组策略的烦恼

组策略的威力已是尽人皆知，但同样尽人皆知的是当它的结果常常不是您的预期时所带来的烦恼。同样恼人的是组策略有无数不同的功能，上千条设置项，使您难以决定对于特定问题何时可以使用这项技术。我曾帮助过很多朋友最有效地使用组策略，而且经常发现同样的一些恼人之处比他们的问题本身更有问题。以下是一些应对之策。

组策略设置不能马上生效
对于某些特殊的组策略设置项有时需要重新启动两到三次才能生效。由于您不能确定设置是否有效，所以这种重启可能令人不安。这种情况最常发生在“文件夹重定向”或“软件安装”组策略对象（Group Policy Object，GPO）上，且主要发生在Windows XP上。
评论：对于“文件夹重定向”GPO出现的问题，还可参考微软知识库文章“组策略应用问题疑难解答”（http://support.microsoft.com/kb/250842）。（译者）

这种延迟是由Windows XP中称作“快速登录优化”的特性引起的。为了使Windows XP系统启动和用户登录尽可能快速，微软默认配置了被称作“异步前台组策略处理”的原则。这种方法基本上就是当计算机启动时，在系统运行显示用户登录对话框的同时处理该计算机特定配置的组策略。实际上，当用户输入用户名和密码开始登录时，该机特定配置的组策略也许正在运行中。同样，当用户登录时，与该用户相关的组策略开始处理，在显示桌面时也许仍在运行。特定的GPO设置，如“文件夹重定向”和“软件安装”，需要独占访问计算机或用户环境才能运行。换言之，它们需要同步运行，不能异步运行。在系统提供给用户登录对话框或桌面之前，这些组策略必须处理完毕。那么我们如何让Windows XP以同步方式运行GPO呢？当然还得使用组策略！
打开组策略编辑器，展开“计算机配置\管理模板\系统\登录”，找到策略项“计算机启动和登录时总是等待网络”，在您的Windows XP计算机上启用该项，这样就会一直同步进行前台组策略处理。用户启动机器和登录会比原来花费更长的时间，但这也消除了配置特定种类的组策略时产生的多次重启或登录的麻烦。Windows Vista也像Windows XP一样设置为异步处理，而Windows 2000默认设置为同步前台处理。

组策略设置根本不起作用
有时组策略根本不能生效，而且我能看到在出问题的客户机上的事件日志中的“应用程序”项下出现1058和1030事件错误记录。这些错误似乎是系统不能读取gpt.ini文件。遗憾的是这种错误比较普遍。因为很多问题都可能导致这些错误，所以最好的解决方法就是缩小可能导致错误的原因的范围。
评论：事件1058大意是系统无法访问gpt.ini，事件1030是Windows不能查询组策略对象列表。请参考微软知识库文章“无法执行组策略处理，事件1030和1058被记录到域控制器的应用程序日志中”（http://support.microsoft.com/kb/842804），包括对此问题的详细探讨，并提供了修补程序下载。（译者）

如果您注意到这种错误仅出现在计算机策略设置中，而不会出现在用户策略设置中，原因可能是网络栈超时问题（计算机启动太快，网络栈在系统尝试处理组策略前没时间初始化完全），所以计算机相关的策略处理失败。而到了用户准备好开始登录时，网络栈已初始化并运转起来，所以用户相关的策略处理正常。
微软在某些版本的Windows中增加了一个很不错的注册表项，您可以用它来提示Windows等到网络栈结束初始化后才能开始处理组策略。在微软知识库文章“在运行Windows 2000、Windows XP Service Pack 1或Windows XP Service Pack 2的计算机上，组策略应用失败”（http://support.microsoft.com/?kbid=840669）中描述了这个注册表项。您也能在Windows Vista中发现同样功能的一个GPO设置：“计算机配置\管理模板\系统\组策略\启动策略处理等待时间”。
其它问题也可能导致这些错误信息。例如，也许gpt.ini文件确实不可访问。该文件存储在GPO的一部分中，而GPO存储在您的网络环境中的每个主域控制器（Domain Controller，DC）的SYSVOL共享中。在系统运行不管是计算机相关还是用户相关的组策略时，都需要读取该文件获得GPO信息。如果该文件在系统读取的DC上不存在，组策略将应用失败。您可以查看注册表项“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\History\DCName”，确认组策略运行时连接哪个DC。
在您找到了出问题的DC后，确认SYSVOL确实已共享，也就是DFC服务在DC上已启动（SYSVOL使用DFC复制），还要确认TCP/IP NetBIOS Helper服务已在客户机上启动（客户机使用这个服务与DFS通讯）。在客户机的命令行窗口键入：
net view \\<>
该命令可验证SYSVOL是否已共享，并使用netstart命令确认所有需要的服务都已启动。然后还要检查在事件日志中显示为不可访问文件的位置，确认该文件确实存在，且文件权限与您知道的组策略运行正常的其它DC上的文件权限一致。对于权限问题，组策略管理控制台（Group Policy Management Console，GPMC）也许能派上用场。打开GPMC，集中到出问题的DC。为此，在GPMC的主域名称上单击右键，选择“Change Domain Controller”，选择出问题的DC，如图1所示。在您把GPMC集中到出问题的DC上之后，转到组策略对象容器下，选择有问题的GPO。如果GPMC发现GPO上有权限问题，它会提示给您供您修改。

