組策略的設置對于系統管理員來說是至關重要的，同樣，組策略的安全性對于管理員來說其重要性更是不言而喻。本文介紹了Windows Server 2003組策略故障排除的六個方法，具體內容如下所述。

如果你曾使用過 Windows 2000 ，或初涉 Windows Server 2003 還是已經完成過一次系統配置，你至少會對組策略稍微有所了解，知道它可以被用來大大簡化對系統構架的管理。不幸的是，同其他所有技術一樣，在意外發生時我們仍然需要對組策略進行排障。這里給出了六個你可能會在Windows Server 2003組 策略中遇到的問題及其解決方法。

1、對特定用戶和計算機應用策略時出現意外結果

假設你已經創建了一個新的設置組策略對象。然而，設置還沒有被應用到目標對象上。類似于這樣的組策略問題比較難捕捉。然而，微軟采用了新的組 策略管理控制臺（Group Policy Management Console），你可以 免費下載。該工 具包括了一個向導程序，你可以迅速的查看同策略相關的組策略結果集（Resultant Set of Policy即RSoP）信息。圖1顯示了特定計算機上的特定用戶的 RsoP信息。

圖1：在名為RAS服務器上的管理員RSoP

正如你所見，默認的域策略被Windows管理體系結構（WMI，Windows Management Instrumentation）過濾器所拒絕，原因是WMI出錯。這給出了確定組策略 問題出在何處的重要的第一步。在這種情況下，策略并沒有被應用，因為WMI過濾器認為在用戶登錄 Professional時策略僅僅會被應用到該用 戶上。而該特定用戶現在正登錄到一臺Windows Server 2003計算機，由此造成了過濾失效。圖2顯示了WMI過濾器所引發的GPO應用程序在Windows Server 2003上的失效。

圖2：WMI過濾器指示Windows XP Pro

作為一種選擇，你可以使用gpresult.exe Windows Server 2003 Resource Kit命令行工具來查看RsoP操作的詳細情況。因為GPMC功能如此強大且易于使用， 我將不會在本文中討論gpresult.exe。

2.即使沒有通過WMI過濾器測試，策略還是被應用到Windows 2000計算機上 

這是一個容易解決的問題。WMI過濾器僅在Windows XP和Windows Server 2003客戶端下得到支持。Windows 2000并不支持WMI過濾器，因此無論如何策略 都會被應用。

3.策略沒有被應用到Windows NT或Windows 9x計算機上

只有運行Windows 2000或更新的的計算機才可以使用組策略。早期的系統并不支持組策略。

4.無法管理GPO

類似于其他絕大多數的對象，組策略對象具有同其相關的安全許可權限。如果在處理GPO時遇到了麻煩，或許是因為你并沒有合適的權限來管理它。要 檢查誰具備管理GPO的權限可以采取如下步驟。啟動組策略管理控制臺并選擇你所工作域下的GPO。然后選擇Delegation（授權）選項卡來查看允許對 GPO進行操作的用戶和組。

如圖3所示，Authenticated User可以讀取GPO。這條信息很有用，因為它不會被應用到其他地方。否則其他各種對象都會有權限對GPO進行編輯、刪除， 以及執行其他的操作。

圖3：GPO安全信息

要解決這一問題，你需要作為具有修改GPO權限的用戶登錄。登錄后，你就可以修改GPO以完成所需的操作，或是賦予原始用戶對象改變GPO的權利。 在理論上，應當把沒有修改GPO權限的管理員用戶對象添加到一個擁有修改GPO權限的組中使用戶對象擁有相關權限，而不是直接將權限指定給用戶對象。

5.已經應用了GPO的更新，但客戶并沒有獲得更新結果

假設你已經確定計算機通過了RsoP測試，并且客戶獲得了策略設置情況。如果出現了這種問題，有以下幾個可能：

首先，如果你有多個域控制器，你應當等待一段時間，這樣可以確保策略有足夠的時間被復制到網絡上其他所有的域控制器上。如果時間太短，這就可 能引發問題。

如果已經有一段時間了，但新的策略設置還沒有生效，那么可以使用GPOTool來檢查復制狀態。GPOTool將從每個域控制器中讀取所有的組策略信息并對 其進行比較。GPOTool可以作為Windows Server 2003 Resource Kit的一部分從微軟站點下載。你可以通過在命令提示符下輸入gpotool來使用這一工具。在輸 入命令后，你可以看到類似的文字：

C:/Documents and Settings/Administrator>gpotool  
 
Validating DCs...   
 
Available DCs:  
 
ras.example.com  
 
Searching for policies...  
 
Found 2 policies   
 
======================================  
 
Policy {31B2F340-016D-11D2-945F-00C04FB984F9}  
 
Friendly name: Default Domain Policy  
 
Policy OK 
 
======================================  
 
Policy {6AC1786C-016F-11D2-945F-00C04FB984F9}  
 
Friendly name: Default Domain Controllers Policy  
 
Policy OK 
 
======================================  
 
Policies OK  
 

在本例中，有一個單獨的域控制器，所有的策略測試都被通過。GPOTool有一些命令行選項：

/gpo:GPO[,GPO]…— 需要檢查的GPO；可以指定GUID或GPO名；默認為當前域的所有GPO；

/domain:name—GPO所在域的域名；

/dc:{domain controller}[,{domain controller}—處理GPO的域控制器名稱列表；

/checkacl—在每臺服務器上對sysvol驗證ACL；

/verbose—在處理過程中顯示詳細信息；

如果域控制器之間的復制出了問題，那么應當修正此問題并嘗試重新進行域策略操作。你可以嘗試通過強制復制來確定這能否解決GPO問題，但由于這 會是一個很長的過程，因此該方法不被推薦。

關于復制和組策略的更多信息

組策略同時依賴于活動目錄復制和文件系統復制。活動目錄復制負責復制目錄組策略容器，包括哪些策略應用到哪些用戶和計算機的信息。文件系統復 制則用于復制SYSVOL共享，它為每個GPO包含了一個模板。只有活動目錄復制可以被強制執行。

客戶組策略更新

造成問題的第二個潛在原因在客戶方面，即組策略更新周期。這個周期定義了使組策略改變生效的時間間隔。默認設置為客戶計算機每90分鐘（正負30 分鐘）更新組策略信息。如果你需要讓設置立即生效，你需要了解有以下一些事件可以觸發組策略更新：

有用戶登錄到計算機；

系統啟動；

客戶端運行了gpupdata命令行。

6.GPO顯示為Empty

如果GPO顯示為Empty則意味著在GPO中沒有設置任何策略。在這種情況下，可以采取如下步驟。首先，你可以準備添加一些設置。其次，你可以刪除域 同GPO之間的鏈接。方法是使用GPMC，然后右鍵單擊GPO，去掉Link Enabled（允許連接）選項，如圖4所示：

圖4：去掉GPO和域連接

操作困難但值得

作為一種復雜但十分有用的服務，組策略有時需要采取一些步驟來進行排障。幸運的是，可以利用一些現成的工具來快速查找多數的錯誤，尤其是使用 微軟新的組策略管理控制臺。

希望本文介紹的Windows Server 2003組策略故障排除的這六種方法能夠對讀者有所幫助。

【編輯推薦】

1. 網吧系統組策略簡介
2. 無盤系統上網組策略配置詳解
3. 網吧組策略無法打開故障解決
4. Windows Vista中的本地組策略如何禁用？
5. 利用域控制器中的組策略給客戶打補丁的方法