Compartir a través de

Guía del escenario: GPO para asignar una unidad de red no se aplica según lo previsto

En esta guía de escenario se explica cómo usar TroubleShootingScript (TSS) para recopilar datos para solucionar un problema en el que un objeto de directiva de grupo (GPO) para asignar una unidad de red no se aplica según lo esperado.

Guía de solución de problemas

Antes de continuar, consulte la guía de solución de problemas de aplicación de la directiva de grupo.

Entorno

  • Nombre de dominio: contoso.com
  • Sitios de Active Directory: cuatro sitios (dos controladores de dominio por sitio) (Phoenix, Londres, Tokio y Mumbai)
  • Número de controladores de dominio: ocho
  • Sistema operativo del controlador de dominio: Windows Server 2019
  • Sistema operativo de la máquina cliente: Windows 11, versión 22H2

Diagrama de la topología del entorno.

En este escenario

Antes de empezar a solucionar problemas, estas son algunas preguntas para determinar el ámbito que pueden ayudarnos a comprender la situación y reducir la causa del problema:

  1. ¿Cuáles son los sistemas operativos cliente y servidor?
    Respuesta: Las máquinas cliente son Windows 11, versión 22H2 y el servidor de archivos donde se encuentra la unidad asignada en linux Server.

  2. ¿Cómo se configuran las preferencias de directiva de grupo?
    Respuesta: Tenemos un GPO denominado Mapped-Drive y este GPO se configura mediante la extensión de las preferencias de directiva de grupo asignadas.

    Captura de pantalla del resultado de la directiva de grupo.

  3. ¿Todos los usuarios están afectados en el ámbito de la unidad asignada por GPO?
    Respuesta: Hemos configurado este GPO en la unidad organizativa "Usuarios de TI" (UO). Lo probamos con cuatro a cinco usuarios. Para todos ellos, la unidad Z no está asignada.

  4. ¿Qué ocurre si asigna manualmente la unidad en lugar de usar las preferencias de directiva de grupo?
    Respuesta: Podemos asignar correctamente la unidad Z mediante el net use comando al mismo servidor de archivos.

  5. ¿Este GPO es un GPO nuevo o el GPO funcionó antes?
    Respuesta: Este GPO estaba trabajando anteriormente y lo usaron todos los usuarios para obtener unidades asignadas. Desde los últimos dos días, las unidades asignadas no funcionan.

  6. Al ejecutar gpresult /h y revisar la salida, ¿observa que el GPO Mapped-Drive está en la lista aplicable?
    Respuesta: Sí, observamos que el GPO mapped-Drive se aplica en la lista aplicable.

    Captura de pantalla de los GPO aplicados.

    Captura de pantalla que muestra que el GPO se aplica correctamente.

  7. ¿Ha configurado algún filtrado de seguridad, filtro WMI o ha configurado cualquier configuración de denegación (aplicar) para el usuario o un grupo?
    Respuesta: El GPO se configura con la configuración predeterminada y no se realizan cambios en el GPO desde la perspectiva del filtrado de seguridad, el filtro WMI o la configuración de los permisos De denegación.

Solución de problemas

En primer lugar, recopile los siguientes datos para solucionar problemas. Dado que es necesario realizar un seguimiento del inicio de sesión o el inicio de sesión, es necesario realizar las siguientes tareas como administrador local o cualquier otra cuenta de usuario con credenciales de administrador local.

Nota:

Estos pasos requieren que se habilite el cambio rápido de usuario. Si tiene problemas al intentar cambiar de usuario, compruebe si se establece la siguiente directiva o valor del Registro:

  • Directiva de grupo: oculta los puntos de entrada de la directiva de grupo de conmutación rápida de usuarios en Configuración del equipo\Plantillas administrativas\Sistema\Inicio de sesión.
  • Clave del Registro: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System.
  • Valor del Registro: HideFastUserSwitching

  1. Descargue TSS y extraiga el archivo ZIP en la carpeta C:\temp . Cree la carpeta si no existe.

  2. Abra un comando de PowerShell con privilegios elevados y ejecute el comando :

    Set-ExecutionPolicy unrestricted

    Captura de pantalla del resultado del comando Set-ExecutionPolicy.

  3. Vaya a c:\temp\TSS, donde ha extraído el archivo ZIP de TSS.

  4. Ejecute .\TSS.ps1 -Start -Scenario ADS_GPOEx -Procmon. Acepte el contrato y espere hasta que el TSS empiece a recopilar datos.

    Captura de pantalla de la herramienta TSS.

  5. Cambie el usuario e inicie sesión con la cuenta de usuario que no ve asignada la unidad Z.

  6. Una vez que el inicio de sesión se haya realizado correctamente, abra un símbolo del sistema y ejecute gpresult /h appliedgpo.htm. Confirme que el GPO Mapped-Drive está en la lista aplicable.

  7. Vuelva a cambiar el usuario e inicie sesión con la cuenta de usuario que ha iniciado el registro de TSS. Presione Y.

  8. TSS dejará de recopilar datos y los datos recopilados se ubicarán en la carpeta C:\MSDATA como un archivo ZIP o una carpeta denominada TSS_<Machinename>_<Time>_ADS_GPOEx.

