别:默认本地GPO除了默认的用户文件夹之外,还包括计算机特定的计算机文件夹。但是,任何特定于用户的本地GPO都仅包含一个“用户”文件夹(因为它仅包含特定于用户的策略设置)。
在本地GPO镜像中找到的文件和文件夹大部分是基于Active Directory的GPO的基于文件的部分存储其内容的方式。这是个好消息,因为它使人们对两种GPO(本地GPO和基于域GPO)的理解几乎相等。
请随意检查%windir%\ system32 \ grouppolicy 文件夹,然后跳到本章后面的“组策略模板”部分,以获取文件结构的要点。但是请注意,在编辑本地GPO之前,可能不会存在所有结构。
组策略的幕后
这是有关组策略的奇怪部分(好像还不够奇怪)。第1章讨论了如何创建GPO涉及两个步骤。首先,将GPO写入组策略对象容器中,然后将其链接到级别-站点,域或OU。因此,我们知道GPO并没有真正“活在”它们所链接的级别。具体来说,所有GPO都生活在域中的“组策略对象”容器中。也就是说,它们始终保持嵌套在此容器中,但在逻辑上链接到(但不存储在)它们指向的其他级别。
我提到我们创建的GPO是在域内的虚拟池中四处游动。到目前为止,我们创建了四个影响故事情节的新GPO:
“隐藏屏幕保护程序选项,”这是我们应用到默认的第一个站点的名称网站
“禁止更改声音,”这是我们应用到Corp.com域
“隐藏鼠标指针选项/还原屏幕保护程序选项,”这是我们应用到 OU
“自动启动的calc.exe,”这是我们应用到 OU
也可能有其他GPO,它们没有关联并且只是在游泳池中闲逛,例如“从“开始”菜单中删除运行”或您创建的其他GPO。
我们可以将这些GPO的概念作为组策略对象容器中的游泳池中的对象进行检查,如下所示。
如您所见,GPO从不“活跃”在Active Directory中的任何级别。尽管可以(使用老式界面)显示它们的位置,但是它们并没有存储在任何特定级别。
重申一下,如果您利用应该影响站点,OU甚至域的GPO,则GPO本身不会直接存储在该级别。而是,GPO链接到Active Directory中的级别。调用GPO时,它必须请求域控制器从组策略对象容器(以及从SYSVOL中的其部分)中获取该GPO并将信息拉出。
每次创建新的GPO时,该GPO都会诞生并放入域中的游泳池中-如果链接到Active Directory中的某个级别,则可以立即采取行动。通过将GPO链接到另一级别的Active Directory,可以在Active Directory中的多个级别重用它。
因此,当创建GPO以便在站点,域或OU级别上使用时,它们总是在域游泳池(组策略对象容器)中创建,我们在需要的时候仅链接到所需的GPO。
我们将在这里继续有点混乱的讨论。我们将讨论与域相关的GPO,与OU相关的GPO,然后再讨论与站点相关的GPO。是的,是的,我们都知道“正确”的顺序是站点,域,OU,所以请在这里接受(我想您会在讨论结束后理解为什么我们会出现故障)。
由于我们知道所有GPO都只是挂在组策略对象容器中等待使用,因此我们可以进一步迈出这一步。也就是说,即使是那些链接到域级别的GPO也不免于被“获取”。当客户端使用域链接的GPO时,它们必须发出相同的请求并“询问”适用于它们的GPO的域控制器。 。
通常这不是问题。域控制器可以很轻松地将GPO放入游泳池以将其应用于域。但这正是为什么跨域 GPO链接如此缓慢而痛苦的原因。
例如,在具有多个域的环境中,回收位于另一个域中的现有GPO似乎更容易。但是,当需要在GPO中获取信息时,则需要将其从原始域的域控制器中完全带回。同样,这种跨域GPO链接非常非常痛苦,应不惜一切代价避免。在第2章“使用GPMC和通过Powershell管理组策略”的“基本域间复制和导入”部分中,我讨论了将GPO从一个域复制到另一个域的想法。这完全避免了该问题,因为从源域创建副本,然后将副本保存在您的域中没有“惩罚”。当然,它占用了新域的游泳池中的少量存储空间。但这比跨域链接更好。
由于GPO位于域级别的“组策略对象”容器中,因此组策略的工作方式具有明显的优势:这非常容易
将GPO移动,链接和取消链接到域和/或其OU。如果需要,可以取消链接域或OU中的GPO,然后将其链接回其他某个OU。或者,您可以将一个GPO链接到域和/或多个OU。
通常,您将使用OU来应用大多数GPO。如果GPO位于“组策略对象”容器游泳池中,则多个不相关的OU可以很容易地重用相同的GPO,而只需创建到现有GPO的新链接即可。
站点级GPO有点独特。如果您通过Active Directory站点和服务使用(或继续使用)旧界面来指示基于站点的GPO,那么您可能会痛苦不堪。默认情况下,使用老式界面创建的所有站点级GPO都将驻留在根 域的域控制器的“组策略对象”容器中,并且仅存在于根域(即第一个联机的Active Directory域)中。然后,每当客户端系统调用供站点使用的GPO时,则来自根域的域控制器必须获取该信息。如果距离根域最近的域控制器在新加坡,那就去吧。您可以看到疼痛可能加剧的地方。
GPMC基本上迫使我们以周到的方式创建基于站点的GPO。
具体来说,您需要在您选择的域游泳池中创建GPO。然后,您需要将GPO从域链接到所需的站点。如您在第1章中所看到的,我们首先在组策略对象容器中创建GPO。
这个想法是在有意义的域中创建GPO,并且该域最接近将使用站点链接GPO的位置。然后,一旦我们公开了该站点,我们只需添加到现有GPO的链接,该链接已在域游泳池中。简而言之,我们获得了GPO网站来利用最近的域的游泳池。当然,要考虑哪个游泳池最靠近站点中的用户和计算机,还需要进行一些额外的计划,但这是值得的。这样,我们不会要求新加坡的某些域控制器为纽约用户提供服务。
