Руководство по сценарию. Объект групповой политики для сопоставления сетевого диска не применяется должным образом.

В этом руководстве по сценарию объясняется, как использовать TroubleShootingScript (TSS) для сбора данных для устранения проблемы, в которой объект групповой политики (GPO) для сопоставления сетевого диска не применяется должным образом.

Руководство по устранению неполадок

Прежде чем продолжить, ознакомьтесь с руководством по устранению неполадок групповой политики.

Среда

• Доменное имя: contoso.com
• Сайты Active Directory: четыре сайта (два контроллера домена на сайт) (Phoenix, Лондон, Токио и Мумбаи)
• Количество контроллеров домена: восемь
• Операционная система контроллера домена: Windows Server 2019
• Операционная система клиентского компьютера: Windows 11 версии 22H2

Содержание сценария

Прежде чем приступить к устранению неполадок, ниже приведены некоторые уточняющие вопросы, которые помогут нам понять ситуацию и сузить причину проблемы:

1. Что такое клиентские и серверные операционные системы?
   Ответ. Клиентские компьютеры — Windows 11, версия 22H2 и файловый сервер, на котором находится сопоставленный диск, находится на сервере Linux Server.

2. Как настроить настройки групповой политики?
   Ответ. У нас есть объект групповой политики с именем Mapped-Drive , и этот объект групповой политики настраивается с помощью расширения сопоставленных дисков групповой политики.

   

3. Влияют ли все пользователи в области групповой политики , сопоставленной с диском ?
   Ответ. Мы настроили этот объект групповой политики в подразделение "ИТ-пользователи". Мы проверили его с четырьмя до пяти пользователей. Для всех из них диск Z не сопоставлен.

4. Что произойдет, если вы вручную сопоставляете диск вместо использования параметров групповой политики?
   Ответ. Мы можем успешно сопоставить диск Z с помощью net use команды с тем же файловый сервер.

5. Является ли этот объект групповой политики новым объектом групповой политики или раньше работал объект групповой политики?
   Ответ. Этот объект групповой политики работал ранее и использовался всеми пользователями для получения сопоставленных дисков. С последних нескольких дней сопоставленные диски не работают.

6. При запуске gpresult /h и просмотре выходных данных вы видите, что сопоставленный с GPO диск находится в применимом списке?
   Ответ. Да, мы видим, что объект групповой политики сопоставленного диска применяется в соответствующем списке.

   

   

7. Настроены ли какие-либо параметры фильтрации безопасности, фильтра WMI или настройки каких-либо параметров запрета (применения) для пользователя или группы?
   Ответ. Объект групповой политики настраивается с параметрами по умолчанию, и никакие изменения не вносятся в объект групповой политики с точки зрения фильтрации безопасности, фильтра WMI или настройки любых разрешений на запрет.

Устранение неполадок

Сначала соберите следующие данные для устранения неполадок. Так как нам нужно отследить вход или вход, необходимо выполнить следующие задачи в качестве локального администратора или любой другой учетной записи пользователя с учетными данными локального администратора.

Примечание.

Для этих действий требуется включить быстрое переключение пользователей. Если при попытке переключить пользователей возникают проблемы, проверьте, задана ли следующая политика или значение реестра:

• Групповая политика: скрытие точек входа для быстрой переключения групповой политики пользователей в разделе "Конфигурация компьютера\Административные шаблоны\System\Logon".
• Раздел реестра: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System.
• Значение реестра: HideFastUserSwitching

1. Скачайте TSS и извлеките ZIP-файл в папку C:\temp. Создайте папку, если она не существует.

2. Откройте команду PowerShell с повышенными привилегиями и выполните следующую команду:

   Set-ExecutionPolicy unrestricted
   

   

3. Перейдите в папку c:\temp\TSS, где вы извлекли ZIP-файл TSS.

4. Запустите .\TSS.ps1 -Start -Scenario ADS_GPOEx -Procmon. Примите соглашение и подождите, пока TSS не начнет собирать данные.

   

5. Переключите пользователя, а затем войдите с помощью учетной записи пользователя, которая не отображает диск Z сопоставлен.

6. После успешного входа откройте командную строку и выполните команду gpresult /h appliedgpo.htm. Убедитесь, что объект групповой политики , сопоставленный с диском , находится в соответствующем списке.

7. Переключите пользователя еще раз, а затем войдите с помощью учетной записи пользователя, которая запустила ведение журнала TSS. Нажмите клавишу Y.