Para obtener más información sobre TSS, vea Introduction to TroubleShootingScript toolset (TSS) (Introducción al conjunto de herramientas de TroubleShootingScript [TSS]).

Análisis de datos

Vaya a la carpeta c:\msdata donde TSS ha guardado todos los informes y, a continuación, extraiga el contenido del archivo ZIP. Revise el archivo denominado <Client_machinename-Time<>>_Microsoft-Windows-GroupPolicy-Operational.evtx.

A partir del evento 4001

Captura de pantalla del identificador de evento 4001.

Evento 5017 que muestra la unidad organizativa "Usuarios"

La unidad asignada por GPO está vinculada a la unidad organizativa "Usuarios".

Captura de pantalla del identificador de evento 5017.

Evento 5312 que muestra la lista de GPO aplicables

Vemos que el GPO Mapped-Drive está en la lista aplicable.

Captura de pantalla del identificador de evento 5312.

Evento 4016 en el que se muestra que la extensión mapas de unidades de directiva de grupo se procesó y se realizó correctamente

Captura de pantalla del identificador de evento 4016.

Seguimiento de preferencias de directiva de grupo

En los registros operativos de la directiva de grupo, observamos que la directiva de grupo se procesó y que las preferencias de directiva de grupo se aplicaron correctamente. Además de lo anterior, también podemos revisar el registro o seguimiento de preferencias de directiva de grupo recopilados por la herramienta TSS.

El seguimiento de preferencias de directiva de grupo es un registro adicional que se puede habilitar para cualquier extensión de cliente de preferencias de directiva de grupo. El seguimiento de GPOEx de TSS está habilitado de forma predeterminada.

Nota:

Si desea habilitar manualmente el registro de GPSVC, siga Habilitación del registro de depuración de preferencias de directiva de grupo mediante el RSAT.

Aquí se presenta cómo revisar y buscar el registro GPSVC para confirmar que la directiva de grupo se aplicó correctamente al cliente.

En <Clientmachinename>_<Date_Time>_GPPREF_User.txt, observamos que la extensión GPP Mapped Drives está iniciando el procesamiento.

Nota:

Con fines de brevedad y legibilidad, el análisis solo contiene fragmentos de datos de solución de problemas relevantes y no todos los datos del registro.

yyyy-mm-dd hh:mm::ss:sss [pid=0x3134,tid=0x4fc] Entering ProcessGroupPolicyExDrives()
yyyy-mm-dd hh:mm::ss:sss [pid=0x3134,tid=0x4fc] SOFTWARE\Policies\Microsoft\Windows\Group Policy\{5794DAFD-BE60-433f-88A2-1A31939AC01F}

La extensión de unidades asignadas de directiva de grupo identificó un GPO configurado con esta extensión y el nombre es Mapped-Drive:

yyyy-mm-dd hh:mm::ss:sss [pid=0x3134,tid=0x4fc] GPC : LDAP://CN=User,cn={6D6CECFD-C75A-43FA-8C32-0B5963E42C5B},cn=policies,cn=system,DC=contoso,DC=com
yyyy-mm-dd hh:mm::ss:sss [pid=0x3134,tid=0x4fc] GPT : \\contoso.com\SysVol\contoso.com\Policies\{6D6CECFD-C75A-43FA-8C32-0B5963E42C5B}\User
yyyy-mm-dd hh:mm::ss:sss [pid=0x3134,tid=0x4fc] GPO Display Name : Mapped-Drive
yyyy-mm-dd hh:mm::ss:sss [pid=0x3134,tid=0x4fc] GPO Name : {6D6CECFD-C75A-43FA-8C32-0B5963E42C5B}

Observamos que la unidad Z se ha asignado correctamente:

yyyy-mm-dd hh:mm::ss:sss [pid=0x3134,tid=0x4fc] Starting class <Drive> - Z:.
yyyy-mm-dd hh:mm::ss:sss [pid=0x3134,tid=0x4fc] Policy is not flagged for removal.
yyyy-mm-dd hh:mm::ss:sss [pid=0x3134,tid=0x4fc] Completed class <Drive> - Z:.
yyyy-mm-dd hh:mm::ss:sss [pid=0x3134,tid=0x4fc] Completed class <Drives>.
yyyy-mm-dd hh:mm::ss:sss [pid=0x3134,tid=0x4fc] EVENT : The user 'Z:' preference item in the 'Mapped-Drive {6D6CECFD-C75A-43FA-8C32-0B5963E42C5B}' Group Policy Object applied successfully.
yyyy-mm-dd hh:mm::ss:sss [pid=0x3134,tid=0x4fc] Completed class <Drive> - Z:.
yyyy-mm-dd hh:mm::ss:sss [pid=0x3134,tid=0x4fc] Completed class <Drives>

Uso de procmon para buscar el proceso que quita la unidad Z

En este momento, sabemos que se aplican las preferencias de directiva de grupo, pero la unidad Z no está visible. Podemos asignar manualmente la unidad, pero la unidad se eliminará durante el inicio de sesión o el inicio de sesión. Por lo tanto, hay otras configuraciones que eliminan la unidad Z en el equipo durante el inicio de sesión.