请记住,默认情况下,只有Enterprise Administrators组的成员(或根域中Domain Admins组的成员)才能创建新的站点级GPO或从站点级链接到现有GPO。(可选)可以委派此权利。
GPO的诞生,生与死
现在您了解了GPO的住处,我们可以采取下一步:了解GPO的“旅程”。具体来说,GPO是天生的,并且要保持生命就必须保持健康。如果它的用完了,您可以叫女高音男孩来重击它-再也看不见了。
在生出GPO之前,您需要具有这样做的权利,并且可以通过两种方式获得这些权利。首先,您可以是组策略创建者所有者或Domain Admins安全组的成员。
如果您是“组策略创建者所有者”组的成员,则有权创建但不链接GPO。域管理员可以创建GPO并将它们链接到所需的位置。
您还可以通过GPMC在组策略对象容器中的“委派”选项卡中授予显式权限(如第2章所述)。
右键单击“组策略对象”容器,然后选择“新建”,将诞生一个新的“组策略对象”。现在,您要开始执行一系列特定的事件。
首先,默认情况下,联系PDC仿真器以查看其是否可用于编写。否则,用户将收到一条RPC(远程过程调用)错误消息,如图7.2所示。
如果无法使用PDC仿真器进行写入,并且启动了GPO,则用户将收到错误消息。
当您使用GPMC创建新的GPO时,GPO最初就诞生了。它们是在PDC模拟器上创建的,然后再将它们复制到站点内以及站点之间的其他域控制器。假设可以使用PDC模拟器,则可以像在第1章中所做的那样,为GPO赋予一个友好的名称,例如“隐藏鼠标指针选项/还原屏幕保护程序选项”。
一旦发生这种情况,您的GPO便正式“诞生”。PDC仿真器已经代表您执行了某些功能:
该GPO被赋予一个唯一的ID采取它的形式为一个全局唯一标识符(GUID)。
它创建一个组策略容器(GPC)对象的政策文件夹中的Active Directory域分区的系统容器。可以将其视为Active Directory中新GPO的参考。
它创建一个组策略模板(GPT)在PDC模拟器的SYSVOL目录的政策文件。这是组成GPO的真实文件所在的位置。它们被复制到每个域控制器,以便更快地进行检索。
此外,如果“在这个域中建立一个GPO,并将其链接在这里”的时候集中在域或OU层次使用(或老派的接口使用),您刚刚创建的新GPO将自动链接到您关注的当前级别-域或OU。检查任何新GPO的属性时,您会看到该ID会自动给出,如图7.3所示。
每个GPO都有一个唯一的名称。
因此,每个GPO由两个组件(GPC和GPT)组成,并且这些组件在该域控制器上的两个位置之间分配。好消息是,这一切都与GPO的GUID有关。我们将在接下来的两个部分中探讨这些组件中的每一个。
Active Directory中的GPO由两个组成部分组成。一个部分是不够的,没有两个部分,GPO就无法生存。这两个部分都是必需的,以便传达GPO消息。
如您所见,GPO的生命来自这两个部分。
Active Directory数据库包含GPO的前半部分。不必太讨厌,但这只是对象(groupPolicyContainer 类的对象),我们称为组策略容器(GPC)。域中定义的每个GPO都有一个为其定义的GPC对象。然后,正是这个GPC对象可以保存与组策略对象相关的多个属性,例如版本和显示信息以及某些策略设置。GPC具有采用GUID格式的唯一名称-请参见侧栏“ GPC属性”。GUID 不是我们在管理GPO时使用的友好名称。友好名称存储为Active Directory中该GPC对象上的一个属性,称为displayName 。
通过进入“ Active Directory用户和计算机”控制台,可以查看所创建的每个组策略的GPC。
要查看GPC及其GUID,请按照下列步骤操作:
以域管理员身份登录到服务器DC01。
选择开始所有程序管理工具 Directory用户和计算机。
选择“查看”高级功能”,如图7.4所示,显示“策略”文件夹。
打开“高级功能”设置以查看“策略”文件夹(以及更多)。
展开“系统”文件夹以显示“策略”文件夹以及GPC,如图7.5所示。
到目前为止,我们一直在使用GPMC界面创建GPO。当我们使用GPMC创建GPO时,我们引用了GPMC中的组策略对象容器作为游泳池的表示。但GPMC没有显示你真正的游泳池,它显示你表示的游泳池。它向您显示的是游泳池的GPC部分。游泳池的另一半是GPT(我们将在下面讨论),GPT是Active Directory域中每个域控制器上存在的已复制SYSVOL文件夹中的文件。GPT的路径是\\ <域名> \ sysvol \ <域名> \ policies 。
展开“策略”文件夹以显示基础GPC对象。
在Active Directory中钻取GPC容器时,应该为每个已创建的GPO看到一个GUIDnamed文件夹,再为两个默认GPO(默认域策略和默认域控制器策略)看到另外两个GUIDnamed文件夹(我们将在中进行探讨)。第8章)。
实际上,这两个默认GPO具有所谓的“众所周知的GUID” 。”也就是说,无论您查看哪个AD域,这两个GPO的GUID都相同。它们在您的广告域中与我的域相同。这样很容易找到它们。当您一次又一次地看到这两个GUID时,您将立即知道它们代表哪些GPO。
在图7.5中,我已经创建了许多GPO。因此,我有很多容器。您可能更少。
|
|