組策略對于系統(tǒng)管理員來說至關(guān)重要，但是組策略出現(xiàn)麻煩時(shí)對于系統(tǒng)管理員來說也是頭疼之至，下文就組策略故障排除進(jìn)行了詳細(xì)的描述。

組策略的威力已是盡人皆知，但同樣盡人皆知的是當(dāng)它的結(jié)果常常不是您的預(yù)期時(shí)所帶來的煩惱。同樣惱人的是組策略有無數(shù)不同的功能，上千條設(shè)置項(xiàng)，使您難以決定對于特定問題何時(shí)可以使用這項(xiàng)技術(shù)。我曾幫助過很多朋友最有效地使用組策略，而且經(jīng)常發(fā)現(xiàn)同樣的一些惱人之處比他們的問題本身更有問題。以下是一些應(yīng)對之策。

組策略設(shè)置不能馬上生效

對于某些特殊的組策略設(shè)置項(xiàng)有時(shí)需要重新啟動兩到三次才能生效。由于您不能確定設(shè)置是否有效，所以這種重啟可能令人不安。這種情況最常發(fā)生在“文件夾重定向”或“軟件安裝”組策略對象（GroupPolicyObject，GPO）上，且主要發(fā)生在WindowsXP上。

評論：對于“文件夾重定向”GPO出現(xiàn)的問題，還可參考微軟知識庫文章“組策略應(yīng)用問題疑難解答”（http://support.microsoft.com/kb/250842）。（譯者）

這種延遲是由WindowsXP中稱作“快速登錄優(yōu)化”的特性引起的。為了使WindowsXP系統(tǒng)啟動和用戶登錄盡可能快速，微軟默認(rèn)配置了被稱作“異步前臺組策略處理”的原則。這種方法基本上就是當(dāng)計(jì)算機(jī)啟動時(shí)，在系統(tǒng)運(yùn)行顯示用戶登錄對話框的同時(shí)處理該計(jì)算機(jī)特定配置的組策略。實(shí)際上，當(dāng)用戶輸入用戶名和密碼開始登錄時(shí)，該機(jī)特定配置的組策略也許正在運(yùn)行中。同樣，當(dāng)用戶登錄時(shí)，與該用戶相關(guān)的組策略開始處理，在顯示桌面時(shí)也許仍在運(yùn)行。特定的GPO設(shè)置，如“文件夾重定向”和“軟件安裝”，需要獨(dú)占訪問計(jì)算機(jī)或用戶環(huán)境才能運(yùn)行。換言之，它們需要同步運(yùn)行，不能異步運(yùn)行。在系統(tǒng)提供給用戶登錄對話框或桌面之前，這些組策略必須處理完畢。那么我們?nèi)绾巫學(xué)indowsXP以同步方式運(yùn)行GPO呢？當(dāng)然還得使用組策略！

打開組策略編輯器，展開“計(jì)算機(jī)配置\管理模板\系統(tǒng)\登錄”，找到策略項(xiàng)“計(jì)算機(jī)啟動和登錄時(shí)總是等待網(wǎng)絡(luò)”，在您的WindowsXP計(jì)算機(jī)上啟用該項(xiàng)，這樣就會一直同步進(jìn)行前臺組策略處理。用戶啟動機(jī)器和登錄會比原來花費(fèi)更長的時(shí)間，但這也消除了配置特定種類的組策略時(shí)產(chǎn)生的多次重啟或登錄的麻煩。WindowsVista也像WindowsXP一樣設(shè)置為異步處理，而Windows2000默認(rèn)設(shè)置為同步前臺處理。

組策略設(shè)置根本不起作用

有時(shí)組策略根本不能生效，而且我能看到在出問題的客戶機(jī)上的事件日志中的“應(yīng)用程序”項(xiàng)下出現(xiàn)1058和1030事件錯(cuò)誤記錄。這些錯(cuò)誤似乎是系統(tǒng)不能讀取gpt.ini文件。遺憾的是這種錯(cuò)誤比較普遍。因?yàn)楹芏鄦栴}都可能導(dǎo)致這些錯(cuò)誤，所以最好的解決方法就是縮小可能導(dǎo)致錯(cuò)誤的原因的范圍。

