C:Documents and SettingsAdministrator>gpotoolValidating DCs...Available DCs:ras.example.comSearching for policIEs...Found 2 policies======================================Policy {31B2F340-016D-11D2-945F-00C04FB984F9}Friendly name: Default Domain PolicyPolicy OK======================================Policy {6AC1786C-016F-11D2-945F-00C04FB984F9}Friendly name: Default Domain Controllers PolicyPolicy OK======================================Policies OK在本例中,有一个单独的域控制器,所有的策略测试都被通过 。GPOTool有一些命令行选项:
/gpo:GPO[,GPO]…— 需要检查的GPO;可以指定GUID或GPO名;默认为当前域的所有GPO;
/domain:name—GPO所在域的域名;
/dc:{domain controller}[,{domain controller}—处理GPO的域控制器名称列表;
/checkacl—在每台服务器上对sysvol验证ACL;
/verbose—在处理过程中显示详细信息;
如果域控制器之间的复制出了问题,那么应当修正此问题并尝试重新进行域策略操作 。你可以尝试通过强制复制来确定这能否解决GPO问题,但由于这 会是一个很长的过程,因此该方法不被推荐 。
关于复制和组策略的更多信息
组策略同时依赖于活动目录复制和文件系统复制 。活动目录复制负责复制目录组策略容器,包括哪些策略应用到哪些用户和计算机的信息 。文件系统复 制则用于复制SYSVOL共享,它为每个GPO包含了一个模板 。只有活动目录复制可以被强制执行 。
客户组策略更新
造成问题的第二个潜在原因在客户方面,即组策略更新周期 。这个周期定义了使组策略改变生效的时间间隔 。默认设置为客户计算机每90分钟(正负30 分钟)更新组策略信息 。如果你需要让设置立即生效,你需要了解有以下一些事件可以触发组策略更新:
有用户登录到计算机;
系统启动;
客户端运行了gpupdata命令行 。
6.GPO显示为Empty
如果GPO显示为Empty则意味着在GPO中没有设置任何策略 。在这种情况下,可以采取如下步骤 。首先,你可以准备添加一些设置 。其次,你可以删除域 同GPO之间的链接 。方法是使用GPMC,然后右键单击GPO,去掉Link Enabled(允许连接)选项,如图D所示:
图D:去掉GPO和域连接操作困难但值得
作为一种复杂但十分有用的服务,组策略有时需要采取一些步骤来进行排障 。幸运的是,可以利用一些现成的工具来快速查找多数的错误,尤其是使用 微软新的组策略管理控制台 。
推荐阅读
- 新手入门 如何远程管理windows2003服务器
- 透视Windows2003的Web接口
- Windows2003常见问题解决办法
- Windows2003实用使用技巧七则
- Windows Server 2003看过来
- 清除故障,Windows2003更加亲切
- 轻松清除Windows2003故障
- 驯服你的WindowsServer2003
- Windows2003慎装主板驱动
- Windows2003常见故障诊断