Udostępnij za pośrednictwem

Przewodnik scenariusza: Obiekt zasad grupy tapety nie ma zastosowania na niektórych komputerach klienckich

W tym przewodniku scenariusza wyjaśniono, jak używać języka TroubleShootingScript (TSS) do zbierania danych w celu rozwiązania problemu, w którym obiekt zasad grupy tapety (GPO) nie ma zastosowania na niektórych komputerach klienckich.

Jak zasady grupy są stosowane na komputerach klienckich

  1. Usługa zasad grupy na komputerze klienckim wylicza nazwę wyróżniającą (DN) konta użytkownika.
  2. Usługa zasad grupy wylicza atrybuty GPLINK i GPOptions konta użytkownika w kolejności lokalnego obiektu zasad grupy, obiektu zasad grupy lokacji, domeny i jednostki organizacyjnej (OU).
  3. Usługa Zasad grupy tworzy listę obiektów zasad grupy do zastosowania lub odmowy.

Aby uzyskać więcej informacji, zobacz Stosowanie zasad grupy i filtrowanie zakresu obiektu zasad grupy.

Przewodnik po rozwiązywaniu problemów

Przed kontynuowaniem zapoznaj się ze wskazówkami dotyczącymi rozwiązywania problemów z stosowaniem zasad grupy.

Środowisko

  • Nazwa domeny: contoso.com
  • Lokacje usługi Active Directory: cztery lokacje (dwa kontrolery domeny na lokację) (Phoenix, Londyn, Tokio i Bombaj)
  • Liczba kontrolerów domeny: osiem
  • System operacyjny kontrolera domeny: Windows Server 2019
  • System operacyjny komputera klienckiego: Windows 11, wersja 22H2

Diagram topologii środowiska.

W tym scenariuszu

Przed rozpoczęciem rozwiązywania problemów poniżej przedstawiono niektóre pytania określające zakres, które mogą pomóc nam zrozumieć sytuację i zawęzić przyczynę problemu:

  1. Jakie są systemy operacyjne klienta i serwera?
    Odpowiedź: Kontrolery domeny systemu Windows Server 2019 i komputery klienckie z systemem Windows 11 w wersji 22H2.

  2. Czy wszyscy użytkownicy napotykają problem, czy tylko niektórzy użytkownicy?
    Odpowiedź: Problem występuje, gdy użytkownik loguje się do komputera klienckiego w witrynie Tokio. Jeśli jednak ten sam użytkownik loguje się z komputera klienckiego w lokacji Phoenix, zasady tapety są stosowane prawidłowo.

  3. Jakie ustawienia są konfigurowane przy użyciu obiektu zasad grupy Wallpaper-GPO-Tokio ?
    Odpowiedź: Istnieją pewne ustawienia, a najważniejszą z nich jest ustawienie po stronie użytkownika z następującą konfiguracją:

    • Ścieżka: Konfiguracja użytkownika\Szablony administracyjne\Desktop\Desktop\Tapeta pulpitu
    • Ustawienie obiektu zasad grupy: włączone
    • Lokalizacja tapety: \contoso.com\netlogon\home.jpg
    • Styl tapety: Dopasuj

    Zrzut ekranu przedstawiający ustawienia obiektu zasad grupy.

  4. Czy obiekt zasad grupy Tapeta-GPO-Tokio obiektu zasad grupy jest nowym obiektem zasad grupy, czy starym obiektem zasad grupy w zakresie jednostki organizacyjnej Tokio?
    Odpowiedź: Jest to nowy obiekt zasad grupy skonfigurowany w witrynie Phoenix, a ten obiekt zasad grupy został utworzony kilka dni temu.

  5. Czy po uruchomieniu programu gpupdate /force /target:usersą obserwowane komunikaty o błędach na komputerach pracujących i zakończonych niepowodzeniem?
    Odpowiedź: Nie występuje błąd podczas uruchamiania na gpupdate /force komputerze roboczym lub na komputerze klienckim, który kończy się niepowodzeniem.

  6. Czy stare obiekty zasad grupy są stosowane i tylko ten obiekt zasad grupy nie jest?
    Odpowiedź: Zauważamy, że stare obiekty zasad grupy są stosowane, a tylko ten nowy obiekt zasad grupy tapety nie jest stosowany.

  7. Czy zauważasz, że wszyscy użytkownicy w zakresie tego obiektu zasad grupy z Tokio nie są stosowane lub czy ten problem zaobserwowano tylko dla niektórych podzbiorów użytkowników?
    Odpowiedź: Wszyscy użytkownicy w zakresie tego obiektu zasad grupy z witryny Tokio napotykają ten problem, ale ci sami użytkownicy, jeśli logują się z komputera klienckiego w witrynie Phoenix, nie napotykają problemu.

Rozwiązywanie problemów

Najpierw musimy zebrać dane zarówno na komputerze klienckim w Phoenix, jak i na komputerze klienckim w Tokio. Wykonaj następujące kroki na każdym komputerze:

  1. Pobierz TSS i wyodrębnij plik ZIP do folderu C:\temp . Utwórz folder, jeśli nie istnieje.

  2. Zaloguj się przy użyciu konta użytkownika, na którym występuje problem.

  3. Otwórz polecenie programu PowerShell z podwyższonym poziomem uprawnień i uruchom polecenie:

    Set-ExecutionPolicy unrestricted

    Zrzut ekranu przedstawiający wynik polecenia Set-ExecutionPolicy.

