Aplicação de diretrizes para solução de problemas da Política de Grupo

Experimente nosso agente virtual – Ele pode ajudar você a identificar e corrigir rapidamente os problemas comuns de replicação do Active Directory

Este guia fornece os conceitos fundamentais usados para solucionar problemas de Diretiva de Grupo. O que você aprenderá:

• Como localizar novas informações de solução de problemas.
• Como usar o Visualizador de Eventos para filtrar informações específicas da Diretiva de Grupo.
• Como ler e interpretar dados de eventos.
• Métodos corretos para localizar o ponto de falha.

Lista de verificação de solução de problemas

1. Comece lendo os eventos de Diretiva de Grupo registrados no log de eventos do sistema.

   • Os eventos de aviso fornecem mais informações a serem seguidas para garantir que o serviço de Diretiva de Grupo permaneça íntegro.
   • Os eventos de erro fornecem informações que descrevem a falha e as causas prováveis.
   • Use o link Mais informações incluído na mensagem do evento.
   • Use a guia Detalhes para exibir códigos de erro e descrições.

2. Use o log operacional da Diretiva de Grupo.

   • Identifique a ID de atividade da instância de processamento de Política de Grupo que você está solucionando.
   • Crie uma visualização personalizada do log operacional.
   • Divida o log em fases: pré-processamento, processamento e pós-processamento.
   • Consolide cada evento inicial com seu evento final correspondente. Investigue todos os eventos de aviso e erro.
   • Isole e solucione problemas do componente dependente.
   • Use o comando de atualização da Diretiva de Grupo (GPUPDATE) para atualizar a Diretiva de Grupo. Repita essas etapas para determinar se o aviso ou erro ainda existe.

Importante

A atualização da Política de Grupo altera a ID da atividade em seu modo de exibição personalizado. Certifique-se de atualizar sua exibição personalizada com a ID de atividade mais atual ao solucionar problemas.

Determinar a instância de processamento da Diretiva de Grupo

Antes de exibir o log operacional da Diretiva de Grupo, você deve primeiro determinar a instância do processamento da Diretiva de Grupo que falhou.

Para determinar uma instância de processamento de Diretiva de Grupo, siga estas etapas:

1. Abra o visualizador de eventos.
2. Em Visualizador de Eventos (Local), selecione Sistema de Logs>do Windows.
3. Clique duas vezes no aviso de Política de Grupo ou no evento de erro que você deseja solucionar.
4. Selecione a guia Detalhes e marque Modo de exibição amigável. Selecione Sistema para expandir o nó Sistema.
5. Localize o ActivityID nos detalhes do nó do sistema . Você usa esse valor (sem as chaves de abertura e fechamento) em sua consulta. Copie esse valor para o Bloco de Notas para que ele esteja disponível para você mais tarde e selecione Fechar.

Criar um modo de exibição personalizado de uma instância de Política de Grupo

Um computador geralmente tem mais de uma instância de processamento de Diretiva de Grupo. Os computadores dedicados à execução dos Serviços de Terminal geralmente têm mais de uma instância de processamento de Diretiva de Grupo e operam simultaneamente. Portanto, é importante filtrar o log de eventos operacionais da Política de Grupo para mostrar apenas eventos para a instância que você está solucionando.

Use o procedimento a seguir para criar um modo de exibição personalizado de uma instância de Diretiva de Grupo. Você faz isso usando uma consulta do Visualizador de Eventos. Essa consulta cria uma exibição filtrada do log operacional da Diretiva de Grupo para uma instância específica do processamento da Diretiva de Grupo.

Para criar um modo de exibição personalizado de uma instância de Política de Grupo, siga estas etapas:

1. Abra o visualizador de eventos.

2. Clique com o botão direito do mouse em Modos de Exibição Personalizados e selecione Criar Modo de Exibição Personalizado.

3. Selecione a guia XML e marque a caixa de seleção Editar consulta manualmente . O Visualizador de Eventos exibe uma caixa de diálogo explicando que a edição manual de uma consulta impede que você modifique a consulta usando a guia Filtro . Selecione Sim.

4. Copie a consulta do Visualizador de Eventos (fornecida no final desta etapa) para a área de transferência. Cole a consulta na caixa Consulta .

