Condividi tramite

Guida allo scenario: Oggetto Criteri di gruppo per eseguire il mapping di un'unità di rete non si applica come previsto

Questa guida di scenario illustra come usare TroubleShootingScript (TSS) per raccogliere dati per risolvere un problema in cui un oggetto Criteri di gruppo (GPO) per eseguire il mapping di un'unità di rete non si applica come previsto.

Guida alla risoluzione dei problemi

Prima di procedere, fare riferimento alle linee guida per la risoluzione dei problemi relativi a Criteri di gruppo.

Ambiente

  • Nome di dominio: contoso.com
  • Siti di Active Directory: quattro siti (due controller di dominio per sito) (Phoenix, Londra, Tokyo e Mumbai)
  • Numero di controller di dominio: otto
  • Sistema operativo controller di dominio: Windows Server 2019
  • Sistema operativo del computer client: Windows 11, versione 22H2

Diagramma della topologia dell'ambiente.

In questo scenario

Prima di iniziare la risoluzione dei problemi, ecco alcune domande di ambito che possono essere utili per comprendere la situazione e limitare la causa del problema:

  1. Quali sono i sistemi operativi client e server?
    Risposta: I computer client sono Windows 11 versione 22H2 e il file server in cui si trova l'unità mappata si trova nel server Linux.

  2. Come si configurano le preferenze di Criteri di gruppo?
    Risposta: Abbiamo un oggetto Criteri di gruppo denominato Mapped-Drive e questo oggetto Criteri di gruppo è configurato usando le preferenze di Criteri di gruppo estensione di unità mappate.

    Screenshot del risultato di Criteri di gruppo.

  3. Tutti gli utenti sono interessati dall'ambito dell'unità mappata dell'oggetto Criteri di gruppo?
    Risposta: Questo oggetto Criteri di gruppo è stato configurato per l'unità organizzativa "Utenti IT". L'abbiamo testata con quattro o cinque utenti. Per tutti, l'unità Z non è mappata.

  4. Cosa accade se si esegue manualmente il mapping dell'unità invece di usare le preferenze di Criteri di gruppo?
    Risposta: È possibile eseguire correttamente il mapping dell'unità Z usando il net use comando allo stesso file server.

  5. Questo oggetto Criteri di gruppo è un nuovo oggetto Criteri di gruppo o ha funzionato in precedenza?
    Risposta: Questo oggetto Criteri di gruppo funzionava in precedenza ed è stato usato da tutti gli utenti per ottenere unità mappate. Dall'ultimo paio di giorni, le unità mappate non funzionano.

  6. Quando si esegue gpresult /h e si esamina l'output, si osserva che l'oggetto Criteri di gruppo Mappad-Drive si trova nell'elenco applicabile?
    Risposta: Sì, osserviamo che l'oggetto Criteri di gruppo Mapped-Drive viene applicato nell'elenco applicabile.

    Screenshot degli oggetti Criteri di gruppo applicati.

    Screenshot che mostra che l'oggetto Criteri di gruppo viene applicato correttamente.

  7. È stato configurato un filtro di sicurezza, un filtro WMI o sono state configurate le impostazioni Nega (Applica) per l'utente o un gruppo?
    Risposta: L'oggetto Criteri di gruppo è configurato con le impostazioni predefinite e non vengono apportate modifiche all'oggetto Criteri di gruppo dal punto di vista del filtro di sicurezza, del filtro WMI o della configurazione di eventuali autorizzazioni Nega.

Risoluzione dei problemi

Prima di tutto, raccogliere i dati seguenti per la risoluzione dei problemi. Poiché è necessario tracciare l'accesso o l'accesso, è necessario eseguire le attività seguenti come amministratore locale o qualsiasi altro account utente con credenziali di amministratore locale.

