Řešení problémů se skupinovými politikami

Ondřej Výšek
4 minuty, 28 sekundy
1

Pokud používáte Active Directory, pak pravděpodobně také používáte skupinové politiky pro konfiguraci počítačů / server a uživatelů. V některých případech se mohou vyskytnout problémy s aplikací skupinových politik. Tyto problémy mohou být jak na straně serveru, při přenosu na koncový počítač, ale obvykle se jedná o chybu na koncovém zařízení - počítači. Chyby se mohou týkat jak aplikace skupinových politik určených pro počítač, tak i pro uživatele. Častými obtížemi je pak tzv. Policy Loopback Processing (aplikace skupinové politiky, která je určena pro uživatele, ale umístěna v organizační jednotce, kde je objekt počítače). Nejjednodušším způsobem, jak zjistit problém se skupinovou politikou je použitím Resultant Set of Policy (RSoP) - stačí spustit rsop.exe na koncovém počítači, je pak zobrazeno výsledné nastavení pro počítač a uživatele. Dalším z nástrojů je pak gpresult.exe, který umožňuje vygenerovat html výstup se skupinovými politikami, atd. V případě, že se na počítači vyskytnou závažnější problémy, je možné zapnout trasování související se skupinovými politikami. Před řešením / analýzou souborů se záznamy stavu skupinových politik je nejprve nutné v některých případech modifikovat registry, které zajistí detailnější záznam informací. Jakmile je problém identifikován / odstraněn, doporučuji navrátit původní hodnoty v registry, aby nebylo zaznamenáváno takové množství informací, které nejsou pro běžný provoz zapotřebí.

Log soubory pro řešení problémů na straně klienta

Výstup Umístění souboru Povolení detailního výstupu… …v registry

Group Policy core (UserEnv) and registry CSE

%windir%\debug\usermode \UserEnv.log

UserEnvDebugLevel = REG_DWORD 0x30002

HKEY_LOCAL_MACHINE \Software \Microsoft \Windows NT \CurrentVersion \Winlogon

Security CSE

%windir%\security\logs \winlogon.log

ExtensionDebugLevel = REG_DWORD 0x2

HKEY_LOCAL_MACHINE \Software \Microsoft \Windows NT \CurrentVersion \Winlogon \GpExtensions \{827d319e-6eac-11d2-a4ea-00c04f79f83a}\

Folder Redirection CSE

windir%\debug\usermode \fdeploy.log

FdeployDebugLevel = Reg_DWORD 0x0f

HKEY_LOCAL_MACHINE \Software \Microsoft \Windows NT \CurrentVersion \Diagnostics

Software Installation CSE

%windir%\debug\usermode \appmgmt.log

Appmgmtdebuglevel=dword:0000009b

HKEY_LOCAL_MACHINE \Software \Microsoft \Windows NT \CurrentVersion \Diagnostics

Windows Installer (deployment-related actions)

%windir%\temp \MSI*.log

Logging = voicewarmup

Debug = DWORD: 00000003

HKEY_LOCAL_MACHINE \Software \Policies \Microsoft \Windows \Installer

Windows Installer (user-initiated actions)

%temp% \MSI*.log

Logging = voicewarmup

Debug = DWORD: 00000003

HKEY_LOCAL_MACHINE \Software \Policies \Microsoft \Windows \Installer

*CSE - Client Side Extension

Log soubory na straně serveru

Výstup Umístění souboru Povolení detailního výstupu… …v registry

GPMC:  error logging only

%temp%\gpmgmt.log

gpmgmttracelevel=1

HKEY_LOCAL_MACHINE \Software \Microsoft \Windows NT \CurrentVersion \Diagnostics

GPMC:  error and verbose logging

%temp%\gpmgmt.log

gpmgmttracelevel=2

HKEY_LOCAL_MACHINE \Software \Microsoft \Windows NT \CurrentVersion \Diagnostics

GPMC:  Output only to log file (not to debugger)

%temp%\gpmgmt.log

gpmgmtlogfileonly=1

HKEY_LOCAL_MACHINE \Software \Microsoft \Windows NT \CurrentVersion \Diagnostics

Group Policy Object Editor: Core-specific entries

%windir%\debug\usermode \gpedit.log

GPEditDebugLevel = REG_DWORD 0x10002

HKEY_LOCAL_MACHINE \Software \Microsoft \Windows NT \CurrentVersion \Winlogon

Group Policy Object Editor: CSE-specific entries

%windir%\debug\usermode

\gptext.log

GPTextDebugLevel = REG_DWORD 0x10002

HKEY_LOCAL_MACHINE \Software \Microsoft \Windows NT \CurrentVersion \Winlogon

 

Analýza výstupů

Nejvíce informací je umístěno v UserEnv log souboru., popis jak interpretovat výstup je uvedený ve článku zde. Informace o interpretaci security logu je uvedena v tomto článku. řešení problémů s jednotlivými komponentami jsou uvedeny v následujících článcích: Fixing Core Group Policy problems Fixing Group Policy networking issues Fixing Group Policy processing issues Fixing Group Policy scoping issues Fixing Group Policy structural issues A pro jednotlivé Client Side Extensions: Fixing Administrative Template policy setting problems Fixing Security Settings Problems Fixing Scripts policy settings problems Fixing Software Installation policy setting problems Fixing Folder Redirection policy settings problems Fixing Disk Quota extension problems Pro řešení problémů Windows 7 a vyšší a Windows Server 2008 R2 a vyšší je možné využít Eventlog Forwarding, přesměrování událostí na jeden počítač. Tímto způsobem není možné přesměrovat události zaznamená do .log souborů! Informace uvedené ve výše uvedených článcích je primárně určený pro Windows Server 2003 a Windows XP, nicméně velká část Group Policy processing není zásadně změněna v novějších verzích operačních systému

A co když start počítače trvá dlouho?

pro analýzu chování počítače, kdy při spuštění počítače trvá dlouho naběhnutí přihlašovacího okna, případně přihlášení počítače, je možné použít Windows Performance Analyzer, který je součástí Windows 8 ADK. Jamile máte zachyceno trasování, otevřete Performance analyzer:

Zvolte System activity:

Rozbalte system activity:

Zobrazte detailní informace:

Trasování bude vypadat takto:

Zvolte skupinové politiky:

Rozklikněte skupinové politiky:

Uvidíte dlouhý čas procesování skupinové politiky:

Rozbalte Extensions:

V tomto případě dlouhé procesování politik způsobili uživatelé s skupiny.

Autor: Ondřej Výšek

Ondřej je Microsoft MVP od roku 2004, v roce 2008 založil komunitní web optimalizovane-it.cz. Za svou IT karieru, jenž započala v roce 1993 prošel celou řadou pozic, od konzultanta, přes architekt, až po vytváření vizí a strategií zákazníků. V prostředích, ve kterých pomáhal byly desítky, ale i stovky tisíc uživatelů a systémů. V posledních letech se zabývá především cloudovými technologiemi Microsoft 365 a Azure ve společnosti KPCS CZ.

Následující článek Předchozí článek