   <QueryList><Query Id="0" Path="Application"><Select Path="Microsoft-Windows-GroupPolicy/Operational">*[System/Correlation/@ActivityID='{INSERT ACTIVITY ID HERE}']</Select></Query></QueryList>

5. Copie o ActivityID que você salvou anteriormente da seção Determinar a instância do processamento da Diretiva de Grupo para a área de transferência. Na caixa Consulta, realce "INSERIR ID DA ATIVIDADE AQUI" e pressione Ctrl+V para colar o ActivityID sobre o texto.

   Observação

   Certifique-se de não colar sobre as chaves à esquerda e à direita ({ }). Você deve incluir essas chaves para que sua consulta funcione corretamente.

6. Na caixa de diálogo Salvar Filtro no Modo de Exibição Personalizado, digite um nome e uma descrição significativos para o modo de exibição que você criou. Selecione OK.

7. O nome da exibição salva aparece em Exibições personalizadas. Selecione o nome da exibição salva para exibir seus eventos no Visualizador de Eventos.

Importante

O serviço de Diretiva de Grupo atribui um ActivityID exclusivo para cada instância de processamento de diretiva. Por exemplo, o serviço de Diretiva de Grupo atribui um ActivityID exclusivo quando o processamento da diretiva de usuário ocorre durante o logon do usuário. Quando a Diretiva de Grupo é atualizada, o serviço de Diretiva de Grupo atribui outro ActivityID exclusivo à instância da Diretiva de Grupo responsável pela atualização da diretiva do usuário.

Verifique se a política de grupo tem todas as configurações que você está procurando e se está vinculada corretamente. Abaixo estão as guias pelas quais você deve passar. Se todos eles parecerem bons, vá para a máquina cliente problemática.

1. Abra um prompt de comando elevado e execute o comando a seguir.

   gpresult /h gp.html
   

2. Verifique a gpresult saída que você capturou e procure o GPO com o qual você está tendo problemas. Isso dará um erro sobre o motivo pelo qual o GPO não está sendo aplicado.

3. Se você tiver um erro na gpresult saída, podemos solucionar o problema com base nele. Caso contrário, vá para a próxima etapa.

4. Abra o Visualizador de Eventos e navegue até os logs de eventos do aplicativo e do sistema. O log de eventos do aplicativo fornecerá os detalhes sobre o motivo pelo qual a atualização da política de grupo falha positivamente.

5. Abra o log de eventos operacionais para obter informações mais detalhadas. Há eventos com a lista de GPOs aplicados e uma lista de GPOs negados com o motivo.

A maioria dos problemas de GPO pode ser resolvida usando esses logs básicos.

Arquivos de log da Diretiva de Grupo

Você pode habilitar o log detalhado e examinar os arquivos de log resultantes. O log detalhado pode reduzir o desempenho e consumir espaço em disco significativo, portanto, como prática recomendada, habilite o log detalhado somente quando necessário.

Habilitar o log do GPSvc (Serviço de Política de Grupo)

No cliente em que ocorre o problema de GPO, siga estas etapas para habilitar o log de depuração do Serviço de Política de Grupo.

1. Abra o Editor do Registro.

2. Localize e selecione a seguinte subchave de Registro:

   HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion

3. No menu Editar, selecione Nova>Chave.

4. Digite Diagnóstico e pressione Enter.

5. Clique com o botão direito do mouse na subchave Diagnóstico, selecione Novo>Valor DWORD (32 bits).

6. Digite GPSvcDebugLevel e pressione Enter.

7. Clique com o botão direito do mouse em GPSvcDebugLevel e selecione Modificar.

8. Na caixa Dados do valor, digite 30002 (Hexadecimal) e selecione OK.

9. Saia do Editor do Registro.

10. Em uma janela de prompt de comando, execute o gpupdate /force comando e pressione Enter.

Em seguida, exiba o arquivo Gpsvc.log na seguinte pasta: %windir%\debug\usermode

Observação

Se a pasta usermode não existir, crie-a em %windir%\debug. Se a pasta usermode não existir em %WINDIR%\debug\, o arquivo gpsvc.log não será criado.

Problemas comuns e soluções

ID do evento 1129

A ID do evento 1129 é registrada quando a Política de Grupo não é aplicada devido a problemas de conectividade de rede.

Nesse caso, a conectividade com a porta LDAP (Lightweight Directory Access Protocol) 389 é bloqueada no DC. O gpupdate comando falha com o seguinte erro:

Ao verificar o log de eventos, você pode encontrar a seguinte descrição do evento:

The processing of Group Policy failed because of lack of network connectivity to a domain controller. This may be a transient condition. A success message would be generated once the machine gets connected to the domain controller and Group Policy has successfully processed. If you do not see a success Message for several hours, then contact your administrator.