Note

Questi passaggi richiedono l'abilitazione rapida del passaggio dell'utente. Se si verificano problemi durante il tentativo di cambiare utente, verificare se è impostato il criterio o il valore del Registro di sistema seguente:

  • Criteri di gruppo: nascondi i punti di ingresso per Il cambio rapido utente in Configurazione computer\Modelli amministrativi\Sistema\Accesso.
  • Chiave del Registro di sistema: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System.
  • Valore del Registro: HideFastUserSwitching

  1. Scaricare TSS ed estrarre il file ZIP nella cartella C:\temp . Creare la cartella se non esiste.

  2. Aprire un comando di PowerShell con privilegi elevati ed eseguire il comando :

    Set-ExecutionPolicy unrestricted

    Screenshot del risultato del comando Set-ExecutionPolicy.

  3. Passare a c:\temp\TSS, dove è stato estratto il file ZIP TSS.

  4. Eseguire .\TSS.ps1 -Start -Scenario ADS_GPOEx -Procmon. Accettare il contratto e attendere che il TSS inizi a raccogliere i dati.

    Screenshot dello strumento TSS.

  5. Cambiare l'utente e quindi accedere con l'account utente che non vede l'unità Z mappata.

  6. Al termine dell'accesso, aprire un prompt dei comandi ed eseguire gpresult /h appliedgpo.htm. Verificare che l'oggetto Criteri di gruppo Mappato-Drive sia incluso nell'elenco applicabile.

  7. Cambiare di nuovo l'utente e quindi accedere con l'account utente che ha avviato la registrazione TSS. Premere Y.

  8. TSS interromperà la raccolta dei dati e i dati raccolti si troveranno nella cartella C:\MSDATA come file ZIP o una cartella denominata TSS_<Machinename>_<Time>_ADS_GPOEx.

Per altre informazioni su TSS, vedere Introduction to TroubleShootingScript toolset (TSS).

Analisi dei dati

Passare alla cartella c:\msdata in cui TSS ha salvato tutti i report e quindi estrarre il contenuto del file ZIP. Esaminare il file denominato <Client_machinename-Time<>>_Microsoft-Windows-GroupPolicy-Operational.evtx.

Evento iniziale 4001

Screenshot dell'ID evento 4001.

Evento 5017 che mostra l'unità organizzativa "Utenti"

L'unità mappata dell'oggetto Criteri di gruppo è collegata all'unità organizzativa "Utenti".

Screenshot dell'ID evento 5017.

Evento 5312 che mostra l'elenco degli oggetti Criteri di gruppo applicabili

Si noterà che l'oggetto Criteri di gruppo Mappato-Drive è incluso nell'elenco applicabile.

Screenshot dell'ID evento 5312.

Evento 4016 che mostra l'estensione Mappe unità criteri di gruppo è stata elaborata e completata

Screenshot dell'ID evento 4016.

Traccia delle preferenze di Criteri di gruppo

Dai log operativi di Criteri di gruppo si osserva che i Criteri di gruppo sono stati elaborati e che le preferenze di Criteri di gruppo sono state applicate correttamente. Oltre a quanto sopra, è anche possibile esaminare la registrazione/traccia delle preferenze di Criteri di gruppo raccolte dallo strumento TSS.

La traccia delle preferenze di Criteri di gruppo è una registrazione aggiuntiva che è possibile abilitare per qualsiasi estensione lato client delle preferenze di Criteri di gruppo. La traccia dell'oggetto Criteri di gruppo TSSEx è abilitata per impostazione predefinita.

Note

Se si vuole abilitare manualmente la registrazione GPSVC, seguire l'opzione Abilitazione della registrazione debug preferenze criteri di gruppo tramite Strumenti di amministrazione remota del server.

In questo articolo viene presentato come esaminare e cercare il log GPSVC per verificare che i Criteri di gruppo siano stati applicati correttamente al client.

In <Clientmachinename>_<Date_Time>_GPPREF_User.txt si osserva che l'estensione GPP Mapped Drive sta avviando l'elaborazione.

