Řešení problémů se skupinovými politikami
Pokud používáte Active Directory, pak pravděpodobně také používáte skupinové politiky pro konfiguraci počítačů / server a uživatelů. V některých případech se mohou vyskytnout problémy s aplikací skupinových politik. Tyto problémy mohou být jak na straně serveru, při přenosu na koncový počítač, ale obvykle se jedná o chybu na koncovém zařízení - počítači. Chyby se mohou týkat jak aplikace skupinových politik určených pro počítač, tak i pro uživatele. Častými obtížemi je pak tzv. Policy Loopback Processing (aplikace skupinové politiky, která je určena pro uživatele, ale umístěna v organizační jednotce, kde je objekt počítače). Nejjednodušším způsobem, jak zjistit problém se skupinovou politikou je použitím Resultant Set of Policy (RSoP) - stačí spustit rsop.exe na koncovém počítači, je pak zobrazeno výsledné nastavení pro počítač a uživatele. Dalším z nástrojů je pak gpresult.exe, který umožňuje vygenerovat html výstup se skupinovými politikami, atd. V případě, že se na počítači vyskytnou závažnější problémy, je možné zapnout trasování související se skupinovými politikami. Před řešením / analýzou souborů se záznamy stavu skupinových politik je nejprve nutné v některých případech modifikovat registry, které zajistí detailnější záznam informací. Jakmile je problém identifikován / odstraněn, doporučuji navrátit původní hodnoty v registry, aby nebylo zaznamenáváno takové množství informací, které nejsou pro běžný provoz zapotřebí.
Log soubory pro řešení problémů na straně klienta
| Výstup | Umístění souboru | Povolení detailního výstupu… | …v registry |
|---|---|---|---|
| Group Policy core (UserEnv) and registry CSE | %windir%\debug\usermode \UserEnv.log | UserEnvDebugLevel = REG_DWORD 0x30002 | HKEY_LOCAL_MACHINE \Software \Microsoft \Windows NT \CurrentVersion \Winlogon |
| Security CSE | %windir%\security\logs \winlogon.log | ExtensionDebugLevel = REG_DWORD 0x2 | HKEY_LOCAL_MACHINE \Software \Microsoft \Windows NT \CurrentVersion \Winlogon \GpExtensions \{827d319e-6eac-11d2-a4ea-00c04f79f83a}\ |
| Folder Redirection CSE | windir%\debug\usermode \fdeploy.log | FdeployDebugLevel = Reg_DWORD 0x0f | HKEY_LOCAL_MACHINE \Software \Microsoft \Windows NT \CurrentVersion \Diagnostics |
| Software Installation CSE | %windir%\debug\usermode \appmgmt.log | Appmgmtdebuglevel=dword:0000009b | HKEY_LOCAL_MACHINE \Software \Microsoft \Windows NT \CurrentVersion \Diagnostics |
| Windows Installer (deployment-related actions) | %windir%\temp \MSI*.log | Logging = voicewarmup Debug = DWORD: 00000003 | HKEY_LOCAL_MACHINE \Software \Policies \Microsoft \Windows \Installer |
| Windows Installer (user-initiated actions) | %temp% \MSI*.log | Logging = voicewarmup Debug = DWORD: 00000003 | HKEY_LOCAL_MACHINE \Software \Policies \Microsoft \Windows \Installer |
*CSE - Client Side Extension
Log soubory na straně serveru
| Výstup | Umístění souboru | Povolení detailního výstupu… | …v registry |
|---|---|---|---|
| GPMC: error logging only | %temp%\gpmgmt.log | gpmgmttracelevel=1 | HKEY_LOCAL_MACHINE \Software \Microsoft \Windows NT \CurrentVersion \Diagnostics |
| GPMC: error and verbose logging | %temp%\gpmgmt.log | gpmgmttracelevel=2 | HKEY_LOCAL_MACHINE \Software \Microsoft \Windows NT \CurrentVersion \Diagnostics |
| GPMC: Output only to log file (not to debugger) | %temp%\gpmgmt.log | gpmgmtlogfileonly=1 | HKEY_LOCAL_MACHINE \Software \Microsoft \Windows NT \CurrentVersion \Diagnostics |
| Group Policy Object Editor: Core-specific entries | %windir%\debug\usermode \gpedit.log | GPEditDebugLevel = REG_DWORD 0x10002 | HKEY_LOCAL_MACHINE \Software \Microsoft \Windows NT \CurrentVersion \Winlogon |
| Group Policy Object Editor: CSE-specific entries | %windir%\debug\usermode \gptext.log | GPTextDebugLevel = REG_DWORD 0x10002 | HKEY_LOCAL_MACHINE \Software \Microsoft \Windows NT \CurrentVersion \Winlogon |
Analýza výstupů
Nejvíce informací je umístěno v UserEnv log souboru., popis jak interpretovat výstup je uvedený ve článku zde. Informace o interpretaci security logu je uvedena v tomto článku. řešení problémů s jednotlivými komponentami jsou uvedeny v následujících článcích: Fixing Core Group Policy problems Fixing Group Policy networking issues Fixing Group Policy processing issues Fixing Group Policy scoping issues Fixing Group Policy structural issues A pro jednotlivé Client Side Extensions: Fixing Administrative Template policy setting problems Fixing Security Settings Problems Fixing Scripts policy settings problems Fixing Software Installation policy setting problems Fixing Folder Redirection policy settings problems Fixing Disk Quota extension problems Pro řešení problémů Windows 7 a vyšší a Windows Server 2008 R2 a vyšší je možné využít Eventlog Forwarding, přesměrování událostí na jeden počítač. Tímto způsobem není možné přesměrovat události zaznamená do .log souborů! Informace uvedené ve výše uvedených článcích je primárně určený pro Windows Server 2003 a Windows XP, nicméně velká část Group Policy processing není zásadně změněna v novějších verzích operačních systému
A co když start počítače trvá dlouho?
pro analýzu chování počítače, kdy při spuštění počítače trvá dlouho naběhnutí přihlašovacího okna, případně přihlášení počítače, je možné použít Windows Performance Analyzer, který je součástí Windows 8 ADK.
Jamile máte zachyceno trasování, otevřete Performance analyzer:
Zvolte System activity:
Rozbalte system activity:
Zobrazte detailní informace:
Trasování bude vypadat takto:
Zvolte skupinové politiky:
Rozklikněte skupinové politiky:
Uvidíte dlouhý čas procesování skupinové politiky:
Rozbalte Extensions:
V tomto případě dlouhé procesování politik způsobili uživatelé s skupiny.