Nesse caso, habilite o log de depuração gpsvc. No log gpsvc, você pode encontrar a saída "GetLdapHandle: Falha ao conectar <DC> com 81".

Habilite um rastreamento de rede para verificar:

• Há uma consulta ldap feita no nível do site.
• A consulta retorna duas entradas para esse site que contêm a função de serviço ldap.
• Para um deles, podemos ver que uma resolução de nome está sendo feita.
• Como a resolução de nomes é bem-sucedida, ele tenta fazer uma ligação ldap, mas falha no handshake TCP, pois a porta 389 está bloqueada.
• Se não houver resposta do DC para nosso handshake TCP na porta 389, as próximas etapas serão envolver a equipe de rede do cliente e fornecer essas informações.
• Certifique-se de que, nesses cenários, você use todos os logs especificados no plano de ação mencionado acima, correlacione-os e eles o levarão à causa raiz ou, pelo menos, reduzirão o problema.

ID do evento 1002

Aqui está a descrição da ID do Evento 1002:

The processing of Group Policy failed because of a system allocation failure. Please ensure the computer is not running low on resources (memory, available disk space). Group Policy processing will be attempted at the next refresh cycle.

Esse evento de erro geralmente é resolvido quando o computador retorna de um estado de poucos recursos. As possíveis resoluções incluem:

1. Verifique se o computador não está com pouca memória ou espaço em disco disponível.
2. Reinicie o computador se ele estiver operando por um longo período.

ID do Evento 1006

Aqui está a descrição da ID do Evento 1006:

The processing of Group Policy failed. Windows could not authenticate to the Active Directory service on a domain controller. (LDAP Bind function call failed). Look in the Details tab for error code and description.

Esse evento de erro geralmente é resolvido após a correção da associação ao diretório. O serviço de Política de Grupo registra um código de erro, que aparece na guia Detalhes da mensagem de erro no Visualizador de Eventos. Os campos de código de erro (exibido como decimal) e descrição do erro identificam ainda mais o motivo da falha. Avalie o código de erro com a lista abaixo:

• Código de erro 5 (Acesso negado)

  Esse código de erro pode indicar que o usuário não tem permissão para acessar o Active Directory.

• Código de erro 49 (credenciais inválidas)

  Esse código de erro pode indicar que a senha do usuário expirou enquanto o usuário ainda está conectado ao computador. Para corrigir credenciais que não são válidas:

  1. Altere a senha do usuário.
  2. Bloqueie/desbloqueie a estação de trabalho.
  3. Verifique se há algum serviço do sistema em execução como a conta de usuário.
  4. Verifique se a senha na configuração do serviço está correta para a conta de usuário.

• O código de erro é 258 (tempo limite)

  Esse código de erro pode indicar que a configuração do DNS está incorreta. Para corrigir problemas de tempo limite, use a nslookup ferramenta para confirmar _ldap._tcp.<domain-dns-name> são registrados e apontam para os servidores corretos (em que <domain-dns-name> é o nome de domínio totalmente qualificado do seu domínio do Active Directory).

  Observação

  Essas etapas podem ter resultados variados se sua rede restringir ou bloquear pacotes ICMP (Internet Control Message Protocol).

ID do evento 1030

Aqui está a descrição da ID do Evento 1030:

The processing of Group Policy failed. Windows attempted to retrieve new Group Policy settings for this user or computer. Look in the Details tab for error code and description. Windows will automatically retry this operation at the next refresh cycle. Computers joined to the domain must have proper name resolution and network connectivity to a domain controller for discovery of new Group Policy objects and settings. An event will be logged when Group Policy is successful.

Verifique se as portas LDAP estão abertas. Caso contrário, verifique se as portas estão abertas no firewall e localmente no cliente e no controlador de domínio.

Como determinar o bloco de porta

• Use a ferramenta portqueryUI para determinar quais portas estão bloqueadas. Para obter mais informações, consulte Como usar o PortQry para solucionar problemas de conectividade do Active Directory.
• Use telnet para a porta 389 para verificar a conectividade na porta ldap.
• Como configurar portas de domínio e confiança.
• Configurando o comportamento padrão do firewall de saída.
• Configure os requisitos de porta de firewall para Política de Grupo.