Note

A scopo di brevità e leggibilità, l'analisi contiene solo frammenti di dati rilevanti per la risoluzione dei problemi e non tutti i dati nel log.

yyyy-mm-dd hh:mm::ss:sss [pid=0x3134,tid=0x4fc] Entering ProcessGroupPolicyExDrives()
yyyy-mm-dd hh:mm::ss:sss [pid=0x3134,tid=0x4fc] SOFTWARE\Policies\Microsoft\Windows\Group Policy\{5794DAFD-BE60-433f-88A2-1A31939AC01F}

L'estensione Unità mappate di Criteri di gruppo ha identificato un oggetto Criteri di gruppo configurato con questa estensione e il nome è Mapped-Drive:

yyyy-mm-dd hh:mm::ss:sss [pid=0x3134,tid=0x4fc] GPC : LDAP://CN=User,cn={6D6CECFD-C75A-43FA-8C32-0B5963E42C5B},cn=policies,cn=system,DC=contoso,DC=com
yyyy-mm-dd hh:mm::ss:sss [pid=0x3134,tid=0x4fc] GPT : \\contoso.com\SysVol\contoso.com\Policies\{6D6CECFD-C75A-43FA-8C32-0B5963E42C5B}\User
yyyy-mm-dd hh:mm::ss:sss [pid=0x3134,tid=0x4fc] GPO Display Name : Mapped-Drive
yyyy-mm-dd hh:mm::ss:sss [pid=0x3134,tid=0x4fc] GPO Name : {6D6CECFD-C75A-43FA-8C32-0B5963E42C5B}

Si noti che l'unità Z è mappata correttamente:

yyyy-mm-dd hh:mm::ss:sss [pid=0x3134,tid=0x4fc] Starting class <Drive> - Z:.
yyyy-mm-dd hh:mm::ss:sss [pid=0x3134,tid=0x4fc] Policy is not flagged for removal.
yyyy-mm-dd hh:mm::ss:sss [pid=0x3134,tid=0x4fc] Completed class <Drive> - Z:.
yyyy-mm-dd hh:mm::ss:sss [pid=0x3134,tid=0x4fc] Completed class <Drives>.
yyyy-mm-dd hh:mm::ss:sss [pid=0x3134,tid=0x4fc] EVENT : The user 'Z:' preference item in the 'Mapped-Drive {6D6CECFD-C75A-43FA-8C32-0B5963E42C5B}' Group Policy Object applied successfully.
yyyy-mm-dd hh:mm::ss:sss [pid=0x3134,tid=0x4fc] Completed class <Drive> - Z:.
yyyy-mm-dd hh:mm::ss:sss [pid=0x3134,tid=0x4fc] Completed class <Drives>

Usare procmon per trovare il processo di rimozione dell'unità Z

In questo momento, sappiamo che le preferenze di Criteri di gruppo vengono applicate, ma l'unità Z non è visibile. È possibile eseguire manualmente il mapping dell'unità, ma l'unità verrà eliminata durante l'accesso o l'accesso. Di conseguenza, ci sono altre impostazioni che eliminano l'unità Z nel computer durante l'accesso.

Successivamente, è necessario analizzare la traccia procmon per osservare cosa ha eliminato l'unità mappata. Lo strumento TSS raccoglie anche la traccia procmon con l'opzione -Procmon usata per raccogliere i dati.

La traccia procmon può essere travolgente. Seguire questa procedura per configurare un filtro per visualizzare i dati. Il filtro può essere usato per risolvere eventuali problemi relativi alle unità mappate.

  1. Aprire il file <Clientmachinename>_<date_time>_Procmon_0.pml.

  2. Selezionare Filtro - .

  3. Aggiungere il filtro: Detail - Contains - Z:.

    Screenshot del filtro di monitoraggio del processo.

  4. L'output del filtro mostra due processi: cmd.exe e net.exe.

    Screenshot del risultato del filtro che mostra cmd.exe e net.exe.