图1：改动主域控制器

评论：对于管理分布式远程服务器的管理员，需要一种解决方案来帮助他们限制在慢速WAN连接上的网络通信量、在WAN中断或服务器出现故障期间确保文件的可用性以及确保分支服务器正确地备份。Windows Server 2003的分布式文件系统（DFS）解决方案可以帮助管理员应对这些挑战，方法是提供了两项技术：“DFS命名空间”和“DFS复制”，这两项技术一起使用时，可以提供简化的、具有容错能力的文件访问以及负载共享和WAN友好复制。
可参考以下资源：“Microsoft Windows Server 2003 R2分布式文件系统解决方案概述”（http://technet2.microsoft.com/WindowsServer/zh-CHS/Library/d3afe6ee-3083-4950-a093-8ab748651b762052.mspx?mfr=true）、“分布式文件系统技术中心”（https://www.microsoft.com/china/windowsserver2003/technologies/storage/dfs/default.mspx）以及“Deploying and Administering File Replication Service for SYSVOL and DFS”（http://www.microsoft.com/seminar/shared/asp/view.asp?url=/seminar/en/20030424vcon26/manifest.xml）。（译者）

实施环回策略的迷惑
如果您使用Windows Server 2003环境中的终端服务器（Terminal Server）组件，当用户登录到终端服务器以及自己的台式机或笔记本电脑时，您希望能够针对这两种用户给出不同的组策略设置。这种情况正是创建环回策略的原因，但这个策略实施起来可能令人迷惑。
环回策略的意思是：当登录到启用了环回功能的特殊计算机上时，给用户提供针对计算机对象定义的组策略配置，而不使用针对用户对象定义的配置。实现环回策略的最简单方法是把您的终端服务器计算机对象置入活动目录下自己的管理单元（Organizational Unit，OU）中。然后新建一个GPO并将其链接到那个OU。在该GPO下，启用策略项“计算机配置\管理模板\系统\组策略\用户组策略环回处理模式”。该策略对那个OU下的计算机启用环回处理。一般对于公共用途的计算机终端使用这种策略，可以不管谁登录到机器上计算机都按照一种指定方式运行。
环回策略有两种模式：合并和替换。您应根据您想实现的功能选择某种模式。合并模式的意思是：当登录到终端服务器时先应用通常的用户策略，然后再应用这台计算机的用户策略。假如通常的用户策略和这台机器的用户策略有冲突，则优先应用这台计算机的策略，因为它们是最后处理的。替换模式甚至不处理通常的用户策略，只应用这台计算机的用户策略。
以我的经验，替换模式更易于管理，应该优先采用，除非在用户登录到终端服务器时您需要应用某些通常的用户策略。要注意如果您使用合并模式，当用户登录到终端服务器时某些策略可能会应用两次。例如，如果您有定义在域级别上的登录脚本，那么这些脚本既会应用到用户对象上，也会应用到计算机对象上，由于计算机对象使用环回策略的合并模式，系统就会先对用户对象运行一次登录脚本，然后又在计算机对象上再运行一次。
如果您启用了环回策略，要确保它只影响那些确实需要该功能的计算机（因此我建议在只包含有环回功能的计算机的特定OU上启用环回策略）。如果您过于频繁地启用这一策略，就可能得到一些预料之外的结果，且无法探明出错原因，这是由于您启动这个策略时设置了一些特殊的、未公开的注册表项。