Certifique-se de que a resolução de nomes DNS não consiga resolver um nome de host

• Se um cliente não puder resolver um nome de host, é melhor verificar a sequência de resolução de nome de host listada acima que o cliente deve usar. Se o nome não existir em nenhum dos recursos que o cliente usa, você deverá decidir qual recurso adicioná-lo. Se o nome existir em um dos recursos, como um servidor DNS ou um servidor WINS (Serviço de Cadastramento na Internet do Windows), e o cliente não estiver resolvendo o nome corretamente, concentre sua atenção na solução de problemas desse recurso específico.
• Além disso, confirme se o cliente está tentando resolver um nome de host e não um nome NetBIOS. Muitos aplicativos têm vários métodos que podem ser utilizados para resolver nomes. Isso é especialmente verdadeiro para aplicativos de e-mail e banco de dados. O aplicativo pode ser configurado para se conectar a recursos usando o NetBIOS. Dependendo da configuração do cliente, o cliente pode ignorar a resolução de nome de host. A partir daí, será necessário alterar o tipo de conexão para soquetes TCP/IP ou solucionar o problema como um problema de NetBIOS.

Permissão de Contêiner de Política de Grupo

Use o seguinte cmdlet Get-GPPermission do PowerShell para obter o nível de permissão para todas as entidades de segurança no GPO especificado:

Get-GPPermission -Name "TestGPO" -All

ID do Evento 1058

Aqui está a descrição da ID do Evento 1058:

The processing of Group Policy failed. Windows attempted to read the file %9 from a domain controller and was not successful. Group Policy settings may not be applied until this event is resolved. This issue may be transient and could be caused by one or more of the following:
1. Name Resolution/Network Connectivity to the current domain controller.
2. File Replication Service Latency (a file created on another domain controller has not replicated to the current domain controller).
3. The Distributed File System (DFS) client has been disabled.

Conectividade correta com o modelo de Política de Grupo. O serviço de Diretiva de Grupo registra o nome do controlador de domínio e o código de erro, que aparece na guia Detalhes da mensagem de erro no Visualizador de Eventos. Os campos de código de erro (exibido como decimal) e descrição do erro identificam ainda mais o motivo da falha. Avalie o código de erro com a lista abaixo:

• Código de erro 3 (o sistema não consegue encontrar o caminho especificado)

  Esse código de erro geralmente indica que o computador cliente não consegue encontrar o caminho especificado no evento. Para testar a conectividade do cliente com o sysvol do controlador de domínio:

  1. Identifique o controlador de domínio usado pelo computador. O nome do controlador de domínio é registrado nos detalhes do evento de erro.

  2. Identifique se a falha ocorre durante o processamento do usuário ou do computador. Para o processamento de políticas de usuários, o campo Usuário do evento mostrará um nome de usuário válido; para o processamento de políticas de computador, o campo Usuário mostrará "SISTEMA".

  3. Componha o caminho de rede completo para o gpt.ini como \\<dcName>\SYSVOL\<domain>\Policies\<guid>\gpt.ini em que <dcName> é o nome do controlador de domínio, <domain> é o nome do domínio e <guid> é o GUID da pasta de política. Todas as informações aparecem no evento.

  4. Verifique se você pode ler gpt.ini usando o caminho de rede completo obtido na etapa anterior. Para fazer isso, abra uma janela de prompt de comando e digite <file_path>, onde <file_path> é o caminho construído na etapa anterior e pressione Enter.

     Observação

     Você deve executar esse comando como o usuário ou computador cujas credenciais falharam anteriormente.

• Código de erro 5 (Acesso negado)

  Esse código de erro geralmente indica que o usuário ou computador não tem as permissões apropriadas para acessar o caminho especificado no evento. No controlador de domínio, verifique se o usuário e o computador têm a permissão apropriada para ler o caminho especificado no evento. Para testar as credenciais do computador e do usuário:

  1. Faça logoff e reinicie o computador.
  2. Faça logon no computador com as credenciais de domínio usadas anteriormente.

• Código de erro 53 (o caminho de rede não foi encontrado)

  Esse código de erro geralmente indica que o computador não pode resolver o nome no caminho de rede fornecido. Para testar a resolução de nomes de caminho de rede:

  1. Identifique o controlador de domínio usado pelo computador. O nome do controlador de domínio é registrado nos detalhes do evento de erro.
  2. Tente se conectar ao compartilhamento netlogon no controlador de domínio usando o caminho \\<dcName>\netlogon , em que <dcName> é o nome do controlador de domínio no evento de erro.