評論：事件1058大意是系統(tǒng)無法訪問gpt.ini，事件1030是Windows不能查詢組策略對象列表。請參考微軟知識庫文章“無法執(zhí)行組策略處理，事件1030和1058被記錄到域控制器的應(yīng)用程序日志中”（http://support.microsoft.com/kb/842804），包括對此問題的詳細(xì)探討，并提供了修補(bǔ)程序下載。（譯者）

如果您注意到這種錯(cuò)誤僅出現(xiàn)在計(jì)算機(jī)策略設(shè)置中，而不會出現(xiàn)在用戶策略設(shè)置中，原因可能是網(wǎng)絡(luò)棧超時(shí)問題（計(jì)算機(jī)啟動太快，網(wǎng)絡(luò)棧在系統(tǒng)嘗試處理組策略前沒時(shí)間初始化完全），所以計(jì)算機(jī)相關(guān)的策略處理失敗。而到了用戶準(zhǔn)備好開始登錄時(shí)，網(wǎng)絡(luò)棧已初始化并運(yùn)轉(zhuǎn)起來，所以用戶相關(guān)的策略處理正常。

微軟在某些版本的Windows中增加了一個(gè)很不錯(cuò)的注冊表項(xiàng)，您可以用它來提示W(wǎng)indows等到網(wǎng)絡(luò)棧結(jié)束初始化后才能開始處理組策略。在微軟知識庫文章“在運(yùn)行Windows2000、WindowsXPServicePack1或WindowsXPServicePack2的計(jì)算機(jī)上，組策略應(yīng)用失敗”（http://support.microsoft.com/?kbid=840669）中描述了這個(gè)注冊表項(xiàng)。您也能在WindowsVista中發(fā)現(xiàn)同樣功能的一個(gè)GPO設(shè)置：“計(jì)算機(jī)配置\管理模板\系統(tǒng)\組策略\啟動策略處理等待時(shí)間”。

其它問題也可能導(dǎo)致這些錯(cuò)誤信息。例如，也許gpt.ini文件確實(shí)不可訪問。該文件存儲在GPO的一部分中，而GPO存儲在您的網(wǎng)絡(luò)環(huán)境中的每個(gè)主域控制器（DomainController，DC）的SYSVOL共享中。在系統(tǒng)運(yùn)行不管是計(jì)算機(jī)相關(guān)還是用戶相關(guān)的組策略時(shí)，都需要讀取該文件獲得GPO信息。如果該文件在系統(tǒng)讀取的DC上不存在，組策略將應(yīng)用失敗。您可以查看注冊表項(xiàng)“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\

GroupPolicy\History\DCName”，確認(rèn)組策略運(yùn)行時(shí)連接哪個(gè)DC。

在您找到了出問題的DC后，確認(rèn)SYSVOL確實(shí)已共享，也就是DFC服務(wù)在DC上已啟動（SYSVOL使用DFC復(fù)制），還要確認(rèn)TCP/IPNetBIOSHelper服務(wù)已在客戶機(jī)上啟動（客戶機(jī)使用這個(gè)服務(wù)與DFS通訊）。在客戶機(jī)的命令行窗口鍵入：

netview\\<> 
 

該命令可驗(yàn)證SYSVOL是否已共享，并使用netstart命令確認(rèn)所有需要的服務(wù)都已啟動。然后還要檢查在事件日志中顯示為不可訪問文件的位置，確認(rèn)該文件確實(shí)存在，且文件權(quán)限與您知道的組策略運(yùn)行正常的其它DC上的文件權(quán)限一致。對于權(quán)限問題，組策略管理控制臺（GroupPolicyManagementConsole，GPMC）也許能派上用場。打開GPMC，集中到出問題的DC。為此，在GPMC的主域名稱上單擊右鍵，選擇“ChangeDomainController”，選擇出問題的DC，如圖1所示。在您把GPMC集中到出問題的DC上之后，轉(zhuǎn)到組策略對象容器下，選擇有問題的GPO。如果GPMC發(fā)現(xiàn)GPO上有權(quán)限問題，它會提示給您供您修改。

