1 / 31

9 lutego | Warszawa

9 lutego | Warszawa. IntelliMirror Community Launch. Maszynownia od środka - GPO. Tomasz Onyszko W2K.PL | Microsoft t.onyszko@w2k.pl. distinguishedName: Tomasz Onyszko country: Poland city: Warsaw Company: Microsoft title: Senior consultant mail: t.onyszko@w2k.pl

binta
Download Presentation

9 lutego | Warszawa

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 9 lutego | Warszawa IntelliMirror Community Launch

  2. Maszynownia od środka - GPO Tomasz Onyszko W2K.PL | Microsoft t.onyszko@w2k.pl

  3. distinguishedName: Tomasz Onyszko country: Poland city: Warsaw Company: Microsoft title: Senior consultant mail: t.onyszko@w2k.pl blog-PL: http://www.w2k.pl/ blog-EN: http://blogs.dirteam.com/blogs/tomek/ -

  4. Agenda • Infrastruktura GPO • SYSVOL i inne przypadłości • Problemy i narzędzia

  5. Infrastruktura GPO

  6. Group Policy Container • Przechowywany w katalogu • Przechowuje informację o wersji Group Policy Object Group Policy Template • Przechowywany na SYSVOL • Zawiera ustawienia GPO • Definiuje GPO • Zawartość podzielone na dwie części Group Policy Object

  7. Group Policy Container • Obiekt klasy groupPolicyContainer • Definicja GPO w katalogu • Powiązanie z szablonem poprzez gPCFileSysPath

  8. gPLink • Atrybut gPLink obiektu • Wskazuje ścieżkę do kontenera GPO w katalogu • Nie jest to atrybut typu referencja (linked) • Nie jest wielowartościowy

  9. Group Policy Template • Faktyczna definicja ustawień GPO • Pliki na udziale SYSVOL • Folder oznaczony GUID dla każdej z polityk

  10. Wersja GPO • Powiązanie pomiędzy obiektem GPO a szablonem na SYSVOL • Wersja GPO • versionNumber->groupPolicyContainer • Version -> GPT.INI na SYSVOL • Oba numery *powinny*być takie same

  11. Client Side Extensions • Komponent GPO po stronie klienta • Interpretacja i przetwarzanie ustawień • Możliwość rejestracji własnych rozszerzeń

  12. SYSVOL i inni

  13. SYSVOL • Wolumen udostępniany przez każdy DC • Zawiera pliki niezbędne do przetwarzania GPO • Replikowany poprzez: • <= Windows 2003: File Replication Service (FRS) • >= Windows 2008: DFS-R

  14. Lokalizacja SYSVOL • Mechanizm osobny niż lokalizacja DC • Domyślnie nie uwzględnia topologii sieci • Problem: dostęp do SYSVOL na innym DC niż używany w trakcie logowania • Rozwiązanie: SiteCostedReferrals • Wymaga włączenia opcji: Bridge allsitelinks

  15. Zawartość SYSVOL • \Policies -> {GUID} • \Machine: ustawienia maszyny, skrypty startu i wyłączenia • \User: ustawienia użytkownika, skrypty logowania i wylogowania • \ADM: samo zło ;) -> pliki ADM

  16. Pliki ADM • Zawierają definicje ustawień GPO • Wymagane tylkow systemie gdzie edytuje się GPO • Nie są wymagane do przetwarzania GPO • Różne wersje językowe

  17. Pliki ADMX • Rozwinięcie ADM • Rozdzielenie na plik ustawień (ADMX) i plik językowy (ADML) • Składowane centralnie w ramch Central Policy Store • Nie są przetwarzane przez klientów starszych OS

  18. ADM vs. ADMX

  19. Ograniczenie rozmiaru ADM • Pliki ADM • Domyślnie kopiowane do każdego GPO • Przy domyślnych ADM ~4 MB na GPO • KB 316977 – zablokowanie kopiowania ADM na SYSVOL • Mogą zostać usunięte z SYSVOL bez powodowania problemów

  20. Problemy i narzędzia

  21. Problemy od strony konfiguracji • Filtrowanie GPO • Filtrowania bezpieczeństwa • Filtrowanie WMI • Konfiguracja GPO • Dziedziczenie i blokowanie • GPMC prawdę Ci powie • RSOP

  22. Problemy sieciowe • Błędy replikacji FRS • Ultrasound • Slow Link Detection • Pre-Vista: wymagny jest ruch ICMP • Brak ruchu ICMP klient -> DC blokuje wykonanie GPO • Kontrolowane przez GPO

  23. Probelmy po stronie klienta • Event ID 1058 i 1030 (KB 314494) • Najczęstsze problemy związane z GPO • Główne przyczyny • Problemy z siecią (DNS) • Stacja robocza *wyleciała* z domeny (access denied przy przetwarzaniu GPO) • Problemy z dostępem do SYSVOL • Brak zgodności w zawartości SYSVOL • Diagnostyka przez logowanie GPO

  24. Logowanie GPO • Do Windows XP / 2003 • Tryb debug USERENV (KB 221833) • Wynik w pliku tekstowym %Systemroot%\Debug\UserMode\Userenv.log • Wynik w pliku tekstowym (interpretacja logu)

  25. Logowanie GPO • Vista i poźniejsze: • Logowanie zdarzeń GPO do dziennika zdarzeń

  26. Logowanie GPO • Vista i późniejsze • Opcjonalne logowanie do pliku • Wynik: %windir%\debug\usermode\gpsvc.log Value Path: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Diagnostics Value Name: GPSvcDebugLevel Value Type: REG_DWORD Value Data: 30002 (hex)

  27. Logowanie GPO • Przegląd wyników: • Analiza zdarzeń w systemach Vista i późniejszych: GPLogView • Przegląda danych z trybu debug: • Manualnie (notepad.exe) • PolicyReporter

  28. Weryfikacja zawartości SYSVOL • Weryfikacja zgodności GPO z GPT • GPOTool.Exe (Windows 2003 Resource Kit) • Działa również dla Windows 2008 i późniejszych • Przywrócenie domyślnych GPO • DCGPOFix

  29. Podsumowanie

  30. Dziękujemy!Zapraszamy do wypełnienia ankiet http://ms-groups.pl/icl

  31. Zasoby • http://www.gpoguy.com/ - narzędzia i porady • http://www.sysprosoft.com/policyreporter.shtml - Policy Reporter

More Related