Ví dụ về khắc phục sự cố chính sách nhóm

Là chuyên gia Hỗ trợ CNTT, bạn có thể cần khắc phục sự cố Chính sách nhóm trong Windows. Sau đây là một số ví dụ về các vấn đề thường gặp nhất khi làm việc với Chính sách nhóm. Bao gồm các mẹo được đề xuất về cách khắc phục những sự cố này bằng cách sử dụng các công cụ bạn đã tìm hiểu trước đây. 

Tình huống 1: Cài đặt chính sách nhóm không được áp dụng 

Hãy tưởng tượng rằng bạn là Nhà phân tích hỗ trợ CNTT cho một tổ chức. Gần đây bạn đã thực hiện thay đổi đối với một số cài đặt trên Đối tượng chính sách nhóm (GPO). Tuy nhiên, những thay đổi chính sách nhóm dường như không hoạt động đối với người dùng cuối hoặc máy tính mục tiêu. Bạn phải khắc phục sự cố để tìm ra gốc rễ của vấn đề và khắc phục nó. 

1. Kiểm tra phạm vi GPO. Trong tiện ích Quản lý chính sách nhóm, chọn GPO mà bạn đã thay đổi gần đây và đi tới Phạm vi tab. Kiểm tra Liên kết để xem liệu GPO mà bạn đã thay đổi có được liên kết với Đơn vị tổ chức (OU) chính xác hay không. Các OU được liên kết phải chứa các máy tính mục tiêu (đối với cài đặt phía máy tính) hoặc người dùng mục tiêu (đối với cài đặt phía người dùng) đối với các GPO đã thay đổi.  

2. Kiểm tra bộ lọc bảo mật. Bên dưới Liên kết phần trên Phạm vi tab, kiểm tra Lọc bảo mật phần. Đảm bảo rằng đúng máy tính và/hoặc người dùng dành cho cài đặt GPO đã thay đổi được chỉ định trong bộ lọc bảo mật. 

3. Kiểm tra quyền Đọc và Áp dụng. Nếu bất kỳ mục nào đã được thêm vào Lọc bảo mật, kiểm tra Phái đoàn > Trình độ cao tab để đảm bảo Cho phép tùy chọn được kiểm tra cho Đọc Và Áp dụng quyền. 

4. Kiểm tra ủy quyền chính sách nhóm. trên Phái đoàn tab, kiểm tra Nhóm và người dùng phần dành cho Quyền được phép cho GPO. Danh sách này chứa các nhóm và người dùng có quyền chỉnh sửa, xóa và sửa đổi bảo mật cho GPO. Đảm bảo rằng những cài đặt này phù hợp với môi trường của bạn và không người dùng hoặc nhóm trái phép nào có thể chỉnh sửa cài đặt GPO. 

5. Bật/tắt cấu hình Người dùng hoặc Máy tính. trên Chi tiết tab của GPO, hãy kiểm tra Trạng thái GPO để đảm bảo lựa chọn phù hợp với cài đặt dự định của bạn. Các tùy chọn là: 

   • Tất cả cài đặt bị vô hiệu hóa: GPO sẽ không hoạt động.

   • Cài đặt cấu hình máy tính bị tắt: Mọi cấu hình Máy tính trong GPO sẽ không hoạt động.

   • Cài đặt cấu hình người dùng bị tắt: Mọi cấu hình Người dùng trong GPO sẽ không hoạt động.

   • Đã bật: Tất cả các cấu hình GPO sẽ được áp dụng (mặc định).

6. Kiểm tra thứ tự quy trình chính sách GPO (LSDOU). Thứ tự xử lý GPO từ lần áp dụng đầu tiên đến lần cuối là LGPO địa phương, SGPO này, Domain GPO thì HOẶC GPO. Mỗi chính sách GPO sẽ ghi đè cài đặt GPO trước đó trong phần này LSDOU trình tự xử lý. Để thay đổi thứ tự mặc định, hãy chọn OU bị ảnh hưởng trong Trình quản lý chính sách nhóm và đi tới Chính sách nhóm được liên kết Tab đối tượng. các Liên kết thứ tự Việc liệt kê các GPO được liệt kê theo thứ tự ngược lại, nghĩa là GPO có giá trị cao nhất Liên kết thứ tự số được áp dụng đầu tiên và GPO có số thấp nhất (1) được áp dụng cuối cùng. Số 1 cho biết GPO có mức ưu tiên hàng đầu, vì nó sẽ ghi đè các cài đặt GPO trước đó nơi các cài đặt trùng nhau. Bạn có thể thay đổi thứ tự áp dụng GPO bằng cách sử dụng mũi tên lên và xuống ở bên trái danh sách.  

7. Đảm bảo các liên kết GPO tới OU mục tiêu được bật. Liên kết GPO tới OU là các phím tắt về mặt kỹ thuật, có thể dễ dàng bật hoặc tắt. Kiểm tra để đảm bảo rằng Đã bật liên kết cài đặt không vô tình bị tắt. 