ID do Evento 1053

Aqui está a descrição da ID do Evento 1053:

The processing of Group Policy failed. Windows could not resolve the user name. This could be caused by one or more of the following:
1. Name Resolution failure on the current domain controller.
2. Active Directory Replication Latency (an account created on another domain controller has not replicated to the current domain controller).

O serviço de Diretiva de Grupo registra o nome do controlador de domínio e o código de erro. Essas informações aparecem na guia Detalhes da mensagem de erro no Visualizador de Eventos. Os campos de código de erro (exibido como decimal) e descrição do erro identificam ainda mais o motivo da falha. Avalie o código de erro com a lista abaixo:

• Código de erro 5 (Acesso negado): esse código de erro pode indicar que a senha do usuário expirou enquanto o usuário ainda estava conectado ao computador. Se o usuário alterou recentemente sua senha, o problema pode desaparecer após permitir que a replicação do Active Directory seja bem-sucedida.

  1. Altere a senha do usuário.
  2. Bloqueie/desbloqueie a estação de trabalho.
  3. Verifique se há algum serviço do sistema em execução como a conta de usuário.
  4. Verifique se a senha na configuração do serviço está correta para a conta de usuário.

• Código de erro 14 (não há armazenamento suficiente disponível para concluir esta operação)

  Esse código de erro pode indicar que o Windows não tem memória suficiente para concluir a tarefa. Investigue o log de eventos do sistema em busca de outros problemas específicos da memória.

• Código de erro 525 (o usuário especificado não existe)

  Esse código de erro pode indicar permissões incorretas na unidade organizacional. O usuário precisa de acesso de leitura à unidade organizacional que contém o objeto de usuário. Da mesma forma, os computadores exigem acesso de leitura à unidade organizacional que contém o objeto do computador.

• Código de erro 1355 (o domínio especificado não existe ou não pôde ser contatado)

  Esse código de erro pode indicar uma falha ou configuração inadequada com a resolução de nomes (DNS). Use nslookup para confirmar que você pode resolver os endereços dos controladores de domínio no domínio do usuário.

• Código de erro 1727 (a chamada de procedimento remoto falhou e não foi executada)

  Esse código de erro pode indicar que as regras de firewall estão impedindo a comunicação com um controlador de domínio. Se você tiver um software de firewall de terceiros instalado, verifique a configuração do firewall ou tente desativá-lo temporariamente e verificar se a Diretiva de Grupo é processada com êxito.

ID do Evento 1097

Aqui está a descrição da ID do Evento 1097:

The processing of Group Policy failed. Windows could not determine the computer account to enforce Group Policy settings. This may be transient. Group Policy settings, including computer configuration, will not be enforced for this computer.

Os computadores de domínio são autenticados no domínio, assim como os usuários do domínio. O Windows requer que o computador faça logon antes de poder aplicar a Diretiva de Grupo ao computador. As possíveis resoluções incluem:

• Verifique se a hora no computador está sincronizada com a hora no controlador de domínio.
• Considere as configurações incorretas de fuso horário se o computador estiver configurado em um fuso horário diferente do controlador de domínio.
• Uma diferença de tempo superior a cinco minutos entre o computador e o controlador de domínio pode fazer com que o computador não se autentique com o domínio. Force a sincronização de tempo em relação ao serviço de tempo usando o w32tm /resync comando.
• Reinicie o computador.

ID do evento 4016 e ID do evento 5016

Durante a atualização periódica da Diretiva de Grupo, o serviço usa as informações coletadas na fase de pré-processamento para aplicar cada configuração de diretiva. O serviço faz isso passando as informações coletadas anteriormente para cada uma das extensões do lado do cliente do sistema e não do sistema. Essa fase começa registrando um evento de processamento de extensão do lado do cliente (CSE).

ID do evento	Tipo de evento	Explicação
4016	Informativo	O serviço de Diretiva de Grupo registra esse evento sempre que uma extensão do lado do cliente de Diretiva de Grupo inicia seu processamento.
5016	Êxito	O serviço de Diretiva de Grupo registra esse evento quando uma extensão do lado do cliente de Diretiva de Grupo conclui seu processamento com êxito.

