Partager via

Guide de scénario : Objet de stratégie de groupe de papier peint ne s’applique pas sur certains ordinateurs clients

Ce guide de scénario explique comment utiliser TroubleShootingScript (TSS) pour collecter des données pour résoudre un problème dans lequel l’objet de stratégie de groupe de papier peint (GPO) ne s’applique pas à certains ordinateurs clients.

Comment la stratégie de groupe est appliquée sur les ordinateurs clients

  1. Le service de stratégie de groupe sur l’ordinateur client énumère le nom unique (DN) du compte d’utilisateur.
  2. Le service de stratégie de groupe énumère les attributs GPLINK et GPOptions du compte d’utilisateur dans l’ordre de l’objet de stratégie de groupe local, de l’objet de stratégie de groupe, du domaine et de l’unité d’organisation (UO).
  3. Le service de stratégie de groupe répertorie les objets de stratégie de groupe à appliquer ou refuser.

Pour plus d’informations, consultez Application d’une stratégie de groupe et filtrage de l’étendue d’un objet de stratégie de groupe.

Guide de résolution des problèmes

Avant de continuer, reportez-vous aux conseils de résolution des problèmes liés à la stratégie de groupe.

Environment

  • Nom de domaine : contoso.com
  • Sites Active Directory : quatre sites (deux contrôleurs de domaine par site) (Phoenix, Londres, Tokyo et Mumbai)
  • Nombre de contrôleurs de domaine : huit
  • Système d’exploitation du contrôleur de domaine : Windows Server 2019
  • Système d’exploitation de l’ordinateur client : Windows 11, version 22H2

Diagramme de la topologie de l’environnement.

Dans ce scénario

Avant de commencer la résolution des problèmes, voici quelques questions exploratoires qui peuvent nous aider à comprendre la situation et à limiter la cause du problème :

  1. Qu’est-ce que les systèmes d’exploitation client et serveur ?
    Réponse : contrôleurs de domaine Windows Server 2019 et ordinateurs clients Windows 11 version 22H2.

  2. Tous les utilisateurs rencontrent-ils le problème ou seulement certains utilisateurs ?
    Réponse : Le problème se produit lorsqu’un utilisateur se connecte à un ordinateur client sur le site de Tokyo. Toutefois, si le même utilisateur se connecte à partir d’un ordinateur client sur le site Phoenix, la stratégie de papier peint s’applique correctement.

  3. Quels paramètres sont configurés à l’aide de l’objet de stratégie de groupe Wallpaper-GPO-Tokyo ?
    Réponse : il existe certains paramètres, et le paramètre le plus important est un paramètre côté utilisateur avec la configuration suivante :

    • Chemin d’accès : Configuration utilisateur\Modèles d’administration\Desktop\Desktop\Desktop\Desktop Wallpaper
    • Paramètre d’objet de stratégie de groupe : activé
    • Emplacement du papier peint : \contoso.com\netlogon\home.jpg
    • Style de papier peint : Ajuster

    Capture d’écran des paramètres d’objet de stratégie de groupe.

  4. L’objet de stratégie de groupe De papier peint-Tokyo est-il un nouvel objet de stratégie de groupe ou un ancien objet de stratégie de groupe dans l’étendue de l’unité d’organisation de Tokyo ?
    Réponse : Il s’agit d’un nouvel objet de stratégie de groupe que nous avons configuré sur le site Phoenix, et cet objet de stratégie de groupe a été créé il y a quelques jours.

  5. Quand vous exécutez gpupdate /force /target:user, observez-vous des messages d’erreur sur les ordinateurs en cours de fonctionnement et défaillants ?
    Réponse : aucune erreur ne se produit lorsque nous exécutons sur l’ordinateur client en cours d’exécution gpupdate /force ou sur l’ordinateur client défaillant.

  6. Les anciens objets de stratégie de groupe sont-ils appliqués et seulement cet objet de stratégie de groupe n’est pas ?
    Réponse : Nous observons que les anciens objets de stratégie de groupe sont appliqués et que seul ce nouvel objet de stratégie de groupe de papier peint n’est pas appliqué.

  7. Observez-vous que tous les utilisateurs sous l’étendue de cet objet de stratégie de groupe de Tokyo ne sont pas appliqués, ou ce problème n’est-il observé que pour certains sous-ensembles d’utilisateurs ?
    Réponse : tous les utilisateurs dans l’étendue de cet objet de stratégie de groupe à partir du site tokyo rencontrent ce problème, mais les mêmes utilisateurs, s’ils se connectent à partir d’un ordinateur client sur le site Phoenix, ne rencontrent pas le problème.

Dépannage

Tout d’abord, nous devons collecter des données sur un ordinateur client sur Phoenix et un ordinateur client sur Tokyo. Procédez comme suit sur chaque ordinateur :

  1. Téléchargez TSS et extrayez le fichier ZIP dans le dossier C :\temp. Créez le dossier s’il n’existe pas.

  2. Connectez-vous avec le compte d’utilisateur qui rencontre le problème.

  3. Ouvrez une commande PowerShell avec élévation de privilèges et exécutez la commande :

    Set-ExecutionPolicy unrestricted

    Capture d’écran du résultat de la commande Set-ExecutionPolicy.