组策略与IE设置有潜在冲突
在Windows XP Service Pack 2（SP2）和Windows Server 2003 SP1中，微软在“管理模板”策略中加入了很多Internet Explorer（IE）的设置，这似乎与“IE维护”策略（“用户配置\Windows设置\Internet Explorer维护”）中的内容有冲突，或者至少有重叠。那么您应该在哪里设置IE策略呢？
遗憾的是，对此没有明确的答案，但是您应该注意到微软正在把IE的设置移到“管理模板”中，主要是对风格的设置，并降低了“IE维护”策略的重要性。这样移动的根本原因是微软在刚推出组策略时“IE维护”策略的设计有缺陷。“IE维护”策略有很多bug且通常难以使用。
您还是得使用“IE维护”策略来设置如浏览器代理设置或收藏夹等内容。但是对于IE安全设置，您最好不要使用“IE维护”策略，而是使用“用户配置\管理模板\Windows组件\Internet Explorer”下的策略。例如，如果您想为某个特殊安全区域配置信任站点，您可以使用“用户配置\管理模板\Windows组件\Internet Explorer\Internet控制面板\安全页”下的“站点到区域分配列表”策略。您也可以设定单独区域的安全设置（在IE菜单“Internet选项”中的“安全”属性页可见），使用“用户配置\管理模板\Windows组件\Internet Explorer\Internet控制面板\安全页\Internet区域，Intranet区域”等策略。需要注意的是：不要在“IE维护”和“管理模板”两处同时设置IE安全策略，它们会互相影响，造成不可预料的结果。
“IE维护”也有这样一个恼人的特点：如果您设置了代理服务器的“连接设置”GPO，“IE维护”会从您当时用来编辑该GPO的那台计算机上导入这些设置。所以如果您为某台计算机设置了一个策略，然后又到另一台IE连接设置不同的机器上，当您单击按钮修改设置时，您会发现新机器的设置与您最初编辑GPO的那台机器的设置不同。这会引来没完没了的问题。正是出于这个原因，如果您不得不使用“IE维护”策略，那么您就需要经常回过头来，在您做出最初改动的那台计算机上，继续修改那些设置（如果您到最后一次编辑那个策略时还没有修改过IE设置的话）。

从删不掉GPO设置的域中移去计算机
有时您就是想把盘子都擦干净，把所有对特定用户或计算机做出的GPO设置统统删掉。例如，假设您要把一台计算机从一个活动目录域中移到一个工作组里，而且您不再需要它上面有任何强加的组策略。这种情况下，您必须在把计算机移出活动目录域之前采取特定的一系列步骤。您可不能只是把机器移出域就完事了，因为这台机器上的所有GPO设置都会成为“孤儿”，由于这些设置是从基于域的GPO带来的而在工作组中已不存在，所以您无法轻易删除这些设置。
在您把计算机从域中移出之前，先把计算机在活动目录中的账号移到没有链接任何GPO的OU中（而且要确保使用那个OU中的Block Inheritance标志来阻止任何上游GPO）。然后重启计算机。对大多数策略设置来说，在重启时处理组策略的过程中，计算机会发现以前应用过的GPO都已不再适用，所以那些可以被删除的设置（如“管理模板”策略、“软件安装”策略）将在组策略处理过程中被删除。
等到计算机“干净”了以后，您就可以将其安全地从域中移出了。这个方法唯一要当心的是某些策略，如“计算机配置\Windows设置\安全设置”下面配置的安全设置策略不会被删除，因为组策略不知道它们的默认值。这种情况下您可以使用secedit.exe命令行工具应用默认安全模板，该模板在您第一次安装Windows时就已存在了。这个模板文件为“setup security.inf”，在Windows XP Professional和Windows Server 2003的“C:\WINDOWS\security\templates”目录下。您可以打开计算机的组策略编辑器（在“开始”*“运行”对话框中键入gpedit.msc），转到“计算机配置\Windows设置\安全设置”，右键单击该节点，从菜单中选择“导入策略”，然后选择“setup security.inf”文件导入，借助这个模板轻松重置安全设置。
评论：secedit.exe命令行工具可以自动创建并应用模板，并分析系统的安全性，一般在分析或配置多台计算机的安全性且需要在非工作时间执行任务时更多地使用这一工具，从批处理文件或自动任务计划程序中调用它。该命令的详细语法请参考Windows帮助（在“Windows帮助和支持中心”里搜索“自动安全配置任务”）。（译者）

永远不是一个人在战斗
我希望这篇文章触及到很多您遇到过的组策略方面的问题，并且提供了有助于解决问题的一些新鲜的方法。毫无疑问组策略非常复杂，作为一个强大的配置管理系统，内部有很多变动以及相互依赖关系，使得它更加复杂。当您遭遇到一些问题并与之苦苦搏斗时，只要知道遭罪的并不是只有您一位也就够了。