Ao acessar a guia Detalhes na ID do Evento 5016, você pode encontrar o seguinte status de retorno:

ErrorCode 2147483658 <-> 0x8000000a       -2147483638               E_PENDING                    "The data necessary to complete this operation is not yet available"

Observação

O valor retornado "-2147483638 (E_PENDING)" é esperado e por design durante o processamento de extensão do lado do cliente de auditoria. Ele indica que um thread assíncrono foi iniciado com êxito pelo mecanismo de Diretiva de Grupo para processar as informações de extensão de auditoria. Isso também significa que o valor retornado será registrado mesmo que as novas configurações de auditoria sejam efetivas ou aplicadas aos clientes.

Determinar o processamento avançado da extensão do lado do cliente de auditoria (AuditCSE)

Depois de receber o valor retornado 2147483658 da ID do evento 5016, você pode examinar os eventos de nível detalhado do processamento do AuditCSE no log de eventos Security-Audit-Configuration-Client>Operacional. Essas informações são úteis para observar o processamento das configurações de política de grupo da Auditoria Avançada e, assim, detectar falhas/erros.

1. A Extensão do Lado do Cliente de Auditoria (Auditcse.dll) processará as extensões do lado do cliente de Auditoria.
2. Ele tem seu próprio registro em log Security-Audit-Configuration-Client>Operational log.

Siga estas etapas para examinar o log de eventos Security-Audit-Configuration-Client>Operational para solucionar problemas de configurações de política de grupo de auditoria:

1. Abra o Visualizador de eventos.
2. Em Visualizador de Eventos (local), selecione Logs>de Aplicativos e Serviços Microsoft>Windows>Security-Audit-Configuration-Client>Operational.
3. Clique duas vezes nos eventos Aviso ou Erro para solucionar problemas. Examine também a guia Detalhes desses eventos para qualquer valor de Erro .
4. Caso contrário, examine o evento Informativo para capturar o processamento completo da extensão de Auditoria.

Reúna informações importantes antes de entrar em contato com o Suporte da Microsoft

Antes de concluir sua solicitação de suporte, recomendamos que você use o recurso Windows Live Dump para salvar um instantâneo da memória do kernel no computador afetado. Para fazer isso, siga estas etapas:

1. Capture o log detalhado do Serviço de Política de Grupo executando os seguintes comandos:

   md %windir%\debug\usermode
   
   reg add "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Diagnostics" /v GPSvcDebugLevel /t REG_DWORD /d "0x00030002"
   

2. Atualize as configurações de Diretiva de Grupo locais e baseadas no AD usando o gpupdate /force comando.

   Dica

   Use um dos comandos abaixo se você solucionar problemas de configurações ausentes de um usuário ou computador específico:

   • Gpupdate /force /target:computer
   • Gpupdate /force /target:user

3. Salve o relatório RSoP (Conjunto de Diretivas Resultante) em um arquivo HTML executando o seguinte comando:

   gpresult /h %Temp%\GPResult.htm
   

4. Salve os dados de resumo do RSoP em um arquivo txt executando o seguinte comando:

   gpresult /r >%Temp%\GPResult.txt
   

5. Exporte as chaves do Registro GPExtensions executando o seguinte comando:

   reg export "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions" %Temp%\GPExtensions.reg
   

6. Exporte os logs do visualizador de eventos operacionais do sistema, do aplicativo e da Diretiva de Grupo executando os seguintes comandos:

   wevtutil.exe export-log Application %Temp%\Application.evtx /overwrite:true
   
   wevtutil.exe export-log System %Temp%\System.evtx /overwrite:true
   
   wevtutil.exe export-log Microsoft-Windows-GroupPolicy/Operational %Temp%\GroupPolicy.evtx /overwrite:true
   

7. Capture os seguintes arquivos:

   • %Temp%\Application.evtx
   • %Temp%\System.evtx
   • %Temp%\GroupPolicy.evtx
   • %Temp%\GPExtensions.reg
   • %Temp%\GPResult.txt
   • %Temp%\GPResult.html
   • %windir%\debug\usermode\gpsvc.log

8. Quando terminar, você poderá interromper o log do Serviço de Política de Grupo executando o seguinte comando:

   reg add "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Diagnostics" /v GPSvcDebugLevel /t REG_DWORD /d "0x00000000" /f
   

Coleta de dados

Se você precisar de ajuda do suporte da Microsoft, recomendamos que você colete as informações seguindo as etapas mencionadas em Coletar informações usando o TSS para problemas de Política de Grupo.