圖1：改動主域控制器

評論：對于管理分布式遠(yuǎn)程服務(wù)器的管理員，需要一種解決方案來幫助他們限制在慢速WAN連接上的網(wǎng)絡(luò)通信量、在WAN中斷或服務(wù)器出現(xiàn)故障期間確保文件的可用性以及確保分支服務(wù)器正確地備份。WindowsServer2003的分布式文件系統(tǒng)（DFS）解決方案可以幫助管理員應(yīng)對這些挑戰(zhàn)，方法是提供了兩項(xiàng)技術(shù)：“DFS命名空間”和“DFS復(fù)制”，這兩項(xiàng)技術(shù)一起使用時(shí)，可以提供簡化的、具有容錯(cuò)能力的文件訪問以及負(fù)載共享和WAN友好復(fù)制。

可參考以下資源：“MicrosoftWindowsServer2003R2分布式文件系統(tǒng)解決方案概述”

（http://technet2.microsoft.com/WindowsServer/zh-CHS/Library/d3afe6ee-3083-49

50-a093-8ab748651b762052.mspx?mfr=true）、

“分布式文件系統(tǒng)技術(shù)中心”（https://www.microsoft.com/china/windowsserver2003

/technologies/storage/dfs/default.mspx）

以及“DeployingandAdministeringFileReplicationServiceforSYSVOLandDFS”

（http://www.microsoft.com/seminar/shared/asp/view.asp?url=/seminar/en

/20030424vcon26/manifest.xml）。（譯者）

實(shí)施環(huán)回策略的迷惑

如果您使用WindowsServer2003環(huán)境中的終端服務(wù)器（TerminalServer）組件，當(dāng)用戶登錄到終端服務(wù)器以及自己的臺式機(jī)或筆記本電腦時(shí)，您希望能夠針對這兩種用戶給出不同的組策略設(shè)置。這種情況正是創(chuàng)建環(huán)回策略的原因，但這個(gè)策略實(shí)施起來可能令人迷惑。

環(huán)回策略的意思是：當(dāng)?shù)卿浀絾⒂昧谁h(huán)回功能的特殊計(jì)算機(jī)上時(shí)，給用戶提供針對計(jì)算機(jī)對象定義的組策略配置，而不使用針對用戶對象定義的配置。實(shí)現(xiàn)環(huán)回策略的最簡單方法是把您的終端服務(wù)器計(jì)算機(jī)對象置入活動目錄下自己的管理單元（OrganizationalUnit，OU）中。然后新建一個(gè)GPO并將其鏈接到那個(gè)OU。在該GPO下，啟用策略項(xiàng)“計(jì)算機(jī)配置\管理模板\系統(tǒng)\組策略\用戶組策略環(huán)回處理模式”。該策略對那個(gè)OU下的計(jì)算機(jī)啟用環(huán)回處理。一般對于公共用途的計(jì)算機(jī)終端使用這種策略，可以不管誰登錄到機(jī)器上計(jì)算機(jī)都按照一種指定方式運(yùn)行。

環(huán)回策略有兩種模式：合并和替換。您應(yīng)根據(jù)您想實(shí)現(xiàn)的功能選擇某種模式。合并模式的意思是：當(dāng)?shù)卿浀浇K端服務(wù)器時(shí)先應(yīng)用通常的用戶策略，然后再應(yīng)用這臺計(jì)算機(jī)的用戶策略。假如通常的用戶策略和這臺機(jī)器的用戶策略有沖突，則優(yōu)先應(yīng)用這臺計(jì)算機(jī)的策略，因?yàn)樗鼈兪亲詈筇幚淼摹Ｌ鎿Q模式甚至不處理通常的用戶策略，只應(yīng)用這臺計(jì)算機(jī)的用戶策略。