8. TSS остановит сбор данных, и собранные данные будут находиться в папке C:\MSDATA в виде ZIP-файла или папки с именем TSS_<Machinename>_<Time>_ADS_GPOEx.

Дополнительные сведения о TSS см. в разделе "Введение в набор инструментов TSSotingScript" (TSS).

Анализ данных

Перейдите в папку c:\msdata , где TSS сохранила все отчеты, а затем извлеките содержимое ZIP-файла. Просмотрите файл с именем <Client_machinename-Time><>_Microsoft-Windows-GroupPolicy-Operational.evtx.

Начало события 4001

Событие 5017 с подразделением "Пользователи"

Объект групповой политики , сопоставленный с диском , связан с подразделением "Пользователи".

Событие 5312, показывающее список применимых объектов групповой политики

Мы видим, что объект групповой политики , сопоставленный с диском , находится в применимом списке.

Событие 4016, показывающее расширение карт дисков групповой политики, было обработано и успешно выполнено

Трассировка параметров групповой политики

Из операционных журналов групповой политики мы видим, что групповая политика была обработана, а предпочтения групповой политики были применены успешно. Помимо приведенного выше, мы также можем просмотреть параметры ведения журнала и трассировки групповой политики, собранные средством TSS.

Трассировка параметров групповой политики — это дополнительное ведение журнала, которое мы можем включить для любого расширения групповой политики на стороне клиента. Трассировка GPOEx TSS включена по умолчанию.

Примечание.

Если вы хотите вручную включить ведение журнала GPSVC, следуйте инструкциям по включению ведения журнала отладки групповой политики с помощью RSAT.

Здесь мы познакомимся с проверкой и поиском журнала GPSVC, чтобы убедиться, что групповая политика была применена к клиенту успешно.

В <Clientmachinename>_<Date_Time>_GPPREF_User.txt мы видим, что расширение GPP Сопоставленных дисков запускает обработку.

Примечание.

Для краткости и удобочитаемости анализ содержит только фрагменты соответствующих данных по устранению неполадок и не все данные в журнале.

yyyy-mm-dd hh:mm::ss:sss [pid=0x3134,tid=0x4fc] Entering ProcessGroupPolicyExDrives()
yyyy-mm-dd hh:mm::ss:sss [pid=0x3134,tid=0x4fc] SOFTWARE\Policies\Microsoft\Windows\Group Policy\{5794DAFD-BE60-433f-88A2-1A31939AC01F}

Расширение сопоставленных дисков групповой политики определило объект групповой политики, настроенный с этим расширением, и имя сопоставлено с диском:

yyyy-mm-dd hh:mm::ss:sss [pid=0x3134,tid=0x4fc] GPC : LDAP://CN=User,cn={6D6CECFD-C75A-43FA-8C32-0B5963E42C5B},cn=policies,cn=system,DC=contoso,DC=com
yyyy-mm-dd hh:mm::ss:sss [pid=0x3134,tid=0x4fc] GPT : \\contoso.com\SysVol\contoso.com\Policies\{6D6CECFD-C75A-43FA-8C32-0B5963E42C5B}\User
yyyy-mm-dd hh:mm::ss:sss [pid=0x3134,tid=0x4fc] GPO Display Name : Mapped-Drive
yyyy-mm-dd hh:mm::ss:sss [pid=0x3134,tid=0x4fc] GPO Name : {6D6CECFD-C75A-43FA-8C32-0B5963E42C5B}

Мы видим, что диск Z успешно сопоставлен:

yyyy-mm-dd hh:mm::ss:sss [pid=0x3134,tid=0x4fc] Starting class <Drive> - Z:.
yyyy-mm-dd hh:mm::ss:sss [pid=0x3134,tid=0x4fc] Policy is not flagged for removal.
yyyy-mm-dd hh:mm::ss:sss [pid=0x3134,tid=0x4fc] Completed class <Drive> - Z:.
yyyy-mm-dd hh:mm::ss:sss [pid=0x3134,tid=0x4fc] Completed class <Drives>.
yyyy-mm-dd hh:mm::ss:sss [pid=0x3134,tid=0x4fc] EVENT : The user 'Z:' preference item in the 'Mapped-Drive {6D6CECFD-C75A-43FA-8C32-0B5963E42C5B}' Group Policy Object applied successfully.
yyyy-mm-dd hh:mm::ss:sss [pid=0x3134,tid=0x4fc] Completed class <Drive> - Z:.
yyyy-mm-dd hh:mm::ss:sss [pid=0x3134,tid=0x4fc] Completed class <Drives>

Использование procmon для поиска процесса удаления диска Z

На данный момент мы знаем, что применяются предпочтения групповой политики, но диск Z не отображается. Мы можем вручную сопоставить диск, но диск будет удален во время входа или входа. Поэтому во время входа есть и другие параметры, которые удаляют диск Z на компьютере.

