Postoje dva glavna reona problema koji mogu da se dogode sa procesuiranjem grupnih polisa. Ta dva glavna reona su: Policies are not applied to the client (polise nisu primenjene na klijentu), Policies are applied, bur results are inconsistent or incorrect (polise su primenjene ali su resultati nekonzistentni ili netačni).
Grupne polise imaju dve jasne faze:
- Core Group Policy processing: kada klijent počne da procesuira grupnu polisu, on mora da odredi da li može da dođe do domenskog kontrolera i da li se neki od objekata grupnih polisa promenio i koje postavke polisa (koje se odnose na Client-Side Extension) moraju da se procesuiraju. Core Group Policy mehanizam odrađuje ovo procesuiranje u inicijalnoj fazi.
- Client-side Extension (CSE) processing: Postavke polisa su grupisane u različite kategorije, kao što su Administrative Templates, Security Settings, Folder Redirection, Disk Quota & Software Installation. Postavke u svakoj od ovih kategorija zahtevaju specifične CSE koji treba da izvrše procesuiranje, svaki CSE ima svoja pravila za procesuiranje postavki. Core Group Policy Engine (mehanizam) zove CSEs od koga se zahteva da procesuira postavke koje se primenjuju na klijentu. Izuzetak su sigurnosne polise (Security Policies) koje se osvežavaju (Refresh) na svakih 16 sati nezavisno od toga da li su izveršene promene. Veoma je važno shvatiti da su Grupne Polise uglavnom Client-side Event. Klijent povlači polise (Pulls the Policies). Server ih sam ne daje (Server not Push them).
Priprema za rešavanje problema sa grupnim polisama (Troubleshooting Group Policy)
Da bismo mogli da administriramo grupnim polisama moramo imati sve potrebne privilegije i da bismo mogli da koristimo Group Policy Management konzolu (GPMC) i Group Policy Object Editor. Takođe su nam potrebne privilegije da bismo mogli da kreiramo objekte grupnih polisa, da bismo mogli da administriramo i upravljamo linkovima u specifičnom sajtu, domenu ili organizacionoj jedinici. Kontrola postojećih objekata grupnih polisa može da se delegira na specifičnog korisnika ili grupu, tako da je moguće da administrator bude u mogućnosti da koristi GPMC konzolu da bi video objekte grupnih polisa (GPOs), ali da ne može da modifikuje, briše ili kači (povezuje) GPOs. Potrebno je koristiti sledeći vodić da bismo osigurali da su dozvole konfigurisane na pravi način:
- Koristiti Active Directory Users and Computers prilikom izvršavanja provere da li je nalog koji koristimo član grupe koja poseduje potrebne privilegije (proveriti članstvo u grupama za nalog, i takođe proveriti da li su privilegije grupe promenjene).
- Izbeći dodavanje privilegija individualnim nalozima. Ako je potrebno, kreirati novu grupu i dodeliti joj ime koje objašnjava svrhu grupe.
- Promene članstva ili privilegija u sigurnosnim grupama, ili dozvola na objektima grupnih polisa, moraju da se repliciraju na svim domenskim kontrolerima u sistemu. Sve dok replikacija ne bude bila kompletna promene će možda biti pogrešno primenjene. U nekim situacijama možda ćemo morati da odradimo ručnu replikaciju (Force replication).
Da bismo videli ili promenili Access Control List (ACL) koji utiče na upravljanje GPO, otvorimo GPO u GPMC konzoli i pogledamo Delegation karticu. Obejkat grupnih polisa mogu da primene samo članovi grupe koji imaju Read dozvolu. Da bismo promenili Security filtere, potrebno je da kliknemo na Advanced.
Tačan domenski kontroler selektujemo u Group Policy editoru & u GPMC konzoli. Svaki domenski kontroler ima kopiju svakog objekta grupne polise u domenu. Najbolje rešenje je da editujemo objekte grupnih polisa na primernom domenskom kontroleru (PDC emulatoru), i da dozvolimo da se promene repliciraju na drugim domenskim kontrolerima.
Ako to nije praktično zbog brzine konekcije i propustnosti (bandwidth) ili zbog nekih drugih problema, administratori mogu da promene fokusirani domenski kontroler u GPMC koji koriste.
Ako administratori u našoj organizaciji edituju GPOs na različitim domenskim kontrolerima, potrebno je da postavimo procese da bismo izbegli neki oblik konflikta. Na primer, možda ćemo delegirati editovanje dozvola na individualnim objektima grupnih polisa ili na grupi koja je fokusirana na isti domenski kontroler.
Osnovni koraci pri rešavanju problema
Osnovni koraci pri rešavanju problema sa grupnim polisama su:
- Provera Event Viewer zapisa
- Odrađivanje osnovnih provera da bismo testirali mrežnu konektivnost: koristiti Diagnostic alatke kao što su: netdiag, ping
- Provera funkcionisanja DNS-a: koristeći Nslookup
- Proveriti da li domenski kontroler funkcioniše i da li se do njega može doći preko mreže: za ovu proveru potrebno je koristiti diagnostic alat kao što je dcdiag, set command, Kerbtray
Alatke za Troubleshooting grupnih polisa
Nakon provere mrežne konektivnosti, preporučuje se da prvo proverimo da li problem može da se dokaže u Core Group Policy. Osnovni koraci uključuju:
- Korišćenje Group Policy Reporting: Za proveru rezultata grupnih polisa na klijentskom kompjuteru. Ovo je jedna od glavnih Troubleshooting alatki (Group Policy reporting) i često možemo da dobijemo potrebne informacije o problemu, a da pritom ne moramo da koristimo druge alatke.
- Proveriti Group Policy Exeptions: Proveriti da li izuzimanje (Exeptions), kao što su sigurnosno filterisanje, WMI filteri, blokiranje nasleđivanja, prisiljavanje (Enforcement), Loopback procesuiranje i Slow Link postavke utiču na normalnu GPO procesuiranje.
- Koristiti alatke kao što su: GPResult.exe, GPOTool.exe (mora da se ažurira odvojeno), GPMC konzolu da bismo osigurali da postavke grupne polise, koje očekujemo da budu isporučene klijentu, stvarno budu isporučene i da su objekti grupnih polisa na domenskim kontrolerima konzistentni i dostupni.
- Koristiti Dcpofix za oporavak Defoltne domenske polise.
- Koristiti Event, Usernv, CSE Log-ove za analizu problema i pronalaženje solucija.
- U verziji Windows Vista i novijim verzijama, možemo da iskoristimo GPOLogView za skupljanje svih događaja iz Group Policy operativnih Log-ova unutar jednog pogleda (Single View).
- Instaliranjem GPMC konzole takođe se instalirju brojne skripte koje možemo da koristimo za odrađivanje upravljačkih Group Policy zadataka i za održavanje grupnih polisa.