以我的經(jīng)驗(yàn)，替換模式更易于管理，應(yīng)該優(yōu)先采用，除非在用戶登錄到終端服務(wù)器時(shí)您需要應(yīng)用某些通常的用戶策略。要注意如果您使用合并模式，當(dāng)用戶登錄到終端服務(wù)器時(shí)某些策略可能會應(yīng)用兩次。例如，如果您有定義在域級別上的登錄腳本，那么這些腳本既會應(yīng)用到用戶對象上，也會應(yīng)用到計(jì)算機(jī)對象上，由于計(jì)算機(jī)對象使用環(huán)回策略的合并模式，系統(tǒng)就會先對用戶對象運(yùn)行一次登錄腳本，然后又在計(jì)算機(jī)對象上再運(yùn)行一次。

如果您啟用了環(huán)回策略，要確保它只影響那些確實(shí)需要該功能的計(jì)算機(jī)（因此我建議在只包含有環(huán)回功能的計(jì)算機(jī)的特定OU上啟用環(huán)回策略）。如果您過于頻繁地啟用這一策略，就可能得到一些預(yù)料之外的結(jié)果，且無法探明出錯(cuò)原因，這是由于您啟動這個(gè)策略時(shí)設(shè)置了一些特殊的、未公開的注冊表項(xiàng)。

組策略與IE設(shè)置有潛在沖突

在WindowsXPServicePack2（SP2）和WindowsServer2003SP1中，微軟在“管理模板”策略中加入了很多InternetExplorer（IE）的設(shè)置，這似乎與“IE維護(hù)”策略（“用戶配置\Windows設(shè)置\InternetExplorer維護(hù)”）中的內(nèi)容有沖突，或者至少有重疊。那么您應(yīng)該在哪里設(shè)置IE策略呢？

遺憾的是，對此沒有明確的答案，但是您應(yīng)該注意到微軟正在把IE的設(shè)置移到“管理模板”中，主要是對風(fēng)格的設(shè)置，并降低了“IE維護(hù)”策略的重要性。這樣移動的根本原因是微軟在剛推出組策略時(shí)“IE維護(hù)”策略的設(shè)計(jì)有缺陷。“IE維護(hù)”策略有很多bug且通常難以使用。

您還是得使用“IE維護(hù)”策略來設(shè)置如瀏覽器代理設(shè)置或收藏夾等內(nèi)容。但是對于IE安全設(shè)置，您最好不要使用“IE維護(hù)”策略，而是使用“用戶配置\管理模板\Windows組件\InternetExplorer”下的策略。例如，如果您想為某個(gè)特殊安全區(qū)域配置信任站點(diǎn)，您可以使用“用戶配置\管理模板\Windows組件\InternetExplorer\Internet控制面板\安全頁”下的“站點(diǎn)到區(qū)域分配列表”策略。您也可以設(shè)定單獨(dú)區(qū)域的安全設(shè)置（在IE菜單“Internet選項(xiàng)”中的“安全”屬性頁可見），使用“用戶配置\管理模板\Windows組件\InternetExplorer\Internet控制面板\安全頁\Internet區(qū)域，Intranet區(qū)域”等策略。需要注意的是：不要在“IE維護(hù)”和“管理模板”兩處同時(shí)設(shè)置IE安全策略，它們會互相影響，造成不可預(yù)料的結(jié)果。

“IE維護(hù)”也有這樣一個(gè)惱人的特點(diǎn)：如果您設(shè)置了代理服務(wù)器的“連接設(shè)置”GPO，“IE維護(hù)”會從您當(dāng)時(shí)用來編輯該GPO的那臺計(jì)算機(jī)上導(dǎo)入這些設(shè)置。所以如果您為某臺計(jì)算機(jī)設(shè)置了一個(gè)策略，然后又到另一臺IE連接設(shè)置不同的機(jī)器上，當(dāng)您單擊按鈕修改設(shè)置時(shí)，您會發(fā)現(xiàn)新機(jī)器的設(shè)置與您最初編輯GPO的那臺機(jī)器的設(shè)置不同。這會引來沒完沒了的問題。正是出于這個(gè)原因，如果您不得不使用“IE維護(hù)”策略，那么您就需要經(jīng)?；剡^頭來，在您做出最初改動的那臺計(jì)算機(jī)上，繼續(xù)修改那些設(shè)置（如果您到最后一次編輯那個(gè)策略時(shí)還沒有修改過IE設(shè)置的話）。