Затем необходимо проанализировать трассировку procmon, чтобы наблюдать за удалением сопоставленного диска. Средство TSS также собирает трассировку procmon с параметром -Procmon , который мы использовали для сбора данных.

Трассировка procmon может быть подавляющей. Выполните следующие действия, чтобы настроить фильтр для просмотра данных. Фильтр можно использовать для устранения неполадок, связанных с сопоставленными дисками.

1. Откройте файл <Clientmachinename>_<date_time>_Procmon_0.pml.

2. Выберите фильтр фильтра - .

3. Добавьте фильтр: сведения - содержат - Z:.

   

4. Выходные данные фильтра показывают два процесса: cmd.exe и net.exe.

   

5. Дважды щелкните net.exe и перейдите на вкладку "Процесс ", включающую следующие параметры:

   • Командная строка: операция удаления сопоставленного диска.
   • Родительский идентификатор: родительский процесс net.exe равен 13436.
   • Пользователь: имя пользователя, в контексте которого выполняется этот процесс. В нашем примере это сама учетная запись пользователя.

   

Затем настройте другой фильтр, чтобы определить, кто породил net.exe с помощью родительского фильтра процесса.

1. Перейдите к фильтру - и нажмите кнопку "Сбросить".

2. Теперь примените следующий фильтр с помощью ИДЕНТИФИКАТОРа родительского элемента.

   

Мы видим, что piD cmd.exe, и отображается, что он обрабатывает объект групповой политики со следующими параметрами:

• Командная строка: C:\Windows\system32\cmd.exe /c "\contoso.com\SysVol\contoso.com\Policies{E347CA05-D21D-433D-9BCA-2FE555336749}\User\Scripts\Logon\deletedrives.bat"
• Родительский идентификатор: родительский процесс cmd.exe равен 14900.
• Пользователь: имя пользователя, в контексте которого выполняется этот процесс. В нашем примере это сам пользователь.

Теперь используйте тот же механизм и фильтр PID еще раз, перейдя к - фильтру, выбрав "Сброс" и применив следующий фильтр:

Мы видим, что GPScrpit.exe является родительским процессом процесса cmd.exe . Используя это указание, мы видим, что существует сценарий групповой политики, который удалил сопоставленный диск.

Итоги

1. Net.exe удаляет сопоставленный диск, а родительский процесс cmd.exe. Выполняется следующая команда:

   net use z: /delete
   

2. CMD.exe обрабатывает .bat файл deletedrives.bat, а родительский процесс GPScript.exe.

   C:\Windows\system32\cmd.exe /c "\contoso.com\SysVol\contoso.com\Policies{E347CA05-D21D-433D-9BCA-2FE555336749}\User\Scripts\Logon\deletedrives.bat"
   

3. GPScript.exe — это процесс, который выполняется во время входа в систему для обработки сценариев входа.

Нам нужно определить объект групповой политики, содержащий этот скрипт входа. Ниже приведены два метода.

Метод 1. Использование выходных данных Gpresult /h, собранных во время сбора журналов

Метод 2. Использование оснастки управления групповыми политиками (GPMC.msc)

1. Откройте GPMC.msc на контроллере домена или компьютере, где установлена оснастка.

2. Щелкните правой кнопкой мыши домен и выберите "Поиск".

3. В элементах поиска выберите GUID и введите GUID групповой политики, который мы нашли в команде cmd.exe.

   

Мы определили, что объект групповой политики DomainWideSettings имеет скрипт входа.

Если вы не хотите, чтобы объект групповой политики DomainWideSettings удалил сопоставленный диск, используйте один из следующих методов:

• Удалите скрипты входа из GPO DomainWideSettings , так как этот объект групповой политики используется для настройки других параметров на уровне домена.
• Отмена привязки объекта групповой политики DomainWideSettings полностью.
• Задайте параметр "Блокировать наследование политики" в подразделении "Пользователи", где находится объект пользователя.
• Задайте запрет "Применить объект групповой политики" для группы "Пользователи" в объекте GPO DomainWideSettings.