  4. Przejdź do folderu c:\temp\TSS, w którym wyodrębniono plik zip TSS.

  5. Uruchom program .\TSS.ps1 -Start -Scenario ADS_GPOEx. Zaakceptuj umowę i zaczekaj na rozpoczęcie zbierania danych przez usługę TSS.

    Zrzut ekranu przedstawiający narzędzie TSS.

  6. Otwórz normalny wiersz polecenia jako użytkownik i uruchom polecenie gpupdate /force /target:user

  7. Po zakończeniu przetwarzania naciśnij Y w poleceniu programu PowerShell, w którym jest uruchomiony przewodnik rozwiązywania problemów.

    Zrzut ekranu przedstawiający wynik narzędzia TSS.

  8. TSS przestanie zbierać dane, a zebrane dane będą znajdować się w folderze C:\MSDATA jako plik zip lub folder o nazwie TSS_<Machinename>_<Time>_ADS_GPOEx.

Aby uzyskać więcej informacji na temat TSS, zobacz Introduction to TroubleShootingScript toolset (TSS) (Wprowadzenie do zestawu narzędzi językaScript (TSS).

Porównanie obiektu GPResult

Na obu komputerach przejdź do folderu c:\msdata , w którym usługa TSS zapisała wszystkie raporty, a następnie wyodrębnij zawartość pliku ZIP. Przejrzyj plik o nazwie <Clientmachinename>_<Time>GPResult-H_Stop.html.

Przejdź do sekcji Szczegóły użytkownika. Obiekt zasad grupy, o których mowa, Wallpaper-GPO-Tokio, znajduje się na liście zastosowanych na maszynie roboczej i nie znajduje się na uszkodzonej maszynie.

Uwaga 16.

Istnieją inne obiekty zasad grupy, takie jak Dysk mapowany i Phoenix-SiteGPO na zastosowanych maszynach. Jednak te dwa obiekty zasad grupy są obiektami zasad grupy na poziomie lokacji i mają zastosowanie tylko wtedy, gdy klient zasad grupy wykryje, że maszyna kliencka znajduje się w lokacji Phoenix. W związku z tym nie są one istotne dla naszego zakresu rozwiązywania problemów.

Zrzut ekranu przedstawiający wyniki polecenia gpresult.

Porównywanie dzienników zdarzeń

Dzienniki operacyjne zasad grupy zawierają więcej informacji na temat przetwarzania. Otwórz oba dzienniki operacyjne obiektu zasad grupy, aby porównać <plik Machinename-Microsoft-Windows-GroupPolicy-Operational.evtx> z danych wyjściowych TSS.

Napiwek

Identyfikator zdarzenia początkowego zasad grupy to 4116, a zdarzenie końcowe zasad grupy to 8005.

Sortuj dzienniki zdarzeń w kolejności chronologicznej. Wyszukaj wydarzenie 4116 i przejdź kilka ważnych wydarzeń w kierunku w górę. Podczas przeglądania pracy i niepowodzeń klientów jedyną różnicą jest to, że maszyna kliencka, która kończy się niepowodzeniem, pobiera zasady grupy z DC6.contoso.com w lokacji Tokio.

Zrzut ekranu przedstawiający dzienniki zdarzeń operacyjnych.

Identyfikator zdarzenia 5312 wskazuje, że usługa zasad grupy wykryła, że musi przetworzyć pięć obiektów zasad grupy na komputerze roboczym i trzy obiekty zasad grupy na komputerze, który uległ awarii. Jak już wspomniano, Obiekty zasad grupy Phoenix-SiteGPO i Mapowane dysku są obiektami zasad grupy na poziomie lokacji, a jedyną różnicą jest to, że obiekt zasad grupy Tapeta-GPO-Tokio nie jest stosowany.

Podsumowanie

Podczas porównywania identyfikatora zdarzenia 5312 z komputera roboczego do komputera, który kończy się niepowodzeniem, zauważamy, że usługa klienta zasad grupy nie wyliczyła obiektu zasad grupy Tapeta-GPO-Tokio po połączeniu z DC6. Potwierdzamy również, że zakres obiektu zasad grupy jest poprawny. W związku z tym przyczyną powyższego scenariusza może być problem z replikacją usługi Active Directory (AD).

Aparat replikacji rozproszonego systemu plików (DFSR) jest zależny od replikacji usługi AD. W przypadku przerwania replikacji usługi AD replikacja dfSR również nie powiedzie się. Może to prowadzić do problemu w naszym scenariuszu, w którym obiekt zasad grupy nie znajduje się na liście "Zastosowane" lub "Odrzucone".

Uwaga 16.

Jeśli replikacja usługi AD działa prawidłowo, a usługa DFSR przerywa działanie, możemy napotkać inny problem polegający na tym, że obiekt zasad grupy znajduje się na liście Odmów.

Aby rozwiązać problem z replikacją usługi AD, zobacz Błąd replikacji usługi Active Directory 1722: Serwer RPC jest niedostępny. W tym przewodniku scenariusza wykryliśmy nieprawidłowy router, który blokuje port RPC w lokacji Tokio, co spowodowało problem z replikacją usługi AD.