8. Kiểm tra xem GPO ngược dòng có được đặt thành Enforced hay không. GPO ngược dòng là GPO được liên kết với OU có mức ưu tiên LSDOU cao hơn GPO xuôi dòng. Nếu thứ tự áp dụng cài đặt ngược dòng được thực thi, một khóa sẽ xuất hiện trên biểu tượng liên kết. Đánh giá xem việc thực thi có ghi đè cài đặt GPO mong muốn hay không. 

9. Kiểm tra xem OU bị ảnh hưởng có được đặt thành Kế thừa khối hay không. Kế thừa chính sách nhóm mặc định cho OU, được áp dụng theo cấp bậc cho các đối tượng lồng nhau, có thể bị chặn. Khối kế thừa được biểu thị trong Trình quản lý chính sách nhóm dưới dạng biểu tượng dấu chấm than màu xanh lam trên OU bị ảnh hưởng. Nếu bạn cho rằng cài đặt này có thể là nguyên nhân khiến các thay đổi GPO không lan truyền, hãy nhấp chuột phải vào OU và chọn Block Inheritance từ menu để tắt/bật nó. Lưu ý rằng Khối kế thừa sẽ không ảnh hưởng thực thi GPO. 

10. Kiểm tra xem loopback có được bật hay không. Nếu như vòng lặp lại được bật, cài đặt phía người dùng thuộc OU của máy tính sẽ ghi đè mọi cài đặt phía máy tính trong cùng OU. Nếu cài đặt phía máy tính của OU cần được ưu tiên hơn phía người dùng, hãy đặt Chính sách nhóm người dùng chế độ xử lý vòng lặp ĐẾN Tàn tật. 

11. Kiểm tra bộ lọc MI hoặc WMI. Kiểm tra xem các bộ lọc Cơ sở hạ tầng quản lý Windows (MI) hoặc Công cụ quản lý Windows (WMI) có được đặt trên GPO đã thay đổi hay không. Bộ lọc MI hoặc WMI có thể được sử dụng để áp dụng chính sách cho một tập hợp con các đối tượng. Truy vấn MI hoặc WMI có thể cần phải được chỉnh sửa để đảm bảo các đối tượng đích cho GPO đã thay đổi không bị bộ lọc loại trừ. 

12. Đảm bảo mong đợi của bạn đối với cài đặt GPO phù hợp với mục đích thực tế của nó. Nếu các bước khắc phục sự cố được liệt kê ở trên không giải quyết được vấn đề Chính sách nhóm, hãy nghiên cứu cài đặt GPO bạn đang sử dụng. Có thể kỳ vọng của bạn về một cài đặt có thể không khớp với những gì cài đặt đó thực sự mang lại.  

Tình huống 2: Cài đặt GPO không chính xác.

• Chỉnh sửa cài đặt GPO không chính xác. Nếu có bất kỳ vấn đề nào xảy ra với cài đặt GPO, hãy mở giao diện Group Policy Management và chỉnh sửa GPO:

  • Bước 1: Chọn GPO có cài đặt không chính xác.

  • Bước 2: Bấm chuột phải vào GPO, rồi bấm Chỉnh sửa.

  • Bước 3: Chỉnh sửa cài đặt bằng hướng dẫn thích hợp được liệt kê trong Tình huống 1 của bài viết này.

Tình huống 3: Người dùng không thể xác thực vào miền Active Directory 

Kiểm tra cơ sở hạ tầng Active Directory (AD). Điều tra xem người dùng hoặc máy tính có thể tìm thấy bộ điều khiển miền hay không. Các vấn đề về bộ điều khiển miền và sao chép trong AD có thể ngăn GPO hoạt động bình thường.

Bài học chính

Phác thảo các bước khắc phục sự cố cho các cài đặt GPO không được áp dụng:

1. Kiểm tra phạm vi GPO.

2. Kiểm tra bộ lọc bảo mật.

3. Kiểm tra quyền Đọc và Áp dụng.

4. Kiểm tra ủy quyền chính sách nhóm.

5. Bật/tắt cấu hình Người dùng hoặc Máy tính.

6. Kiểm tra thứ tự quy trình chính sách GPO (LSDOU).

7. Đảm bảo các liên kết GPO tới OU mục tiêu được bật.

8. Kiểm tra xem GPO ngược dòng có được đặt thành Enforced hay không.

9. Kiểm tra xem OU bị ảnh hưởng có được đặt thành Kế thừa khối hay không.

10. Kiểm tra xem loopback có được bật không

11. Kiểm tra bộ lọc MI hoặc WMI.

Đảm bảo mong đợi của bạn đối với cài đặt GPO phù hợp với mục đích thực tế của nó.

Tài nguyên để biết thêm thông tin

Để biết thêm thông tin về khắc phục sự cố Chính sách nhóm, vui lòng truy cập:

• Làm việc với các đối tượng chính sách nhóm bằng GPMC - Hướng dẫn của Microsoft về Bảng điều khiển quản lý chính sách nhóm và quản lý GPO.

• Khắc phục sự cố: Chính sách nhóm (GPO) Không được áp dụng cho khách hàng - Hướng dẫn khắc phục sự cố cho GPO. Bao gồm ảnh chụp màn hình của các cài đặt khác nhau trong Bảng điều khiển quản lý chính sách nhóm cùng với mô tả về cách hoạt động của từng cài đặt.