  4. Accédez à c :\temp\TSS, où vous avez extrait le fichier Zip TSS.

  5. Exécutez .\TSS.ps1 -Start -Scenario ADS_GPOEx. Acceptez le contrat et attendez que le TSS commence à collecter des données.

    Capture d’écran de l’outil TSS.

  6. Ouvrez une invite de commandes normale en tant qu’utilisateur et exécutez gpupdate /force /target:user

  7. Une fois le traitement terminé, appuyez sur Y sur la commande PowerShell où vous exécutez TSS.

    Capture d’écran du résultat de l’outil TSS.

  8. TSS cesse de collecter des données et les données collectées se trouvent dans le dossier C :\MSDATA sous la forme d’un fichier Zip ou d’un dossier nommé TSS_<Machinename>_<Time>_ADS_GPOEx.

Pour plus d’informations sur TSS, consultez Introduction à l’ensemble d’outils TSS (TroubleShootingScript) .

Comparer GPResult

Sur les deux ordinateurs, accédez au dossier c :\msdata où TSS a enregistré tous les rapports, puis extrayez le contenu du fichier ZIP. Passez en revue le fichier nommé <Clientmachinename>_<Time>GPResult-H_Stop.html.

Accédez à la section Détails de l’utilisateur. L’objet de stratégie de groupe en question, Wallpaper-GPO-Tokyo, figure dans la liste appliquée sur la machine de travail et n’est pas présent dans la machine cassée.

Note

Il existe d’autres objets de stratégie de groupe tels que Mappé-Drive et Phoenix-SiteGPO sur les machines appliquées. Toutefois, ces deux objets de stratégie de groupe sont des objets de stratégie de groupe de niveau site et s’appliquent uniquement lorsque le client de stratégie de groupe détecte que l’ordinateur client se trouve sur le site Phoenix. Par conséquent, ils ne sont pas pertinents pour notre étendue de résolution des problèmes.

Capture d’écran des résultats de la commande gpresult.

Comparer les journaux des événements

Les journaux opérationnels de stratégie de groupe fournissent plus d’informations sur le traitement. Ouvrez les journaux opérationnels des objets de stratégie de groupe pour comparer le <fichier Machinename-Microsoft-Windows-GroupPolicy-Operational.evtx> à partir de la sortie TSS.

Conseil

L’ID d’événement de démarrage de la stratégie de groupe est 4116 et l’événement de fin de stratégie de groupe est 8005.

Triez les journaux des événements dans l’ordre chronologique. Recherchez l’événement 4116 et parcourez quelques événements importants dans la direction vers le haut. Lors de l’examen du travail et des clients défaillants, la seule différence est que la machine cliente défaillante obtient sa stratégie de groupe à partir de DC6.contoso.com sur le site de Tokyo.

Capture d’écran des journaux des événements opérationnels.

L’ID d’événement 5312 indique que le service de stratégie de groupe a détecté qu’il doit traiter cinq objets de stratégie de groupe sur l’ordinateur de travail et trois objets de stratégie de groupe sur l’ordinateur défaillant. Comme nous l’avons déjà vu, les objets de stratégie de groupe Phoenix-SiteGPO et Mappé-Drive sont des objets de stratégie de groupe au niveau du site, et la seule différence est que l’objet de stratégie de groupe Wallpaper-GPO-Tokyo n’est pas appliqué.

Résumé

Lorsque nous comparons l’ID d’événement 5312 de l’ordinateur de travail à l’ordinateur défaillant, nous constatons que le service client de stratégie de groupe n’a pas énuméré le papier peint-GPO-Tokyo lorsqu’il est connecté à DC6. Nous confirmons également que l’étendue de l’objet de stratégie de groupe est correcte. Par conséquent, la cause du scénario ci-dessus peut être un problème avec la réplication Active Directory (AD).

Le moteur de réplication de système de fichiers distribué (DFSR) dépend de la réplication AD. Si la réplication AD s’interrompt, la réplication DFSR s’interrompt également. Cela peut entraîner le problème dans notre scénario où l’objet de stratégie de groupe n’est pas dans la liste « Appliqué » ou « Refusé ».

Note

Si la réplication AD fonctionne correctement et que DFSR interrompt, nous pouvons rencontrer un autre problème où l’objet de stratégie de groupe se trouve dans la liste de refus.

Pour résoudre le problème de réplication AD, consultez l’erreur de réplication Active Directory 1722 : Le serveur RPC n’est pas disponible. Dans ce guide de scénario, nous avons découvert un routeur incorrect qui bloque le port RPC sur le site de Tokyo, ce qui a provoqué un problème de réplication AD.