A continuación, es necesario analizar el seguimiento de procmon para observar lo que eliminó la unidad asignada. La herramienta TSS también recopila el seguimiento de procmon con el -Procmon modificador que usamos para recopilar los datos.

El seguimiento de procmon puede ser abrumador. Siga estos pasos para configurar un filtro para ver los datos. El filtro se puede usar para solucionar cualquier problema relacionado con las unidades asignadas.

  1. Abra el archivo <Clientmachinename>_<date_time>_Procmon_0.pml.

  2. Seleccione Filtro de filtro - .

  3. Agregue el filtro: Detail - Contains - Z:.

    Captura de pantalla del filtro del monitor de procesos.

  4. La salida del filtro muestra dos procesos: cmd.exe y net.exe.

    Captura de pantalla del resultado del filtro que muestra cmd.exe y net.exe.

  5. Haga doble clic en net.exe y vaya a la pestaña Proceso que incluye los parámetros siguientes:

    • Línea de comandos: operación de eliminación de la unidad asignada.
    • PID principal: el proceso primario de net.exe es 13436.
    • Usuario: el nombre del usuario en cuyo contexto se ejecutó este proceso. En nuestro ejemplo, es la propia cuenta de usuario.

    Captura de pantalla de la pestaña Proceso de las propiedades del evento en Procmon.

A continuación, configure otro filtro para identificar quién generó net.exe mediante el filtro de proceso primario.

  1. Vaya a Filtro de filtro - y seleccione Restablecer.

  2. Ahora aplique el siguiente filtro mediante el PID del elemento primario.

    Filtre el seguimiento mediante el PID es la condición 13436.

Observamos que el PID es cmd.exe y parece que está procesando un GPO con los parámetros siguientes:

  • Línea de comandos: C:\Windows\system32\cmd.exe /c "\contoso.com\SysVol\contoso.com\Policies{E347CA05-D21D-433D-9BCA-2FE555336749}\User\Scripts\Logon\deletedrives.bat"
  • PID primario: el proceso primario de cmd.exe es 14900.
  • Usuario: el nombre del usuario en cuyo contexto se ejecutó este proceso. En nuestro ejemplo, es el propio usuario.

Captura de pantalla de la pestaña Proceso del proceso 13436.

Ahora, use el mismo mecanismo y el filtro PID de nuevo; para ello, vaya a Filtro - , seleccione Restablecer y aplique el siguiente filtro:

Captura de pantalla de la pestaña Proceso del proceso 14900.

Observamos que GPScrpit.exe es el proceso primario del proceso de cmd.exe . Con esta sugerencia, observamos que hay un script de directiva de grupo que eliminó la unidad asignada.

Captura de pantalla del proceso 14900, que es el proceso de aplicación de script de directiva de grupo.

Resumen

  1. Net.exe está eliminando la unidad asignada y su proceso primario se cmd.exe. Se ejecuta el siguiente comando:

    net use z: /delete

  2. CMD.exe está procesando un deletedrives.bat de archivo de .bat y su proceso primario se GPScript.exe.

    C:\Windows\system32\cmd.exe /c "\contoso.com\SysVol\contoso.com\Policies{E347CA05-D21D-433D-9BCA-2FE555336749}\User\Scripts\Logon\deletedrives.bat"

  3. GPScript.exe es el proceso que se ejecuta durante el inicio de sesión para procesar los scripts de inicio de sesión.

Es necesario identificar el GPO que contiene este script de inicio de sesión. Estos son dos métodos.

Método 1: Usar la salida de Gpresult /h recopilada durante la recopilación de registros

Captura de pantalla de la salida de Gpresult /h.

Método 2: Usar el complemento de administración de directivas de grupo (GPMC.msc)

  1. Abra GPMC.msc en un controlador de dominio o una máquina donde tenga instalado el complemento.

  2. Haga clic con el botón derecho en el dominio y seleccione Buscar.

  3. En los elementos de búsqueda, seleccione GUID y, a continuación, escriba el GUID de GPO que encontramos en el comando de cmd.exe.

    Busque GPO por GUID.

Hemos identificado que el GPO DomainWideSettings tiene el script de inicio de sesión.

Busque el GPO que provocó el problema.

Si no desea que el GPO DomainWideSettings elimine la unidad asignada, use uno de estos métodos:

  • Quite los scripts de inicio de sesión de DomainWideSettings del GPO, ya que este GPO se usa para configurar otras opciones de todo el dominio.
  • Desvincule completamente el GPO DomainWideSettings .
  • Establezca una "Herencia de directivas de bloqueo" en la unidad organizativa "Usuarios" donde se encuentra el objeto de usuario.
  • Establezca una denegación "Aplicar GPO" para el grupo "Usuarios" en domainWideSettings de GPO.