  5. Fare doppio clic su net.exe e passare alla scheda Processo che include i parametri seguenti:

    • Riga di comando: operazione di eliminazione dell'unità mappata.
    • PID padre: il processo padre di net.exe è 13436.
    • Utente: nome dell'utente nel cui contesto è stato eseguito questo processo. In questo esempio si tratta dell'account utente stesso.

    Screenshot della scheda Processo delle proprietà dell'evento in Procmon.

Configurare quindi un altro filtro per identificare chi ha generato net.exe usando il filtro del processo padre.

  1. Passare a Filtro - e selezionare Reimposta.

  2. Applicare ora il filtro seguente usando il PID dell'elemento padre.

    Filtrare la traccia usando il PID è 13436 condizione.

Si noti che il PID è cmd.exe e sembra che stia elaborando un oggetto Criteri di gruppo con i parametri seguenti:

  • Riga di comando: C:\Windows\system32\cmd.exe /c "\contoso.com\SysVol\contoso.com\Policies{E347CA05-D21D-433D-9BCA-2FE555336749}\User\Scripts\Logon\deletedrives.bat"
  • PID padre: il processo padre di cmd.exe è 14900.
  • Utente: nome dell'utente nel cui contesto è stato eseguito questo processo. In questo esempio si tratta dell'utente stesso.

Screenshot della scheda Processo del processo 13436.

A questo proposito, usare di nuovo lo stesso meccanismo e il filtro PID passando a Filtro - , selezionando Reimposta e applicando il filtro seguente:

Screenshot della scheda Processo del processo 14900.

Si noti che GPScrpit.exe è il processo padre del processo di cmd.exe . Usando questo hint, si osserva che è presente uno script di Criteri di gruppo che ha eliminato l'unità mappata.

Screenshot del processo 14900, ovvero il processo dell'applicazione script di Criteri di gruppo.

Riepilogo

  1. Net.exe sta eliminando l'unità mappata e il relativo processo padre è cmd.exe. Viene eseguito il comando seguente:

    net use z: /delete

  2. CMD.exe elabora un deletedrives.bat di file .bat e il relativo processo padre è GPScript.exe.

    C:\Windows\system32\cmd.exe /c "\contoso.com\SysVol\contoso.com\Policies{E347CA05-D21D-433D-9BCA-2FE555336749}\User\Scripts\Logon\deletedrives.bat"

  3. GPScript.exe è il processo eseguito durante l'accesso per elaborare qualsiasi script di accesso.

È necessario identificare l'oggetto Criteri di gruppo che contiene questo script di accesso. Ecco due metodi.

Metodo 1: usare l'output Gpresult /h raccolto durante la raccolta dei log

Screenshot dell'output Gpresult /h.

Metodo 2: Usare lo snap-in Gestione Criteri di gruppo (GPMC.msc)

  1. Aprire GPMC.msc in un controller di dominio o in un computer in cui è installato lo snap-in.

  2. Fare clic con il pulsante destro del mouse sul dominio e scegliere Cerca.

  3. Negli elementi di ricerca selezionare GUID e quindi immettere il GUID dell'oggetto Criteri di gruppo trovato nel comando di cmd.exe.

    Cercare oggetti Criteri di gruppo in base al GUID.

È stato rilevato che l'oggetto Criteri di gruppo DomainWideSettings ha lo script di accesso.

Trovare l'oggetto Criteri di gruppo che ha causato il problema.

Se non vuoi che l'oggetto Criteri di gruppo DomainWideSettings elimini l'unità mappata, usa uno di questi metodi:

  • Rimuovere gli script di accesso dall'oggetto Criteri di gruppo DomainWideSettings perché questo oggetto Criteri di gruppo viene usato per configurare altre impostazioni a livello di dominio.
  • Scollegare completamente l'oggetto Criteri di gruppo DomainWideSettings .
  • Impostare "Blocca ereditarietà dei criteri" nell'unità organizzativa "Utenti" in cui si trova l'oggetto utente.
  • Impostare un "Applica oggetto Criteri di gruppo" per il gruppo "Utenti" nell'oggetto Criteri di gruppo DomainWideSettings.