從刪不掉GPO設(shè)置的域中移去計(jì)算機(jī)

有時(shí)您就是想把盤子都擦干凈，把所有對特定用戶或計(jì)算機(jī)做出的GPO設(shè)置統(tǒng)統(tǒng)刪掉。例如，假設(shè)您要把一臺計(jì)算機(jī)從一個(gè)活動目錄域中移到一個(gè)工作組里，而且您不再需要它上面有任何強(qiáng)加的組策略。這種情況下，您必須在把計(jì)算機(jī)移出活動目錄域之前采取特定的一系列步驟。您可不能只是把機(jī)器移出域就完事了，因?yàn)檫@臺機(jī)器上的所有GPO設(shè)置都會成為“孤兒”，由于這些設(shè)置是從基于域的GPO帶來的而在工作組中已不存在，所以您無法輕易刪除這些設(shè)置。

在您把計(jì)算機(jī)從域中移出之前，先把計(jì)算機(jī)在活動目錄中的賬號移到?jīng)]有鏈接任何GPO的OU中（而且要確保使用那個(gè)OU中的BlockInheritance標(biāo)志來阻止任何上游GPO）。然后重啟計(jì)算機(jī)。對大多數(shù)策略設(shè)置來說，在重啟時(shí)處理組策略的過程中，計(jì)算機(jī)會發(fā)現(xiàn)以前應(yīng)用過的GPO都已不再適用，所以那些可以被刪除的設(shè)置（如“管理模板”策略、“軟件安裝”策略）將在組策略處理過程中被刪除。

等到計(jì)算機(jī)“干凈”了以后，您就可以將其安全地從域中移出了。這個(gè)方法唯一要當(dāng)心的是某些策略，如“計(jì)算機(jī)配置\Windows設(shè)置\安全設(shè)置”下面配置的安全設(shè)置策略不會被刪除，因?yàn)榻M策略不知道它們的默認(rèn)值。這種情況下您可以使用secedit.exe命令行工具應(yīng)用默認(rèn)安全模板，該模板在您第一次安裝Windows時(shí)就已存在了。這個(gè)模板文件為“setupsecurity.inf”，在WindowsXPProfessional和WindowsServer2003的“C:\WINDOWS\security\templates”目錄下。您可以打開計(jì)算機(jī)的組策略編輯器（在“開始”*“運(yùn)行”對話框中鍵入gpedit.msc），轉(zhuǎn)到“計(jì)算機(jī)配置\Windows設(shè)置\安全設(shè)置”，右鍵單擊該節(jié)點(diǎn)，從菜單中選擇“導(dǎo)入策略”，然后選擇“setupsecurity.inf”文件導(dǎo)入，借助這個(gè)模板輕松重置安全設(shè)置。

評論：secedit.exe命令行工具可以自動創(chuàng)建并應(yīng)用模板，并分析系統(tǒng)的安全性，一般在分析或配置多臺計(jì)算機(jī)的安全性且需要在非工作時(shí)間執(zhí)行任務(wù)時(shí)更多地使用這一工具，從批處理文件或自動任務(wù)計(jì)劃程序中調(diào)用它。該命令的詳細(xì)語法請參考Windows幫助（在“Windows幫助和支持中心”里搜索“自動安全配置任務(wù)”）。（譯者）

總結(jié)：

我希望這篇文章觸及到很多您遇到過的組策略方面的問題，并且提供了有助于解決問題的一些新鮮的方法。毫無疑問組策略非常復(fù)雜，作為一個(gè)強(qiáng)大的配置管理系統(tǒng)，內(nèi)部有很多變動以及相互依賴關(guān)系，使得它更加復(fù)雜。當(dāng)您遭遇到一些問題并與之苦苦搏斗時(shí)，只要知道遭罪的并不是只有您一位也就夠了。

【編輯推薦】

1. WindowsVista組策略詳解
2. WindowsVista如何部署組策略？
3. 如何在組策略編輯器中添加管理模板？
4. 如何通過組策略設(shè)置群集用戶賬戶登錄權(quán)限？
5. 如何在windows系統(tǒng)的域控制器中打開和使用組策略 ？